Clef GPG et le certificat de révocation

, par  Genma , popularité : 4%

Qu’est ce qu’un certificat de révocation ?

Si vous oubliez votre mot de passe, ou si votre clé privée est compromise ou perdue, ce certificat de révocation peut être publié pour notifier aux autres que votre clé publique ne doit plus être utilisée. On peut toujours se servir d’une clé publique révoquée pour vérifier des signatures que vous avez faites par le passé, mais on ne peut s’en servir pour chiffrer de nouveaux messages à votre attention. Cela n’affecte pas non plus votre capacité à déchiffrer les messages qui vous ont été adressés précédemment, si vous avez toujours accès à votre clé privée. Source Gnupg.org

Créer un certificat de révocation

Avoir une clef GPG, c’est bien. Avoir créer le certificat de révocation associé à cette clef, c’est mieux.
Cela se fait de façon simple, en ligne de commande. On tape la commande :

gpg --output revoke.asc --gen-revoke mykey

et on suit les instructions.

Au sein de Seahorse, dans l’onglet Détails de la clef, on peut cliquer sur le bouton "Révoquer". Cela est valable pour le moment où on veut révoquer directement la clef, et non pas pour faire le fameux certificat.

Pourquoi et comment l’utiliser ?

Comme il est dit dans la présentation de ce début d’article, dès lors où la clef est compromise (vol du PC ou autre) et même si l’on a une copie de la clef privée sur une autre machine, dès lors qu’il y a une copie de la clef privée qui se ballade dans la nature, il faut révoquer sa clef (et en créer une autre par la suite). Pour celà, on utilise à nouveau gpg en ligne de commande et lui donnant comme fichier le fameux certificat de révocation.

gpg --import revoke.asc
Et ensuite :
export vers le serveur de clef avec la commande suivante : 
gpg --keyserver subkeys.pgp.net --send KEYNAME

Et lors de la prochaine synchronisation avec les serveurs de clefs, les personnes qui utilisaient la clef publique seront informées qu’elle n’est plus à utiliser.

Il faut donc penser à régulièrement mettre à jour ses clefs locales par synchronisation avec les serveurs.