Il était temps que je renouvelle ma clé de chiffrement, en effet je n’avais pas mis de date d’expiration et par procrastination dont je suis un spécialiste je reculais la date de cette tâche de jour en jour pour ne pas dire d’année en année. Ce week-end je m’y suis collé et c’est l’occasion de créer un billet pour blog.
Trouvant les interfaces graphiques limitées dans les options, j’ai utilisé la ligne commande bien plus riche.
Faut-il communiquer qu’en mode chiffré ou pas… ce sera le sujet d’un autre article !
Avant tout, qu’est-ce que GnuPG ?
GnuPG (GNU Privacy Guard) est un logiciel libre qui permet de chiffrer et de signer des données et des communications, rendant vos échanges privés et authentiques. Il utilise le chiffrement asymétrique : chaque utilisateur possède une clé publique (à partager pour recevoir des messages chiffrés) et une clé privée (à garder secrète pour déchiffrer les messages reçus et signer ses propres messages).
Bref :
- Protéger vos emails et fichiers pour qu’ils ne soient lisibles que par le destinataire choisi.
- Vérifier l’authenticité des messages ou fichiers reçus, confirmant qu’ils proviennent bien de la personne qui les a signés.
C’est un outil pour la confidentialité et la sécurité des communications numériques.
Avertissement
Il ne s’agit pas de copier/coller bêtement les lignes de commande mais d’essayer de les comprendre et de vous les approprier.
Comme modifier « mon@mail.fr » par votre mail… Et mettre votre propre ID
Pour comprendre comment est faite une clé GnuPG
pub rsa4096/0x2C07D84901065A3D 2024-11-10 [SC]
Empreinte de la clef = 32B2 C27E 1C7D 3D68 8FA1 D49F 2C07 D849 0106 5A3D
uid sima78 (clés perso 01) <mon@mail.fr>
sub rsa4096/0x373FEA503684F9B2 2024-11-10 [E]
pub : est la clé publique, l’ID est entre le « / » et avant 2024, utilisée pour chiffrer ou vérifier des signatures.
Empreinte de la clé : est l’empreinte complète qui permet de faire des vérifications.
uid : Identité de l’utilisateur associée à la clé publique (nom, email).
sub : Clé secondaire, souvent utilisée pour des rôles spécifiques comme le chiffrement.
Renouvellement de la clé GnuPG
Je commence par lister les clés
gpg –list-key
Là je constate que j’ai une grande quantité de clés publiques expirées.
Faire le ménage et commencer par identifier les clés publiques expirées
Faire le ménage, supprimer les clés expirées est tout à fait optionnel. Vous pouvez le faire après, ou ne pas le faire.
La procédure de renouvellement commence vraiment à « Révoquer l’ancienne clé ».
gpg --list-keys --with-colons | awk -F: '/^pub:e:/ {print $5}'
Permets de lister les clés expirées
Pour les supprimer deux possibilités
Dans mes penses-bêtes j’ai un script et une ligne de commande. Je vous mets les deux mais j’ai utilisé la ligne de commande plus bas, je n’ai pas retesté mon script.
Mon script avec une structure conditionnelle « if, then, fi » et une boucle « for do done«
#!/bin/bash
# Script de suppression des clés publiques GPG expirées
# Vérifier si la commande gpg est disponible
if ! command -v gpg &> /dev/null; then
echo "Erreur : gpg n'est pas installé." >&2
exit 1
fi
# Parcourir en boucle chaque clé GPG expirée et la supprimer
for key in $(gpg --list-keys --with-colons | awk -F: '/^pub:e:/ {print $5}'); do
echo "Suppression d'une clé expirée: $key"
gpg --batch --yes --delete-keys "$key" || {
echo "Échec de la suppression de la clé: $key" >&2
}
done
echo "La suppression des clés expirées est terminée."
exit 0
Ou en une ligne, ce que j’ai utilisé
gpg --list-keys --with-colons | awk -F: '/^pub:e:/ {print $5}' | xargs -I {} gpg --batch --yes --delete-keys {}
- gpg –list-keys –with-colons : Liste toutes les clés
- awk -F: ‘/^pub:e:/ {print $5}’ : Filtre les clés publiques expirées (pub:e) et extrait leur ID.
- xargs -I {} gpg –batch –yes –delete-keys {} : Utilise xargs pour passer chaque ID de clé expirée à gpg –delete-keys, supprimant ainsi les clés sans confirmation.
Cette commande supprime toutes les clés publiques expirées de manière automatique.
Mettre à jour les clés de votre trousseau
Pour synchroniser toutes les clés dans votre trousseau avec le serveur de clés et obtenir les dernières informations (comme les révocations), utilisez :
gpg –refresh-keys
Cela vérifie chaque clé de votre trousseau et télécharge les mises à jour disponibles, y compris les certificats de révocation, de tous les serveurs de clés configurés.
Révoquer l’ancienne clé
sima78@jilipolla:~$ gpg --output revocation_certificat.asc --gen-revoke mon@mail.fr
gpg: 'mon@mail.fr' matches multiple secret keys:
gpg: sec rsa4096/0x2A5F500DD27DD6FB 2017-02-22 sima78 <mon@mail.fr>
gpg: sec dsa3072/0x038072C036D4F9CD 2015-09-21 Sima78 <mon@mail.fr>
Ah, j’ai deux ID dont une est déjà expirée, c’est dont la première que je dois choisir.
sima78@jilipolla:~$ gpg --output revocation_certificat.asc --gen-revoke 0x2A5F500DD27DD6FB
sec rsa4096/0x2A5F500DD27DD6FB 2017-02-22 sima78 <mon@mail.fr>
Faut-il créer un certificat de révocation pour cette clef ? (o/N) o
choisissez la cause de la révocation :
0 = Aucune cause indiquée
1 = La clef a été compromise
2 = La clef a été remplacée
3 = La clef n'est plus utilisée
Q = Annuler
(Vous devriez sûrement sélectionner 1 ici)
Quelle est votre décision ? 0
Entrez une description facultative, en terminant par une ligne vide :
> ancienne
>
Cause de révocation : Aucune cause indiquée
ancienne
Est-ce d'accord ? (o/N) o
sortie forcée avec armure ASCII.
Certificat de révocation créé.
Veuillez le déplacer sur un support que vous pouvez cacher ; toute personne
accédant à ce certificat peut l'utiliser pour rendre votre clef inutilisable.
Imprimer ce certificat et le stocker ailleurs est une bonne idée, au cas où le
support devienne illisible. Attention tout de même : le système d'impression
utilisé pourrait stocker ces données et les rendre accessibles à d'autres.
Importer le certificat de révocation
sima78@jilipolla:~$ gpg --import revocation_certificat.asc
gpg: clef 0x2A5F500DD27DD6FB : « sima78 <mon@mail.fr> » certificat de révocation importé
gpg: Quantité totale traitée : 1
gpg: nouvelles révocations de clef : 1
gpg: marginals needed: 3 completes needed: 1 trust model: pgp
gpg: profondeur : 0 valables : 1 signées : 0
confiance : 0 i., 0 n.d., 0 j., 0 m., 0 t., 1 u.
Envoyer sur le serveur de clés la révocation
sima78@jilipolla:~$ gpg --send-keys --keyserver keys.openpgp.org 0x2A5F500DD27DD6FB
gpg: envoi de la clef 0x2A5F500DD27DD6FB à hkp://keys.openpgp.org
Générer la nouvelle clé
sima78@jilipolla:~$ gpg --full-generate-key
gpg (GnuPG) 2.4.4; Copyright (C) 2024 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Sélectionnez le type de clef désiré :
(1) RSA and RSA
(2) DSA and Elgamal
(3) DSA (sign only)
(4) RSA (sign only)
(9) ECC (sign and encrypt) *default*
(10) ECC (signature seule)
(14) Existing key from card
Quel est votre choix ? 1
les clefs RSA peuvent faire une taille comprise entre 1024 et 4096 bits.
Quelle taille de clef désirez-vous ? (3072) 4096
La taille demandée est 4096 bits
Veuillez indiquer le temps pendant lequel cette clef devrait être valable.
0 = la clef n'expire pas
<n> = la clef expire dans n jours
<n>w = la clef expire dans n semaines
<n>m = la clef expire dans n mois
<n>y = la clef expire dans n ans
Pendant combien de temps la clef est-elle valable ? (0) 0
La clef n'expire pas du tout
Est-ce correct ? (o/N) o
GnuPG doit construire une identité pour identifier la clef.
Nom réel : sima78
Adresse électronique : mon@mail.fr
Commentaire : clés perso 01
Vous utilisez le jeu de caractères « utf-8 ».
Vous avez sélectionné cette identité :
« sima78 (clés perso 01) <smon@mail.fr > »
Changer le (N)om, le (C)ommentaire, l'(A)dresse électronique
ou (O)ui/(Q)uitter ? O
De nombreux octets aléatoires doivent être générés. Vous devriez faire
autre chose (taper au clavier, déplacer la souris, utiliser les disques)
pendant la génération de nombres premiers ; cela donne au générateur de
nombres aléatoires une meilleure chance d'obtenir suffisamment d'entropie.
De nombreux octets aléatoires doivent être générés. Vous devriez faire
autre chose (taper au clavier, déplacer la souris, utiliser les disques)
pendant la génération de nombres premiers ; cela donne au générateur de
nombres aléatoires une meilleure chance d'obtenir suffisamment d'entropie.
gpg: répertoire « /home/sima78/.gnupg/openpgp-revocs.d » créé
gpg: revocation certificate stored as '/home/sima78/.gnupg/openpgp-revocs.d/32B2C27E1C7D3D688FA1D49F2C07D84901065A3D.rev'
les clefs publique et secrète ont été créées et signées.
pub rsa4096/0x2C07D84901065A3D 2024-11-10 [SC]
Empreinte de la clef = 32B2 C27E 1C7D 3D68 8FA1 D49F 2C07 D849 0106 5A3D
uid sima78 (clés perso 01) <mon@mail.fr>
sub rsa4096/0x373FEA503684F9B2 2024-11-10 [E]
On vérifie la liste des clés et note l’ID de la nouvelle clé
Une fois la nouvelle clé créée, listez vos clés pour noter l’ID de votre nouvelle clé :
gpg –list-keys
Exporter votre nouvelle clé publique
Exportez votre nouvelle clé publique pour la partager avec vos contacts :
sima78@jilipolla:~$ gpg --export --armor 0x2C07D84901065A3D > 2024-gnupg-sima78.asc
Publier la nouvelle clé publique sur un serveur de clés
Cela permet à vos contacts de retrouver votre nouvelle clé via un serveur de clés public, comme keys.openpgp.org. Il en existe plusieurs mais ils se synchronisent ente-eux
sima78@jilipolla:~$ gpg --send-keys --keyserver keys.openpgp.org 0x2C07D84901065A3D
gpg: envoi de la clef 0x2C07D84901065A3D à hkp://keys.openpgp.org
Il ne reste plus qu’à configurer les clients mail pour utiliser la nouvelle clé
Chaque client mail a des procédures spécifiques pour sélectionner une nouvelle clé GnuPG. Je ne vais donc pas détailler ici.
Récapitulatif des commandes que j’ai utilisées.
- gpg –list-key
- gpg –list-keys –with-colons | awk -F: ‘/^pub:e:/ {print $5}’
- gpg –list-keys –with-colons | awk -F: ‘/^pub:e:/ {print $5}’ | xargs -I {} gpg –batch –yes –delete-keys {}
- gpg –refresh-keys
- gpg –output revocation_certificat.asc –gen-revoke mon@mail.fr
- gpg –output revocation_certificat.asc –gen-revoke 0x2A5F500DD27DD6FB
- gpg –full-generate-key
- gpg –export –armor 0x2C07D84901065A3D > 2024-gnupg-sima78.asc
- gpg –send-keys –keyserver keys.openpgp.org 0x2C07D84901065A3D
Les commandes 2, 3 et 4 sont optionnelles, j’avais juste besoin de faire du ménage.
Précisions, réflexion :
Il est fortement conseillé de créer un certificat de révocation de votre nouvelle clé que vous garderez précieusement dans vos sauvegardes. En effet, si pour une raison quelconque vous perdez votre paire de clés ou que votre clé est corrompue vous pourrez l’exporter pour révoquer votre clé et en recréer une nouvelle.
En écrivant cet article j’ai regardé ce que faisaient d’autres blogueurs, beaucoup commencent par générer la nouvelle clé et termine par la révocation de l’ancienne clé, c’est aussi une logique qui se tient.
Il existe de plus en plus de fournisseurs de messageries qui proposent la possibilité de chiffrement assymétrique de vos mails et signatures de façon simplifiée.
Pour aller plus loin
Gnu Privacy Guard (GnuPG) Mini Howto (Français)
Le manuel de GNU Privacy Guard (Français)
Vous pouvez vous lâcher dans les commentaires.
Le billet « GnuPG Renouveler sa clé de chiffrement » est apparu en premier sur le blog de Sima78.
Suite au billet « 
Parfois, la page reste blanche… Bon, ce n’est pas tout à fait, la preuve ici, l’art d’écrire un article pour dire qu’il n’y en a pas.