Clé de revocation

La clé de révocation permet d'annuler la validité d'une clé. Si par exemple votre clé privée a été volée, ou si vous avez perdu votre passphrase, il vous faudra alors un nouveau couple de clés publique/privée, et faire connaître au reste du monde que votre ancienne clé n'est plus valide.

C'est pour ces raisons qu'il faut créer au moins une clé de révocation. Cette clé étant signée par votre clé privée, elle permet à toutes les personnes ayant votre clé publique de vérifier qu'elle est valide, et donc qu'elle annule bien la clé publique.

Il est donc très important de créer une clé de révocation juste après avoir créé le couple de clés publique/privée, et de la stoquer dans un endroit sûr. Ceci est vrai pour plusieurs raisons: si vous perdez par exemple votre clé privée, vous n'aurez plus la possiblité de générer la clé de révocation. Si vous oubliez votre passphrase, vous ne pourrez plus utiliser votre clé privée, donc vous ne pourrez pas créer de clé de révocation.

Par contre, faites attention à ne pas divulguer votre clé de révocation: si celle ci était connue n'importe qui pourrait révoquer une clé que vous utilisez.

Passons maintenant à la creation de cette clé:

bash-2.05b$ gpg --gen-revoke CoCoZ
gpg: WARNING: using insecure memory!
gpg: please see http://www.gnupg.org/faq.html for more information

sec 1024D/920625BC 2003-12-26 Julien Francoz <julien@francoz.net>

Create a revocation certificate for this key? y
Please select the reason for the revocation:
0 = No reason specified
1 = Key has been compromised
2 = Key is superseded
3 = Key is no longer used
Q = Cancel
(Probably you want to select 1 here)
Your decision? 1

Il faut alors indiquer la raison de la révocation de la clé. Cela n'a rien d'obligatoire, vous pouvez donc, si vous le voulez, ne pas indiquer de raison (choix 0), mais vous pouvez aussi générer une clé de chaque type, pour pouvoir choisir laquelle publier quand votre clé sera corrompue, plus utilisée ...

Ici, j'ai choisi le cas 1: la clé a été compromise:

Enter an optional description; end it with an empty line:
> Vol d'ordinateur portable
> 
Reason for revocation: Key has been compromised
Vol d'ordinateur portable
Is this okay? y

Il faut ensuite entrer la passphrase de la clé privée pour pouvoir génèrer la clé de révocation:

You need a passphrase to unlock the secret key for
user: "Julien Francoz <julien@francoz.net>"
1024-bit DSA key, ID 04419552, created 2003-12-26

ASCII armored output forced.
Revocation certificate created.

Please move it to a medium which you can hide away; if Mallory gets
access to this certificate he can use it to make your key unusable.
It is smart to print this certificate and store it away, just in case
your media become unreadable. But have some caution: The print system of
your machine might store the data and make it available to others!
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1.2.3 (GNU/Linux)
Comment: A revocation certificate should follow
... vous me croyez quand même pas assez fou pour publier mon certificat de revocation ;o)
-----END PGP PUBLIC KEY BLOCK-----
bash-2.05b$

Voila, vous n'avez plus qu'à conserver cette clé a l'abri, c'est à dire à l'extérieur de l'ordinateur.

J'utilise personnellement un CD pour stoquer cette clé, j'en ai aussi une version imprimée

Faites attention si vous l'imprimez (ce qui n'est pas conseillé) à ce qu'il ne reste pas de trace dans le répertoire de spool du serveur d'impression par exemple.

Voila, c'est fini pour tout ce qui concerne l'initialisation de GnuPG.