1. Avoir à jour son outil GPG !
2. Configurer son fichier de config pour utiliser correctement un serveur de clé GPG :
* installer l'outil 'gnupg-curl'
* télécharger et vérifier la clé suivante: sks-keyservers.net CA
* Paramétrer son fichier ~/.gnupg/gpg.conf, en ajoutant les options suivantes :
Code : Tout sélectionner
keyserver hkps://hkps.pool.sks-keyservers.net
keyserver-options ca-cert-file=/repertoire_vers/sks-keyservers.netCA.pem
keyserver-options no-honor-keyserver-url
keyid-format 0xlong
with-fingerprint
4. Ne pas avoir une confiance aveugle dans les clés que l'on vous fournies, qu'elles viennent du serveur de clé, et/ou différemment : vérifiez auprès de la personne ; une fois fait, vérifiez par ces étapes (entourer l'empreinte de simple, voire double, quotes) :
* Télécharger l'empreinte de la clé, depuis le serveur : gpg --recv-key 'fingerprint'
* Vérifiez l'empreinte de la clé : gpg --fingerprint 'fingerprint'
* Signez la, au moins localement : gpg --lsign-key 'fingerprint'
5. Ne pas avoir confiance dans l'ID de la clé, qu'elle soit courte ou longue ! Utilisez les empreintes digitales des clés : gpg --with-fingerprint keyfile
6. Pour créer votre propre clé, utiliser un chiffrement fort, tel que sha512, et une longueur de clés à 4096 minimum, avec le chiffrement RSA ; ajouter dans votre fichier de config personnel .gnupg/gpg.conf, les informations suivantes :
Code : Tout sélectionner
cert-digest-algo SHA512
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
personal-digest-preferences SHA512
6.2. Utilisez un calendrier qui vous rappellera de changer à temps votre clé.
7. Générez un certificat de révocation, cela vous aidera si vous avez oublier votre passphrase, et/ou que votre clé privée soit compromise/volée/perdue : gpg --output revoke.asc --gen-revoke 'fingerprint'
Pour finir, il existe un outil pour vérifier visuellement qu'une clé est correcte, à partir de son empreinte, c'est l'outil 'hkt'. Il est intégré dans le package 'hopenpgp-tools', fourni dans les dépôts officiels.
Pour s'en servir, c'est la commande suivante :
Code : Tout sélectionner
hkt export-pubkeys 'fingerprint' | hokey lint
Tout problème avec la clé vérifiée est affiché en rouge !
Il faut alors IMPÉRATIVEMENT se méfier d'une telle clé, voire la régénérer si c'est la vôtre, après avoir configuré votre fichier de configuration personnelle, avec les recommandations ci-dessus !
----
Tout cela m'a poussé ces derniers jours à créer du code shell que j'espère complètement POSIX, un script de gestion de clés GPG par empreinte :
Le but de ce script est d'aider à la gestion de clés GPG : créer et gérer proprement une clé ... si possible à partir de son empreinte GPG.
Pour afficher l'aide : ./mng_gpg help
Pour installer et vérifier les certificats SKS : ./mng_gpg i-sks
Pour gérer une clé, à partir de son empreinte : ./mng_gpg fingerprint 'gpg:fingerprint'
Pour créer une clé : ./mng_gpg create
Donnez-lui des droits d'exécution et exécutez-le :
Code : Tout sélectionner
$ chmod 0700 mng_gpg
# ./mng_gpg
2/ Paramètrez correctement votre fichier personnel : ~./gnupg/gpg.conf, en tenant compte des réflexions faites-ci-dessus.
IMPORTANT : Ce script ne modifie pas votre fichier personnel : ~/.gnupg/gpg.conf - c'est à vous de le faire selon les indications qu'il vous fournira après l'installation et la vérification du certificat SKS, et à la lecture des informations ci-dessus, voire dans les articles ci-dessous ...!
3/ Pour tester la validité d'une clé, utilisez l'option 'fingerprint' suivi de l'empreinte GPG - répondez aux questions ... et appréciez le résultat !
Il est possible avec de créer une clé GPG, tout aussi correctement, par le processus adéquat de création ... laissez-vous guider !
Où le télécharger :
- sur le git ...
- sur "mon" git.
-----
Sur le .org, j'avais fait plus récemment un Guide AutoDéfense Courriel GPG !
Sur mon blog, il y a une série d'articles sur GPG, reprenant les informations essentielles :
- le mémoriel "Du bon usage sécurisé de GPG"
- tout particulièrement l'article "Guide bonnes pratiques création GPG".