Accueil > Linux > Sécurité > Générer une clé gnupg
Générer une clé gnupg
mardi 15 avril 2008, par ,
Générer une clé gnupg permettant de transmettre des messages (mail, Jabber...) signés et/ou chiffrés.
Gpg est installé par défaut sur la distribution Debian.
Nous passons donc directement à la création de notre clé gpg privée.
Ouvrez un nouveau shell et tapez les commandes suivantes :
gpg --gen-key
Il va vous créer un répertoire .gnupg dans votre Home.
A la première question, répondre "1" (DSA and Elgamal (default))
En passant, pour créer une clé RSA qui fait plus que signer, taper :
gpg --expert --gen-key
Ensuite, vous pouvez modifier la taille de la clé mais la valeur par défaut convient déjà très bien.
Laissez le choix par défaut pour la date d’expiration.
Confirmez avec "Y" que tous les renseignements sont corrects.
Il va à présent vous demander de renseigner votre nom et votre adresse e-mail (Cela sera utile pour vos correspondants, qui pourront ainsi savoir a qui appartient la clef). Vous pouvez aussi éventuellement attacher un commentaire.
Vous devez maintenant confirmer que les renseignements précédants sont corrects en tapant "O".
A présent, entrez une passphrase pour protéger votre clé. (C’est une phrase, pas un mot de passe !!!).
La clé va à présent se générer. Il faudra créer de l’aléatoire en démarrant des applications. Par exemple, en écoutant de la musique... Pour ainsi permettre la génération d’une clé très aléatoire.
Quelques commandes usuelles :
1) Lister son trousseau de clés publiques
Format court
gpg --list[-secret]-keys
Format long
gpg --list[-secret]-keys --keyid-format long
2) Ajouter une clé
gpg --import nouvellecle.asc
3) Exporter une clé publique (cas le plus fréquent la sienne, pour pouvoir la communiquer)
Récupérer le nom de l’utilisateur dont on souhaite exporter la clé, à l’aide de la commande gpg --list-keys
Exporter la clé dans un fichier, au format ASCII (utile pour "Mailer" la clé) :
gpg --armor --output MaClePub.asc --export "Nom_De_Lutilisateur"
Sans l’option --armor
la clé est générée au format binaire.
4) Exporter sa clé privée
gpg --export-secret-key -a >MaClePriv.key
5) Importer sa clé privée (cas d’un 2ème trousseau situé sur un autre PC)
Recopier la fichier sur le deuxième PC à l’aide d’un moyen sûr (clé USB par exemple)
gpg --import --allow-secret-key-import MaClePriv.key
Si vous rencontrez ce message d’erreur en voulant encrypter :
gpg --encrypt --recipient 'Nom du destinataire' 'Nom du fichier à encrypter'
gpg: AABBCCDD: Rien ne dit que la clé appartient vraiment à l'utilisateur nommé.
Vous devez "faire confiance à l’utilisateur" à l’aide de la commande suivante :
gpg --edit-key 'Nom du destinataire'
Au prompt gpg, taper :trust
Plusieurs niveau de confiance vous sont proposés, sélectionnez 5 par exemple, puis quit
pour quitter gpg. Maintenant vous ne devriez plus avoir le message d’erreur, lors de l’utilisation de la clé de cet utilisateur
Mise à jour :
– Passage dans la catégorie Sécurité (27.05.2008)
– Ajout d’un commentaire pour faire confiance à une clé (29.12.2008)