Accueil > Linux > Sécurité > Générer une clé gnupg

Générer une clé gnupg

mardi 15 avril 2008, par eRen, michael

Générer une clé gnupg permettant de transmettre des messages (mail, Jabber...) signés et/ou chiffrés.

Gpg est installé par défaut sur la distribution Debian.

Nous passons donc directement à la création de notre clé gpg privée.

Ouvrez un nouveau shell et tapez les commandes suivantes :

gpg --gen-key

Il va vous créer un répertoire .gnupg dans votre Home.

A la première question, répondre "1" (DSA and Elgamal (default))

En passant, pour créer une clé RSA qui fait plus que signer, taper :

gpg --expert --gen-key

Ensuite, vous pouvez modifier la taille de la clé mais la valeur par défaut convient déjà très bien.

Laissez le choix par défaut pour la date d’expiration.

Confirmez avec "Y" que tous les renseignements sont corrects.

Il va à présent vous demander de renseigner votre nom et votre adresse e-mail (Cela sera utile pour vos correspondants, qui pourront ainsi savoir a qui appartient la clef). Vous pouvez aussi éventuellement attacher un commentaire.

Vous devez maintenant confirmer que les renseignements précédants sont corrects en tapant "O".

A présent, entrez une passphrase pour protéger votre clé. (C’est une phrase, pas un mot de passe !!!).

La clé va à présent se générer. Il faudra créer de l’aléatoire en démarrant des applications. Par exemple, en écoutant de la musique... Pour ainsi permettre la génération d’une clé très aléatoire.


Quelques commandes usuelles :

1) Lister son trousseau de clés publiques

Format court

gpg --list[-secret]-keys

Format long

gpg --list[-secret]-keys --keyid-format long

2) Ajouter une clé

gpg --import nouvellecle.asc

3) Exporter une clé publique (cas le plus fréquent la sienne, pour pouvoir la communiquer)

Récupérer le nom de l’utilisateur dont on souhaite exporter la clé, à l’aide de la commande gpg --list-keys

Exporter la clé dans un fichier, au format ASCII (utile pour "Mailer" la clé) :

gpg --armor --output MaClePub.asc --export "Nom_De_Lutilisateur"

Sans l’option --armor la clé est générée au format binaire.

4) Exporter sa clé privée

gpg --export-secret-key -a >MaClePriv.key

5) Importer sa clé privée (cas d’un 2ème trousseau situé sur un autre PC)
Recopier la fichier sur le deuxième PC à l’aide d’un moyen sûr (clé USB par exemple)

gpg --import --allow-secret-key-import MaClePriv.key

Si vous rencontrez ce message d’erreur en voulant encrypter :

gpg --encrypt --recipient 'Nom du destinataire' 'Nom du fichier à encrypter'

gpg: AABBCCDD: Rien ne dit que la clé appartient vraiment à l'utilisateur nommé.

Vous devez "faire confiance à l’utilisateur" à l’aide de la commande suivante :

gpg --edit-key 'Nom du destinataire'
Au prompt gpg, taper :
trust

Plusieurs niveau de confiance vous sont proposés, sélectionnez 5 par exemple, puis quit pour quitter gpg. Maintenant vous ne devriez plus avoir le message d’erreur, lors de l’utilisation de la clé de cet utilisateur


Mise à jour :
 Passage dans la catégorie Sécurité (27.05.2008)
 Ajout d’un commentaire pour faire confiance à une clé (29.12.2008)

Un message, un commentaire ?

modération a priori

Ce forum est modéré a priori : votre contribution n’apparaîtra qu’après avoir été validée par un administrateur du site.

Qui êtes-vous ?
Se connecter
Votre message

Pour créer des paragraphes, laissez simplement des lignes vides.

Lien hypertexte

(Si votre message se réfère à un article publié sur le Web, ou à une page fournissant plus d’informations, vous pouvez indiquer ci-après le titre de la page et son adresse.)

Ajouter un document