Créer les certificats de révocation d'une clé publique GPG
GnuPG est un outil formidable pour garantir un minimum de discrétion et de vie privée dans ses mails et en messagerie instantanée (avec Gajim sous GNU/linux et psi sous windows par exemple). Mais ce système de clé est tellement efficace qu'il est impossible de le modifier, de l'annuler si par malheur (plantages divers pour windows, oublie de sauvegarde de .gnupg lors d'une installation d'une autre distribution pour Gnu/linux) on perd sa clé privée, ou sa passphrase. C'est pour cela qu'il existe une solution : les certificats de révocation.
Ce sont des fichiers que l'on garde précieusement sur une clé usb ou un cd, avec la passphrase. Ils seront utilisés (importés à la clé pubique) pour transformer la clé publique qui pose problème en clé de révocation. Cette clé de révocation sera alors envoyée sur les serveurs de clés, ainsi personne ne l'utilisera, et une autre clé pourra prendre sa place.
Le problème que les utilisateurs ont parfois rencontré, en mode graphique, est une "erreur" lors de la création du certificat de révocation. C'est pourquoi ce tuto se fait en console.
Pourquoi révoquer une clé publique ? 4 raisons sont proposées (numérotées de 0 à 3)
- 0 = Aucune raison spécifiée
- 1 = La clé a été compromise
- 2 = La clé a été remplacée
- 3 = La clé n'est plus utilisée
Comment généré le certificat ? Avec la commande
gpg --gen-revoke 1234ABC1 >.gnupg/revoque.macle
(ex pour la clé dont l'identité est Ox1234ABC1) ce qui est en gras est à taper. le certificat de révocation sera alors appelé revoque.macle et se trouvera dans le dossier caché .gnupg du /home/utilisateur. Mais nous avons vu qu'il existe 4 raisons de révocation d'où l'intérêt de suivre ce tuto 4 fois en changeant le nom donné au certificat de révocation :
- revoque0.macle
- revoque1.macle
- revoque2.macle
- revoque3.macle
Exemple pour un certificat de révocation sans raison spécifiée (revoque0.macle) :
Ouvrez une console et taper ce qui est en gras.
superpapalolo@mon-laptop-a-moa:~$ gpg --gen-revoke 1234ABC1 >.gnupg/revoque0.macle
1234ABC1 est l'identifiant de la clé publique, remplacer cela par l'identifiant de votre clé publique.
sec
1024D/1234ABC1 2009-05-10 superpapalolo (Clef de chiffrage pour les
courriers vers superpapalolo@ubuntu.org)
<superpapalolo@ubuntu.org>
Générer un certificat de révocation pour cette clé ? (o/N) o
choisissez la cause de la révocation:
0 = Aucune raison spécifiée
1 = La clé a été compromise
2 = La clé a été remplacée
3 = La clé n'est plus utilisée
Q = Annuler
(Vous devriez sûrement sélectionner 0 ici)
Votre décision ? 0 <-- ce sera 1,2 et 3 pour les autres raisons
Entrez une description optionnelle ; terminez-là par une ligne vide:
> révocation de la clé 1234ABC1 sans raison spécifiée
>
Cause de révocation: Aucune raison spécifiée
révocation de la clé 1234ABC1 sans raison spécifiée
Est-ce d'accord ? (o/N) o
Vous avez besoin d'une phrase de passe pour déverrouiller la
clé
secrète pour l'utilisateur: « superpapalolo (Clef de chiffrage pour les
courriers vers superpapalolo@ubuntu.org)
<superpapalolo@ubuntu.org> »
clé de 1024 bits DSA, ID 1234ABC1, créée le 2009-05-10
sortie avec armure ASCII forcée.
Certificat de révocation créé.
Déplacez-le dans un support que vous pouvez cacher ; si Mallory a
accès à ce certificat il peut l'utiliser pour rendre votre clé
inutilisable.
Une bonne idée consiste à imprimer ce certificat puis à le stocker
ailleurs, au cas où le support devient illisible. Mais attention :
le système d'impression de votre machine pourrait stocker ces
données et les rendre accessibles à d'autres personnes !
superpapalolo@mon-laptop-a-moa:~$
Voilà, dans votre dossier personnel (/home/utilisateur) faites ctrl+h et ouvrez .gnupg. Votre (vos) certificat(s) de révocation est (sont) là. Copier-le sur d'autres supports (clé USB, cd-rom, etc...) et je vous conseille de sauvegarder également votre passphrase, car elle sera nécessaire lors de l'import de ce certificat de révocation, pour transformer votre clé publique en clé de révocation..