Révoquer une clé GnuPG
Je me suis rendu compte aujourd’hui qu’une de mes clés dont j’étais persuadé avoir révoqué… Elle ne l’était pas.
Je vérifie en éditant la clé que j’avais toujours avec « gpg –edit-key » et je constate qu’elle avait bien expirée mais n’était pas révoquée.
Je décide donc dans la foulée de la révoquer et d’envoyer la révocation au serveur de clés
Attention, cette méthode fonctionne que si vous avez toujours votre clé et votre mot passe…
$ gpg --edit-key moi@fai.fr Vous avez un message similaire, avec à la fin un invité de commande (commande>) gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc. This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. La clé secrète est disponible. pub 2048R/BEA7AAC9 créé: 2011-03-03 expiré: 2013-03-01 utilisation: SC confiance: ultime validité: expirée sub 2048R/380CF796 créé: 2011-03-03 expiré: 2013-03-01 utilisation: E [ expirée ] (1). trucmuche1 (trucmuche1) <moi@fai.fr> [ expirée ] (2) trucmuche2 <moi2@fai.fr> [ expirée ] (3) trucmuche3 (trucmuche3) <moi3@fai.fr> Commande>
Entrez un serveur de clés, dans mon exemple pgp.mit.edu
Commande> keyserver Entrez l'URL de votre serveur de clés favori: http://pgp.mit.edu/ Vous avez besoin d'une phrase de passe pour déverrouiller la clé secrète pour l'utilisateur: « trucmuche1 (trucmuche1) <moi@fai.fr> » clé de 2048 bits RSA, ID BEA7AAC9, créée le 2011-03-03 pub 2048R/BEA7AAC9 créé: 2011-03-03 expiré: 2013-03-01 utilisation: SC confiance: ultime validité: expirée sub 2048R/380CF796 créé: 2011-03-03 expiré: 2013-03-01 utilisation: E [ expirée ] (1). trucmuche1 (trucmuche1) <moi@fai.fr> [ expirée ] (2) trucmuche2 <moi2@fai.fr> [ expirée ] (3) trucmuche3 (trucmuche3) <moi3@fai.fr> Commande>
On révoque avec la commande « revkey » et l’adresse mail que vous souhaitez révoquer, on répond aux questions…
Commande> revkey moi@fai.fr Voulez-vous vraiment révoquer la clé entière ? (o/N) o choisissez la cause de la révocation: 0 = Aucune raison spécifiée 1 = La clé a été compromise 2 = La clé a été remplacée 3 = La clé n'est plus utilisée Q = Annuler Votre décision ? 3 Entrez une description optionnelle ; terminez-là par une ligne vide: > Cause de révocation: La clé n'est plus utilisée (Aucune description donnée) Est-ce d'accord ? (o/N) o Vous avez besoin d'une phrase de passe pour déverrouiller la clé secrète pour l'utilisateur: « trucmuche1 (trucmuche1) <moi@fai.fr> » clé de 2048 bits RSA, ID BEA7AAC9, créée le 2011-03-03 Cette clé a été révoquée le 2013-12-09 par la clé RSA BEA7AAC9 trucmuche1 (trucmuche1) <moi@fai.fr> pub 2048R/BEA7AAC9 créé: 2011-03-03 revoqué: 2013-12-09 utilisation: SC confiance: ultime validité: revoquée Cette clé a été révoquée le 2013-12-09 par la clé RSA BEA7AAC9 trucmuche1 (trucmuche1) <moi@fai.fr> sub 2048R/380CF796 créé: 2011-03-03 revoqué: 2013-12-09 utilisation: E [ revoquée] (1). trucmuche1 (trucmuche1) <moi@fai.fr> [ revoquée] (2) trucmuche2 <moi2@fai.fr> [ revoquée] (3) trucmuche3 (trucmuche3) <moi3@fai.fr> Commande>
On sauvegarde et on envoie la clé de révocation.
Commande> save $ gpg --send-keys BEA7AAC9 gpg: envoi de la clé BEA7AAC9 au serveur hkp keys.gnupg.net
Modification du 07/02/2017
La dernière commande « gpg –send-keys BEA7AAC9 » ne fonctionnait plus à cette date. J’ai donc fait :
$ gpg --export -a BEA7AAC9
Voilà, c’est fait!
Pour aller plus loin: Tutoriel de Julien Francoz