cryptographie:gnupg2

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
cryptographie:gnupg2 [2020/04/06 20:21] – [RNG-Tools] d2aircryptographie:gnupg2 [2023/01/22 10:45] (Version actuelle) – [Serveur de clés] sks-keyservers.net : This service is deprecated. d2air
Ligne 1: Ligne 1:
 ====== Utilisation de GNU Privacy Guard (version 2) ====== ====== Utilisation de GNU Privacy Guard (version 2) ======
-Ce logiciel est installé par défaut sous Linux – au moins sur Debian et Ubuntu – est désormais disponible qu’en version 2 sur les distributions les plus récentes. Mon [[cryptographie:gnupg|utilisation de la version précédente]] n’est plus pertinente, mais elle sera la base de cet article.+Ce logiciel est installé par défaut sous Linux – au moins sur Debian et Ubuntu – est désormais disponible en version 2 sur les distributions les plus récentes. Mon [[cryptographie:gnupg|utilisation de la version précédente]] n’est plus pertinente, mais elle sera la base de cet article.
  
 Les principales évolutions sont décrites [[https://www.gnupg.org/faq/whats-new-in-2.1.html|ici]]. Les principales évolutions sont décrites [[https://www.gnupg.org/faq/whats-new-in-2.1.html|ici]].
Ligne 19: Ligne 19:
 echo sks-keyservers.netCA.pem | sudo tee -a /etc/ca-certificates.conf echo sks-keyservers.netCA.pem | sudo tee -a /etc/ca-certificates.conf
 sudo update-ca-certificates sudo update-ca-certificates
 +rm ~/sks-keyservers.netCA.pem 
 </code> </code>
 +<note warning>
 +**sks-keyservers.net** : "This service is deprecated. This means it is no longer maintained, and new HKPS certificates will not be issued. Service reliability should not be expected.
 +2021-06-21: Due to even more GDPR takedown requests, the DNS records for the pool will no longer be provided at all."
 +</note>
 Il faudra ensuite utiliser les paramètres suivants dans ''~/.gnupg/gpg.conf'' : Il faudra ensuite utiliser les paramètres suivants dans ''~/.gnupg/gpg.conf'' :
 <file sh gpg.conf> <file sh gpg.conf>
Ligne 51: Ligne 56:
 Nous devons nous assurer que les clés se rafraîchissent régulièrement. La meilleure façon de le faire avec Debian ou Ubuntu est d’utiliser ''parcimonie'' : Nous devons nous assurer que les clés se rafraîchissent régulièrement. La meilleure façon de le faire avec Debian ou Ubuntu est d’utiliser ''parcimonie'' :
 <code> <code>
-sudo apt-get install parcimonie+sudo apt install parcimonie
 </code> </code>
 [[https://gaffer.ptitcanardnoir.org/intrigeri/code/parcimonie/|Parcimonie]] est un démon qui rafraîchit lentement votre trousseau de clés à partir d’un serveur de clés en passant par [[https://www.torproject.org/|Tor]]. Il utilise un délai aléatoire et un nouveau circuit Tor pour chaque clé. Le but est de compliquer la vie d’un attaquant qui voudrait corréler les mises à jour de clés avec votre trousseau. [[https://gaffer.ptitcanardnoir.org/intrigeri/code/parcimonie/|Parcimonie]] est un démon qui rafraîchit lentement votre trousseau de clés à partir d’un serveur de clés en passant par [[https://www.torproject.org/|Tor]]. Il utilise un délai aléatoire et un nouveau circuit Tor pour chaque clé. Le but est de compliquer la vie d’un attaquant qui voudrait corréler les mises à jour de clés avec votre trousseau.
Ligne 430: Ligne 435:
 <code> <code>
 gpg --output revoke.asc --gen-revoke '<fingerprint>' gpg --output revoke.asc --gen-revoke '<fingerprint>'
 +</code>
 +=== Révocation d'une clef ===
 +La révocation se fait avec les commandes suivantes :
 +<code>
 +gpg --import /home/john/.gnupg/openpgp-revocs.d/A0B000FF0000FF0011111111A0B00000000000FF.rev
 +gpg --keyserver hkps.pool.sks-keyservers.net --send-keys A0B000FF0000FF0011111111A0B00000000000FF
 +</code>
 +Et avec un dossier parallèle :
 +<code>
 +gpg --homedir=/media/veracrypt1 --keyring=~/.gnupg/pubring.gpg --trustdb-name=~/.gnupg/trustdb.gpg --output ~/Bureau/revoke.asc --gen-revoke A0B000FF0000FF0011111111A0B00000000000FF
 +gpg --homedir=/media/veracrypt1 --keyring=~/.gnupg/pubring.gpg --trustdb-name=~/.gnupg/trustdb.gpg --import ~/Bureau/revoke.asc
 +gpg --keyserver hkps.pool.sks-keyservers.net --send-keys A0B000FF0000FF0011111111A0B00000000000F
 +</code>
 +ou :
 +<code>
 +gpg --homedir=/media/veracrypt1 --keyring=~/.gnupg/pubring.gpg --trustdb-name=~/.gnupg/trustdb.gpg --import ~/.gnupg/openpgp-revocs.d/A0B000FF0000FF0011111111A0B00000000000FF.rev
 +gpg --keyserver hkps.pool.sks-keyservers.net --send-keys A0B000FF0000FF0011111111A0B00000000000F
 </code> </code>
 === Révocation d'une sous-clef === === Révocation d'une sous-clef ===
Ligne 544: Ligne 566:
 == Configuration alternative externe == == Configuration alternative externe ==
 <code> <code>
-gpg --home=/media/veracrypt1 --import clepublique.asc clesecrete.asc +gpg --homedir=/media/veracrypt1 --import clepublique.asc clesecrete.asc 
 gpg: Attention : les droits du répertoire personnel « /media/veracrypt2 » gpg: Attention : les droits du répertoire personnel « /media/veracrypt2 »
             ne sont pas sûrs             ne sont pas sûrs
Ligne 566: Ligne 588:
 Pour éditer notre clef avec les deux répertoires la commande est la suivante : Pour éditer notre clef avec les deux répertoires la commande est la suivante :
 <code> <code>
-gpg --home=/media/veracrypt1 --keyring=~/.gnupg/pubring.kbx --trustdb-name=~/.gnupg/trustdb.gpg --edit-key 'A0B000FF0000FF00111111110000AAAAFFFFFFFF'+gpg --homedir=/media/veracrypt1 --keyring=~/.gnupg/pubring.kbx --trustdb-name=~/.gnupg/trustdb.gpg --edit-key 'A0B000FF0000FF00111111110000AAAAFFFFFFFF'
 gpg (GnuPG) 2.2.4; Copyright (C) 2017 Free Software Foundation, Inc. gpg (GnuPG) 2.2.4; Copyright (C) 2017 Free Software Foundation, Inc.
 This is free software: you are free to change and redistribute it. This is free software: you are free to change and redistribute it.
Ligne 589: Ligne 611:
 <code> <code>
 gpg --delete-secret-keys 0xA0B00000000000FF gpg --delete-secret-keys 0xA0B00000000000FF
-gpg --home=/media/veracrypt1 --armor --export-secret-subkeys 0xA0B00000000000FF > maj-sousclesecrete.asc+gpg --homedir=/media/veracrypt1 --armor --export-secret-subkeys 0xA0B00000000000FF > maj-sousclesecrete.asc
 gpg --import maj-sousclesecrete.asc gpg --import maj-sousclesecrete.asc
 </code> </code>
Ligne 595: Ligne 617:
 Pour signer une clef publique avec le répertoire alternatif, après avoir vérifier le fingerprint avec le correspondant, il faut utiliser la commande pour éditer la clef : Pour signer une clef publique avec le répertoire alternatif, après avoir vérifier le fingerprint avec le correspondant, il faut utiliser la commande pour éditer la clef :
 <code> <code>
-gpg --home=/media/veracrypt1 --keyring=~/.gnupg/pubring.kbx --trustdb-name=~/.gnupg/trustdb.gpg --edit-key 0xBBAACC001122334455+gpg --homedir=/media/veracrypt1 --keyring=~/.gnupg/pubring.kbx --trustdb-name=~/.gnupg/trustdb.gpg --edit-key 0xBBAACC001122334455
 </code> </code>
 puis dans la console les commandes ''key'', ''sign'' et ''trust'' puis ''save'' pour finir. puis dans la console les commandes ''key'', ''sign'' et ''trust'' puis ''save'' pour finir.
Ligne 606: Ligne 628:
 ==== Générer une sous-clef d’authentification ==== ==== Générer une sous-clef d’authentification ====
 <code> <code>
-gpg --home=/media/veracrypt1 --keyring=~/.gnupg/pubring.kbx --trustdb-name=~/.gnupg/trustdb.gpg --edit-key 'A0B000FF0000FF00111111110000AAAAFFFFFFFF'+gpg --homedir=/media/veracrypt1 --keyring=~/.gnupg/pubring.kbx --trustdb-name=~/.gnupg/trustdb.gpg --edit-key 'A0B000FF0000FF00111111110000AAAAFFFFFFFF'
 gpg (GnuPG) 2.2.4; Copyright (C) 2017 Free Software Foundation, Inc. gpg (GnuPG) 2.2.4; Copyright (C) 2017 Free Software Foundation, Inc.
 This is free software: you are free to change and redistribute it. This is free software: you are free to change and redistribute it.
  • cryptographie/gnupg2.1586218889.txt.gz
  • Dernière modification : 2020/04/06 20:21
  • de d2air