3- Révocation d’une clé

mardi 16 avril 2002
par  Gaétan RYCKEBOER
popularité : 1%

Une passphrase ? Une clé secrÚte ? Et si je les perds ?

Il faut TOUJOURS avoir à disposition un certificat de révocation, au cas où, ta clé étant diffusée, tu paumes le mot de passe, ou si la sécurité de la clé se trouve compromise.

En fait, la bonne méthode, consiste à créer le certificat en même temps que la clé.

Le bon process devient donc :

$ gpg --gen-key
$ gpg --gen-revoke toto@chezmoi.com > ~/.gnupg/revoke.macle
$ gpg --send-key 123FDC54

Lorsque tu crées ton certificat, GnuPG te demande si c’est :
- 1 clé compromise
- 2 clé remplacée
- 3 clé qui n’est plus utilisée

Que choisir ? Il faut bien comprendre que le certifcat de révocation reste un bout de papier tant qu’il n’est pas envoyé. Tu pourras donc en créer plusieurs sans que cela entraîne de difficultés pour tes correspondants. Ta clé sera toujours utilisable.

Le certificat que tu souhaites créer, d’après la question posée, c’est le certificat de secours. C’est à dire celui que tu vas utiliser si ta clé a été compromise, ou si tu as perdu ton mot de pase. Ce qui revient au même. Pour le certificat, s’entend.

Si tu décides de ne plus utiliser ta clé GnuPG, tu pourras toujours fabriquer un autre certificat "clé remplacée" ou "clé qui est plus utilisée".

Bien. Maintenant, nous sommes dans le cas où tu as ton certificat et que ta clé a été volée, exposée, ou que tu as oublié ton mot de passe. Il te faut envoyer le
certificat aux serveurs de clé, par exemple via l’url WEB de l’un des serveurs.

Dans un ou deux jours, tout un chacun pourra télécharger la clé, par la méthode habituelle, mais elle sera marquée "révoquée". Attention, elle restera néanmoins
toujours utilisable. En revanche, bien évidemment, GnuPG avertira les utilisateurs que la clé ne doit plus être utilisée.

Pour être sûr que la clé ne sera plus utilisée, il faut envoyer un mail à tous les correpondants qui utilisent cette clé pour déchiffrer tes emails. Ils doivent être informés que ta clé est révoquée, et qu’ils ne doivent plus lui faire confiance.


C’est pas dangereux de laisser trainer son certificat de révocation ?

Le seul risque que tu coures c’est que quelqu’un l’utilise. Et que ta clé soit marquée comme révoquée, donc qu’elle soit réputée non fiable. [1]

Mais c’est mieux de changer de clé, que de ne pas être en mesure de signaler que ta clé est corrompue, non ?


[1par
opposition à réputé fiable. En crypto la fiabilité est relative. On dit donc d’une méthode de sécurisation qu’elle est "réputée fiable" dans la mesure où
les moyens à mettre en oeuvre pour "casser" l’algorithme, ou pour lire les informations cryptés demandent trop de temps ou de ressources informatiques pour un individu lambda. Ou un
organisme lambda.


Commentaires

Logo de yvo
lundi 15 décembre 2003 à 13h12 - par  yvo

Pour révoquer une clé, il faut donc faire un certificat, comme indiqué plus haut.

Ensuite, il faut importer le certificat :

gpg —import /.gnupg/revoke.macle

Puis envoyer la clé sur un serveur de clé :

$ gpg —send-key 123FDC54

(j’ai repris l’ID plus haut, mais il faut bien entendu mettre l’ID de la clé en question)

Annonces

Annuaire LibreNord

Retrouvez l’annuaire de logiciels libres créé par l’association Club Linux Nord-Pas de Calais sur le site suivant http://www.librenord.org


Sur le Web

5 décembre - Commentaires sur Mon Parcours Collaboratif : présenter des outils numériques éthiques à l’ESSE par Dominique Hebert

5 décembre - Commentaires sur Une extension qui meta-press.es à ta disposition par Siltaar

5 décembre - Validation Contacts Framagenda

5 décembre - Une extension qui meta-press.es à ta disposition (https://framablo...

5 décembre - Une extension qui meta-press.es à ta disposition

4 décembre - UBUNTU et Framagenda [RESOLU]

4 décembre - UBUNTU et Framagenda

4 décembre - Framagenda

4 décembre - Commentaires sur Identifions les acteurs et actrices de l’accompagnement numérique libre par Frédéric Urbain

4 décembre - Users groups, videos linked to groups, private instance?

4 décembre - Considering moving from YouTube to some PeerTube instance

4 décembre - MOOC CHATONS : un parcours pédagogique pour favoriser l’émancipat...

4 décembre - MOOC CHATONS : un parcours pédagogique pour favoriser l’émancipation numérique

4 décembre - Commentaires sur Khrys’presso du lundi 11 février 2019 par Pinoy Tambayan

4 décembre - [11/12/2019] Migration du service Framaboard vers un serveur plus v...

3 décembre - Un block bugge me poursuit et disparait

3 décembre - Bug lors de la modfication du nombre de places limité

3 décembre - Commentaires sur Mobilizon : lifting the veil on the beta release par Victor Venema

3 décembre - Etude sur l'open source - (Aide) Thèse de fin d'étude

3 décembre - Minetest - Minecraft, même combat?