GPG : révoquer une clé

Article publié, le 23 Juillet 2017 et modifié le 4 Mars 2018
5 minutes de lecture

Cet article contient 1006 mots.
Source brute de l'article :
Commit version : 1bfbbab

Description

Pour une raison ou l’autre, il vous est impératif de révoquer votre clé… alors révoquons !

Les raisons :

Une clé qui arrive à expiration…
Une clé qui est perdue, volée…
Une clé, malheureusement, compromise…

Révocation

L’acte de révocation est un acte simple, à partir du moment où vous avez bel et bien votre fichier de révocation relatif à la clé en question !

Dans le cas où votre clé arrive à expiration, il est toujours temps de (re?)générer un certificat de révocation… je vous renvoie à la lecture de mon article : “Guide bonnes pratiques de création GPG ” au chapitre “Création du certificat de révocation” ! ;-)

Pour importer le certificat de révocation, on s’y prend ainsi :

$ gpg --import ~/.gnupg/email@domain.tld.rev.asc

Maintenant il faut l’éditer, puis utiliser l’option revkey :

Si vous révoquez votre clé parce que :

elle a été compromise, volée, perdue ; indiquez le choix ‘Key has been compromised’
elle est arrivée à expiration ; indiquez le choix ‘Key is no longer used’.
elle est remplacée pour utiliser de meilleurs algorithmes, pour la rendre plus “forte”, etc… : indiquez le choix ‘Key is superseded’.
si vous ne voulez pas donner de raisons, indiquez le choix ‘No reason specified’.

Code :

$ gpg --edit-key email@domain.tld
gpg (GnuPG) 1.4.11; Copyright (C) 2010 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

pub  4096R/********  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub  4096R/********  created: 2013-03-13  expires: never       usage: E
sub  4096R/********  created: 2013-03-13  expires: never       usage: S
[ultimate] (1). Nom Prenom &lt;email@domain.tld>
[ultimate] (2)  [jpeg image of size 5324]

gpg> revkey


Do you really want to revoke the selected subkeys? (y/N) **y**

Please select the reason for the revocation:
  0 = No reason specified
  1 = Key has been compromised
  2 = Key is superseded
  3 = Key is no longer used
  Q = Cancel
Your decision? **votre choix**

Enter an optional description; end it with an empty line:
>
Reason for revocation: Key is no longer used
(No description given)
Is this okay? (y/N) y


You need a passphrase to unlock the secret key for
user: "Nom Prenom &lt;email@domain.tld>"
4096-bit RSA key, ID ********, created 2013-03-13

**demande votre passhphrase**

pub  4096R/********  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
This key was revoked on 2013-03-13 by RSA key ******** Nom Prenom
sub  4096R/********  created: 2013-03-13  expires: never       usage: E
This key was revoked on 2013-03-13 by RSA key ******** Nom Prenom
sub  4096R/*********  created: 2013-03-13  expires: never       usage: S
[ultimate] (1). Nom Prenom &lt;email@domain.tld>
[ultimate] (2)  [jpeg image of size 5324]

gpg> save

Cas particulier des sous-clés

Dans mon mémoriel “Guide bonnes pratiques de création GPG ” (cf : le chapitre “Transformons nos clés”), nous avons abordé le point de la transformation des clés “primaires”… juste avant j’avais rappelé la nécessité d’exporter vos clés. J’espère que vous l’avez bel et bien fait !

Nous allons utiliser les fichiers exportés des clés publiques et privés, afin de révoquer les sous-clés relatives…

$ gpg --import ~/.gnupg/email@domain.tld.public_key.asc ~/.gnupg/email@domain.tld.private_key.asc

Bien-sûr, si ces fichiers de clés sont dans un autre chemin, indiquez le bon répertoire, et le bon nom de fichier. ;-)

Maintenant, nous révoquons nos sous-clés :

Code :

$ gpg --edit-key email@domain.tld
gpg (GnuPG) 1.4.11; Copyright (C) 2010 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

pub  4096R/********  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub  4096R/********  created: 2013-03-13  expires: never       usage: E
sub  4096R/********  created: 2013-03-13  expires: never       usage: S
[ultimate] (1). Nom Prenom &lt;email@domain.tld>
[ultimate] (2)  [jpeg image of size 5324]

gpg> key1


pub  4096R/********  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub  4096R/********  created: 2013-03-13  expires: never       usage: E
sub  4096R/********  created: 2013-03-13  expires: never       usage: S
[ultimate] (1). Nom Prenom &lt;email@domain.tld>
[ultimate] (2)  [jpeg image of size 5324]

gpg> key2


pub  4096R/********  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub  4096R/********  created: 2013-03-13  expires: never       usage: E
sub  4096R/********  created: 2013-03-13  expires: never       usage: S
[ultimate] (1). Nom Prenom &lt;email@domain.tld>
[ultimate] (2)  [jpeg image of size 5324]

gpg> revkey


Do you really want to revoke the selected subkeys? (y/N) y

Please select the reason for the revocation:
  0 = No reason specified
  1 = Key has been compromised
  2 = Key is superseded
  3 = Key is no longer used
  Q = Cancel
Your decision? 1

Enter an optional description; end it with an empty line:
>
Reason for revocation: Key is no longer used
(No description given)
Is this okay? (y/N) y


You need a passphrase to unlock the secret key for
user: "Nom Prenom &lt;email@domain.tld>"
4096-bit RSA key, ID ********, created 2013-03-13

**demande votre passhphrase**


You need a passphrase to unlock the secret key for
user: "Nom Prenom &lt;email@domain.tld>"
4096-bit RSA key, ID ********, created 2013-03-13

**demande votre passhphrase une deuxième fois**


pub  4096R/********  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
This key was revoked on 2013-03-13 by RSA key ******** Nom Prenom
sub  4096R/********  created: 2013-03-13  expires: never       usage: E
This key was revoked on 2013-03-13 by RSA key ******** Nom Prenom
sub  4096R/*********  created: 2013-03-13  expires: never       usage: S
[ultimate] (1). Nom Prenom &lt;email@domain.tld>
[ultimate] (2)  [jpeg image of size 5324]

gpg> save

Publier

Ne pas oublier la phase importante qu’est celle d’annoncer au monde entier que votre clé ou vos sous-clés sont révoquées, en la publiant sur un des serveurs SKS.

Là, je vous renvoie à la lecture de mon Guide bonnes pratiques de création GPG , sus-nommé, au chapitre “Partagez votre clé publique !”

De bonnes lectures

Je rappelle de bonnes lectures, qui m’ont inspiré, bien-sûr ce mémo :

l’article d’Alex Cabal : “Creating the perfect GPG keypair”
le guide “Créer et maintenir une paire de clés - tome 2 du Guide d’autodéfense numérique”