3- Révocation d’une clé

mardi 16 avril 2002
par  Gaétan RYCKEBOER
popularité : 1%

Une passphrase ? Une clé secrÚte ? Et si je les perds ?

Il faut TOUJOURS avoir à disposition un certificat de révocation, au cas où, ta clé étant diffusée, tu paumes le mot de passe, ou si la sécurité de la clé se trouve compromise.

En fait, la bonne méthode, consiste à créer le certificat en même temps que la clé.

Le bon process devient donc :

$ gpg --gen-key
$ gpg --gen-revoke toto@chezmoi.com > ~/.gnupg/revoke.macle
$ gpg --send-key 123FDC54

Lorsque tu crées ton certificat, GnuPG te demande si c’est :
- 1 clé compromise
- 2 clé remplacée
- 3 clé qui n’est plus utilisée

Que choisir ? Il faut bien comprendre que le certifcat de révocation reste un bout de papier tant qu’il n’est pas envoyé. Tu pourras donc en créer plusieurs sans que cela entraîne de difficultés pour tes correspondants. Ta clé sera toujours utilisable.

Le certificat que tu souhaites créer, d’après la question posée, c’est le certificat de secours. C’est à dire celui que tu vas utiliser si ta clé a été compromise, ou si tu as perdu ton mot de pase. Ce qui revient au même. Pour le certificat, s’entend.

Si tu décides de ne plus utiliser ta clé GnuPG, tu pourras toujours fabriquer un autre certificat "clé remplacée" ou "clé qui est plus utilisée".

Bien. Maintenant, nous sommes dans le cas où tu as ton certificat et que ta clé a été volée, exposée, ou que tu as oublié ton mot de passe. Il te faut envoyer le
certificat aux serveurs de clé, par exemple via l’url WEB de l’un des serveurs.

Dans un ou deux jours, tout un chacun pourra télécharger la clé, par la méthode habituelle, mais elle sera marquée "révoquée". Attention, elle restera néanmoins
toujours utilisable. En revanche, bien évidemment, GnuPG avertira les utilisateurs que la clé ne doit plus être utilisée.

Pour être sûr que la clé ne sera plus utilisée, il faut envoyer un mail à tous les correpondants qui utilisent cette clé pour déchiffrer tes emails. Ils doivent être informés que ta clé est révoquée, et qu’ils ne doivent plus lui faire confiance.


C’est pas dangereux de laisser trainer son certificat de révocation ?

Le seul risque que tu coures c’est que quelqu’un l’utilise. Et que ta clé soit marquée comme révoquée, donc qu’elle soit réputée non fiable. [1]

Mais c’est mieux de changer de clé, que de ne pas être en mesure de signaler que ta clé est corrompue, non ?


[1par
opposition à réputé fiable. En crypto la fiabilité est relative. On dit donc d’une méthode de sécurisation qu’elle est "réputée fiable" dans la mesure où
les moyens à mettre en oeuvre pour "casser" l’algorithme, ou pour lire les informations cryptés demandent trop de temps ou de ressources informatiques pour un individu lambda. Ou un
organisme lambda.


Commentaires

Logo de yvo
lundi 15 décembre 2003 à 13h12 - par  yvo

Pour révoquer une clé, il faut donc faire un certificat, comme indiqué plus haut.

Ensuite, il faut importer le certificat :

gpg —import /.gnupg/revoke.macle

Puis envoyer la clé sur un serveur de clé :

$ gpg —send-key 123FDC54

(j’ai repris l’ID plus haut, mais il faut bien entendu mettre l’ID de la clé en question)

Annonces

Annuaire LibreNord

Retrouvez l’annuaire de logiciels libres créé par l’association Club Linux Nord-Pas de Calais sur le site suivant http://www.librenord.org


Sur le Web

28 septembre - Commentaires sur Annuaire des acteurs et actrices de l’accompagnement au numérique libre par Pouhiou

28 septembre - Framasoft: “Tel un café tout chaud et tout…”

28 septembre - Khrys’presso du lundi 28 septembre 2020

28 septembre - Commentaires sur Détruire le capitalisme de surveillance (1) par froginoz

28 septembre - Replace video file

27 septembre - Publier un évènement au nom d'un groupe uniquement?

27 septembre - Open-source versus non-concurrence: question juridique

27 septembre - [Veille] [Appel à contributions] Thermographie Infrarouge

27 septembre - Libtorrent v2 and other improvements

26 septembre - Commentaires sur Annuaire des acteurs et actrices de l’accompagnement au numérique libre par sisi

26 septembre - Commentaires sur Annuaire des acteurs et actrices de l’accompagnement au numérique libre par sisi

26 septembre - Commentaires sur Annuaire des acteurs et actrices de l’accompagnement au numérique libre par sisi

26 septembre - Commentaires sur Détruire le capitalisme de surveillance (1) par Lunar

26 septembre - Framasoft: “« Détruire le capitalisme de s…”

26 septembre - Commentaires sur Détruire le capitalisme de surveillance (1) par Popup

26 septembre - Détruire le capitalisme de surveillance (1)

26 septembre - [Framaforms] : bug de dimensionnement des colonnes de la ligne des titres

26 septembre - About the fundraise (let's get to 60k!)

25 septembre - Comment partager mon questionnaire?

25 septembre - Framaliste : Réduire le processus de désabonnement