Gestion correcte de clé GPG

Partagez ici vos Trucs et vos Astuces.
Répondre
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

vohu a écrit :(...)
par contre, dans ton guide, tu dis qu'il est bon d'envoyer que la sous-clef au serveur et de garder hors-ligne la clef primaire. Comment fait-on pour envoyer uniquement la sous clef ?

Lorsque je tape : gpg -v --send-key XXXXX l'id de la sous clef, il essaye systèmatiquement d'envoyer la clef principale
Bonjour, Vohu ...

Euh, où as-tu lu cela ?
Parce que, perso, ce que je lis dans mon article "Guide bonnes pratiques de création GPG" est ceci :
Partagez votre clé publique !

Allez n'hésitez pas à partagez, publiez votre clé publique - informez de l'empreinte relative à votre clé publique - privilégiez le contact réel, physique lors de cet échange ...
En mode graphique :

Enigmail : Menu "Serveur de clefs" > "Envoyer les clés publiques".
2ème possibilité : clic droit sur la clé, menu contextuel "Envoyer les clés publiques vers un serveur de clefs"

GPA : Menu 'Serveur' > 'Envoyer des clefs'.
2ème possibilité : clic droit sur la clé, puis dans le menu contextuel, choisissez 'Envoyer des clefs' ; confirmez votre choix, si cela vous est demandé en cliquant sur le bouton [Oui].
En mode console :

Utilisez donc l'option '--send-keys "fingerprint"' -
En plus, tu remarqueras qu'il est recommandé d'envoyer la clé par son empreinte ;)

Ce n'est pas la sous-clé (de signature que tu envoies) - celle(s)-là doivent te rester strictement personnelles - c'est la clé publique que tu envoies sur les serveurs ...
et idem, ce sont les clés publiques des autres que tu reçois, puis valide en confiance, selon le degré de confiance à accorder, selon que tu connaisses la personne, et comment tu la connais ... exemple un contact internet au-travers un forum, comme moi, alors qu'on ne s'est jamais vu, tu ne peux pas et ne dois pas me donner une confiance ultime - et, ce même si tu sais que je suis quelqu'un de sérieux, au-travers de mes différentes activités - tu préfereras certainement choisir une confiance "modérée" ... etc...
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Avatar de l’utilisateur
vohu
Membre
Membre
Messages : 455
Inscription : 16 avr. 2016, 12:02
Localisation : Strasbourg
Status : Hors-ligne

yoo, merci pour ton aide :) (Je pense qu'il devient actuellement important de maîtriser cet outil... et finalement je l'utilise depuis pas mal de temps gpg mais sans vraiment savoir ce que je faisais. )

En fait tu dis un moment : "(bonus) Utilisez une sous-clé séparée pour signer, et gardez votre clé primaire entièrement hors-ligne"
Mais du coup, j'ai vu sur d'autres tutos qu'il était bien possible de sortir la clef publique privée du système (si on utilise des sous-clefs uniquement) et de la stocker sur un support hors-ligne. Clef usb par exemple, et de la fournir seulement au besoin. Le problème pour faire ça est principalement sur gpg < 2.1 (beaucoup de manips lourdes pour arriver à ses fins) Avec gpg >= 2.1, les clefs sons enregistrées dans des fichiers séparés et il est donc facile de déplacer la clefs concernée.

ok pour l'envoi par l'emprunte.


Alors, du coup, j'opte définitivement pour la version 2.1 de gpg. Je vais recréer un jeu de clefs et retenter un envoi sur le serveur.

Encore une question, lors de l'utilisation de plusieurs machines, quelle est la bonne attitude à adopter ? importer son trousseau sur toutes les machines ? utiliser une sous clef par machine ? (ce qui rendrait la gestion un peu lourde)
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

perso, j'importe mon trousseau pour une même identification GPG sur chacune des machines, au besoin ;)
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Avatar de l’utilisateur
vohu
Membre
Membre
Messages : 455
Inscription : 16 avr. 2016, 12:02
Localisation : Strasbourg
Status : Hors-ligne

Petite info, hkt ne peut fonctionner avec la version gnupg 2.1, car le fichier .gnupg/pubring.gpg n'existent plus, étant renommé pubring.kbx.

Il y aurait bien une solution en installant les 2 version des gnupg, et en exportant réimportant le trousseau sous la version 1.x... mais bon, c'est devient vite chiant....

Si parcimonie ne fonctionne pas sur cette même machine (affiche une fenêtre blanche), je pense que c'est pour les mêmes raisons.key


Edit :
J'ai testé par hazard gpg --export 'emprunte' | hokey lint , et ça à l'air de fonctionner
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

Plutôt : gpg --export-options export-minimal --export '<empreinte>' | hokey lint ;)
non ?!
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Avatar de l’utilisateur
vohu
Membre
Membre
Messages : 455
Inscription : 16 avr. 2016, 12:02
Localisation : Strasbourg
Status : Hors-ligne

Les 2 fonctionnent.

Autre question : que se passe t'il lorsqu'une clef arrive à expiration ? Est-elle encore utilisable pour déchiffrer des fichiers par exemple ?
Je pense que oui, car ça voudrait dire qu'on ne peut plus utiliser ces données. Mais ça veut surtout dire qu'il faut aussi garder ses vielles clefs ? Y a t'il une astuce pour gérer ces clefs périmées ?

J'ai une autre question : Il est donc conseillé de mettre une date d'expiration (ça permet d'invalider une clef si jamais on a oublié le mot de passe, ou perdu la clef secrète). Une fois cette date d'expiration proche, vaut-il mieux révoquer cette clef et en créer une autre, ou, changer la date d’expiration et prolonger l'utilisation de l'ancienne ?

Puis une dernière : gpg --card-status permet de voir les clefs qui sont sur une clef. Mais comment savoir avec gpg --list-keys, les clefs qui nécessitent la présence d'une carte ?


Merci :)
Avatar de l’utilisateur
PengouinPdt
Contributeur
Contributeur
Messages : 1343
Inscription : 23 avr. 2016, 23:37
Localisation : 47/FR
Diaspora* : https://framasphere.org/u/hucste
Contact :
Status : Hors-ligne

Il est donc conseillé de mettre une date d'expiration (ça permet d'invalider une clef si jamais on a oublié le mot de passe, ou perdu la clef secrète). Une fois cette date d'expiration proche, vaut-il mieux révoquer cette clef et en créer une autre, ou, changer la date d’expiration et prolonger l'utilisation de l'ancienne ?
Tu en créées correctement une nouvelle, puis tu signes la nouvelle avec l'ancienne clé, et réciproquement, tu "annonces" la création de la nouvelle clé, tu utilises la nouvelle clé, et une fois la date d'expiration arrivée de l'ancienne clé, tu révoques celle-ci. Cela sous-tend que c'est un process qui dure sur plusieurs semaines ;)
Surtout ne fais pas la bêtise de révoquer ton ancienne en premier, puis de créer une nouvelle, tu ne pourrais plus signer réciproquement les clés, et assurer le suivi de la chaîne de confiance. Comment veux-tu que tes correspondants aient confiance, car rien ne prouverait que la nouvelle vient bien de toi, et que tu la reconnais - si ce n'est de recommencer tout le process de vérification de la chaîne de confiance depuis le début ?!
Mais comment savoir avec gpg --list-keys, les clefs qui nécessitent la présence d'une carte ?
Dans l'immédiat, je n'ai pas la réponse.
PengouinPdt { le seul, le vrai } ~ " Libre as a Pengouin "
- DIY - Debian Sid | Devuan Ceres
----
Ne réponds pas aux PM d'assistance
Avatar de l’utilisateur
vohu
Membre
Membre
Messages : 455
Inscription : 16 avr. 2016, 12:02
Localisation : Strasbourg
Status : Hors-ligne

Ok, merci pour ces infos :)
Répondre