« GnuPG : Créer la paire de clé gpg parfaite : clé maitre, subkeys et support smartcard (yubikey) » : différence entre les versions
| Ligne 17 : | Ligne 17 : | ||
=Générer la clé maître= | =Générer la clé maître= | ||
Nous allons créer une clé maître RSA de 8192 bits. Cette taille de clé n'est pas nativement supportée par gpg mais on peut en forcer la création en passant par le mode [https://www.gnupg.org/documentation/manuals/gnupg/Unattended-GPG-key-generation.html batch] de gpg. Pour cela, nous créons le fichier <code> | Nous allons créer une clé maître RSA de 8192 bits. Cette taille de clé n'est pas nativement supportée par gpg mais on peut en forcer la création en passant par le mode [https://www.gnupg.org/documentation/manuals/gnupg/Unattended-GPG-key-generation.html batch] de gpg. Pour cela, nous créons le fichier <code>newkey</code> contenant les différentes informations de notre future clé maître. Pensez à changer les lignes <code>Name-Real</code>, <code>Name-Email</code> et <code>Passphrase</code> : | ||
<pre> | <pre> | ||
cat > | cat >newkey <<EOF | ||
%echo Generating a RSA key | %echo Generating a RSA key | ||
Key-Type: RSA | Key-Type: RSA | ||
| Ligne 34 : | Ligne 34 : | ||
EOF | EOF | ||
</pre> | </pre> | ||
Générez la clé maître dans le trousseau gpg maître que nous avons créé : | |||
<pre>gpg --homedir /media/veracrypt1/GNUPG_HOME/HOME/ --batch --gen-key --enable-large-rsa -a newkey</pre> | |||
Dans cet exemple, la clé créé a l'identifiant <code>427356638BBAAD5E85A6763634B914CEACD9EE59</code>. | |||
Vous pouvez ajouter des <code>uid</code> à votre clé maître en utilisant la commande <code>adduid</code> du prompt gpg | |||
<pre> | |||
gpg --homedir /media/veracrypt1/GNUPG_HOME/HOME/ --edit-key 427356638BBAAD5E85A6763634B914CEACD9EE59 | |||
adduid | |||
</pre> | |||
=Ajout des sous-clés (subkeys)= | |||
Version du 7 juillet 2017 à 01:59
Prérequis
- Une clé usb, disque usb, ou tout autre média amovible réinscriptible pour stocker de manière sécurisé votre clé gpg maître. Je vous recommande vivement de chiffrer ce media (en utilisant par exemple veracrypt).
Initialisation
Montez votre media usb sur votre ordinateur. Dans cet exemple, il sera monté dans /media/veracrypt1.
Créez un dossier qui va contenir votre trousseau gpg maître.
mkdir -p /media/veracrypt1/GNUPG_HOME/HOME/
Si vous utilisez le système de fichier FAT sur le media usb sur lequel vous allez stocker votre trousseau maître gpg, il faut créer un fichier S.gpg-agent à la racine de votre futur trousseau gpg afin de forcer la création du socket de l'agent gpg en dehors du système de fichier FAT. Dans cet exemple, je force la création du socket de l'agent gpg dans le répertoire utilisateur de ma machine :
cat >/media/veracrypt1/GNUPG_HOME/HOME/S.gpg-agent <<EOF
%Assuan%
socket=${HOME}/.gnupg/S.gpg-agent-SecureDisk
EOF
Générer la clé maître
Nous allons créer une clé maître RSA de 8192 bits. Cette taille de clé n'est pas nativement supportée par gpg mais on peut en forcer la création en passant par le mode batch de gpg. Pour cela, nous créons le fichier newkey contenant les différentes informations de notre future clé maître. Pensez à changer les lignes Name-Real, Name-Email et Passphrase :
cat >newkey <<EOF
%echo Generating a RSA key
Key-Type: RSA
Key-Length: 8192
Key-Usage: cert,sign
Name-Real: pfoo
#Name-Comment:
Name-Email: pfoo@unscdf.org
Expire-Date: 0
Passphrase: tmppassphrasepleaseedit
# Do a commit here, so that we can later print "done"
%commit
%echo done
EOF
Générez la clé maître dans le trousseau gpg maître que nous avons créé :
gpg --homedir /media/veracrypt1/GNUPG_HOME/HOME/ --batch --gen-key --enable-large-rsa -a newkey
Dans cet exemple, la clé créé a l'identifiant 427356638BBAAD5E85A6763634B914CEACD9EE59.
Vous pouvez ajouter des uid à votre clé maître en utilisant la commande adduid du prompt gpg
gpg --homedir /media/veracrypt1/GNUPG_HOME/HOME/ --edit-key 427356638BBAAD5E85A6763634B914CEACD9EE59 adduid