5 conseils pour sécuriser votre clé GPG sous Linux

Sécurisez votre clé GPG sous Linux grâce à 5 conseils simples : créer des sous-clés, fixer une date d'expiration, enregistrer sur une clé de sécurité, sauvegarder sur papier et supprimer la clé privée principale du système.

Les clés GPG sont une partie essentielle de la vérification de votre identité en ligne. En sécurisant votre clé GPG contre les acteurs malveillants, vous vous assurez que personne ne peut vous usurper lors de vos communications avec d'autres personnes. Voici cinq conseils simples pour sécuriser votre clé GPG sous Linux.

1. Créez des sous-clés pour chaque fonction GPG

Une des façons les plus simples de sécuriser votre clé GPG sous Linux est de créer une sous-clé distincte pour chaque fonction de clé. Les sous-clés sont des éléments supplémentaires d'identité cryptographique qui sont attachés à votre clé principale maître. Cela rend plus difficile pour les acteurs malveillants de récupérer votre clé privée principale puisque vous ne l'utilisez pas pour les actions courantes de la clé.

Pour ce faire, ouvrez la fenêtre de commande GPG pour votre clé principale :

gpg --expert --edit-key VOTRE-EMAIL-GPG@ADRESSE.COM

Exécutez change-usage pour modifier les capacités par défaut de votre clé principale.

Tapez "S," puis appuyez sur Entrée pour désactiver la capacité de signer de votre clé principale.

[enlazatom_show_links]

Exécutez addkey pour créer la deuxième sous-clé de votre clé principale.

Sélectionnez "8" lors de la demande de l'algorithme de clé, puis appuyez sur Entrée.

Tapez "=S" dans la fenêtre de commande, puis appuyez sur Entrée pour définir la capacité de la sous-clé sur "Signature seule".

Remarque : vous pouvez modifier la valeur de "=S" par "=E" ou "=A" pour définir la fonction d'une sous-clé uniquement pour le chiffrement ou l'authentification.

Indiquez "4096" lors de la demande de taille de clé, puis appuyez sur Entrée pour définir la taille de votre sous-clé RSA à 4096 bits.

Définissez la période de validité raisonnable de votre sous-clé. Dans mon cas, je vais définir que ma sous-clé expire après 1 an.

Créez votre nouvelle sous-clé en tapant "y," puis en appuyant sur Entrée pour confirmer.

Relancez la commande addkey et créez les deux autres sous-clés pour les capacités de chiffrement et d'authentification.

Confirmez que votre clé GPG possède une sous-clé pour chaque capacité en exécutant la sous-commande list.

2. Fixez une date d'expiration pour vos clés

Une autre façon simple de sécuriser votre clé GPG sous Linux est de donner à votre clé principale et à vos sous-clés une date d'expiration. Bien que cela n'affecte pas les capacités de la clé à signer, chiffrer et authentifier, en fixer une donne aux autres utilisateurs de GPG une raison de toujours valider votre clé via un serveur de clés.

Commencez par ouvrir votre clé principale dans l'outil CLI GPG :

gpg --edit-key VOTRE-EMAIL-GPG@ADRESSE.COM

Tapez "expire," puis appuyez sur Entrée pour modifier la date d'expiration de votre clé principale. Dans mon cas, je vais définir que la mienne expire dans 10 ans.

Entrez le mot de passe de votre clé GPG, puis appuyez sur Entrée pour valider la nouvelle date d'expiration.

Exécutez les commandes suivantes pour sélectionner les sous-clés internes de votre clé GPG :

key 1 key 2 key 3

Exécutez expire, puis indiquez une date d'expiration pour vos sous-clés. Dans la plupart des cas, ces clés devraient expirer plus tôt que votre clé principale. Pour moi, je vais les définir pour qu'elles expirent après huit mois.

Tapez "save," puis appuyez sur Entrée pour valider vos modifications dans votre trousseau GPG.

Confirmez que vos clés ont les dates d'expiration appropriées en exécutant : gpg --list-keys.

Bon à savoir : apprenez comment utiliser GPG avec une interface graphique grâce à GNU Kleopatra.

3. Enregistrez vos clés GPG sur une clé de sécurité

Les clés de sécurité sont de petits appareils spécialement conçus pour stocker des données d'authentification privées. À cet égard, vous pouvez également les utiliser pour stocker vos clés GPG sans compromettre votre sécurité globale.

Commencez par brancher votre clé de sécurité sur votre machine, puis exécutez la commande suivante pour vérifier si GPG la détecte :

gpg --card-status

Ouvrez la fenêtre de commande GPG pour votre clé principale, puis exécutez list pour afficher tous les détails de votre trousseau de clés :

gpg --edit-key VOTRE-EMAIL-GPG@ADRESSE.COM

Trouvez la sous-clé avec la valeur d'utilisation "S," puis exécutez la commande "key" suivie de son numéro d'ordre dans la liste des sous-clés. Par exemple, ma sous-clé "S" est la première clé dans ma liste, donc je vais lancer key 1.

Déplacez votre sous-clé "S" dans le stockage interne de votre clé de sécurité :

keytocard

Sélectionnez "1" à la demande de transfert, entrez le mot de passe de votre clé GPG principale, puis exécutez à nouveau la commande key pour désélectionner la première sous-clé.

Trouvez la sous-clé avec la valeur d'utilisation "A", puis exécutez la commande key suivie du numéro d'index de la sous-clé.

Transférez la sous-clé "A" vers votre dispositif de sécurité en utilisant la commande keytocard, sélectionnez "3" lors de la demande de transfert, puis exécutez à nouveau la commande key pour désélectionner la sous-clé "A".

Trouvez la sous-clé avec la valeur d'utilisation "E", puis sélectionnez-la en utilisant la commande key.

Transférez la sous-clé "E" vers votre dispositif de sécurité en utilisant la commande keytocard, puis sélectionnez "2" lors de la demande.

Exécutez la commande save, puis appuyez sur Enter pour valider vos modifications dans votre trousseau de clés GPG.

Enfin, vérifiez que vous avez correctement exporté les sous-clés de votre machine en exécutant la commande gpg --list-secret-keys VOTRE-EMAIL-GPG@ADRESSE. Cela devrait afficher un symbole supérieur (>) à côté des étiquettes "ssb" de vos sous-clés.

4. Sauvegardez votre clé privée principale sur papier

En plus des clés de sécurité, vous pouvez également sécuriser votre clé GPG sous Linux en l'exportant dans un fichier texte imprimable. Paperkey est un utilitaire en ligne de commande simple qui prend votre clé privée et la réduit à ses bytes secrets essentiels. Cela est utile si vous cherchez un moyen de conserver votre clé GPG en dehors des appareils numériques.

Pour commencer, installez paperkey à partir du référentiel de packages de votre distribution Linux :

sudo apt install paperkey

Exportez la version binaire de vos clés privée et publique principales :

gpg --export-secret-key --output secret.gpg VOTRE-EMAIL-GPG@ADRESSE gpg --export --output public.gpg VOTRE-EMAIL-GPG@ADRESSE

Convertissez votre clé privée binaire en données secrètes essentielles :

paperkey --secret-key secret.gpg --output core-secret.txt

Confirmez que vous pouvez reconstruire votre clé privée principale à partir de votre sauvegarde paperkey :

paperkey --pubring public.gpg --secrets core-secret.asc --output secret.gpg

Ouvrez votre fichier secret de base à l'aide de votre éditeur de texte graphique préféré. Dans mon cas, j'utilise l'éditeur de texte par défaut de GNOME.

Cliquez sur le menu Options dans le coin supérieur droit de la fenêtre, puis sélectionnez l'entrée de sous-menu "Imprimer".

5. Supprimez votre clé privée principale du système

Lorsque vous générez une nouvelle clé GPG, votre ordinateur stocke une copie des clés publique et privée dans votre système de fichiers. Bien que pratique, cela peut poser un problème si vous utilisez un ordinateur en réseau ou à accès partagé.

Une solution consiste à supprimer la clé privée de votre trousseau de clés GPG. Cela garantira qu'un acteur malveillant ne pourra pas extraire votre clé privée de votre ordinateur pour signer et certifier des sous-clés.

Commencez par sauvegarder votre clé privée principale d'origine et vos sous-clés :

gpg --export-secret-key --armor --output private.asc VOTRE-EMAIL-GPG@ADRESSE gpg --export-secret-subkeys --armor --output sub-private.asc VOTRE-EMAIL-GPG@ADRESSE

Chiffrez votre bloc de clé privée principale de sortie en utilisant un chiffrement symétrique :

gpg --symmetric private.asc

Fournissez un mot de passe relativement fort pour vos données de clé privée, puis appuyez sur Enter.

Stockez votre clé privée GPG chiffrée sur un support de stockage externe.

Supprimez toutes les données de clés privées de votre paire de clés GPG :

gpg --delete-secret-key VOTRE-EMAIL-GPG@ADRESSE

Importez le bloc de sous-clé secrète dans votre paire de clés GPG :

gpg --import sub-private.asc

Exécutez la commande suivante pour vérifier si votre clé privée principale existe toujours dans votre système :

gpg --list-secret-keys VOTRE-EMAIL-GPG@ADRESSE

Cela devrait afficher un signe dièse (#) à côté de l'étiquette "sec" de la clé principale. Cela indique que votre clé privée n'existe plus dans votre trousseau de clés GPG.

Apprendre à sécuriser votre clé GPG avec ces conseils simples ne représente qu'une partie de l'exploration du vaste écosystème de la cryptographie à clé publique. Approfondissez ce programme en vous connectant à des serveurs SSH à l'aide de GPG.

Les questions et réponses à ne pas manquer

Qu'est-ce qu'une clef GPG ?

Une clé GPG est une version open-source de PGP, un outil permettant de chiffrer, déchiffrer et signer différents types de contenu. Elle offre une sécurité renforcée pour la protection des informations sensibles en utilisant des algorithmes de cryptographie. Son utilisation est courante dans la gestion des mots de passe, la messagerie sécurisée et la vérification d'intégrité des fichiers.

Pourquoi GPG ne demande pas avec quelle clé doit être fait le déchiffrement ?

GPG ne demande pas avec quelle clé doit être effectué le déchiffrement car il utilise le trousseau de clés GPG (gpg-agent ou celui de votre environnement de bureau) qui peut être préalablement lancé et a mémorisé la phrase de passe sur votre machine. Cela permet d'éviter de demander à chaque fois la clé utilisée pour le déchiffrement, ce qui facilite et accélère le processus.

Comment installer GPG ?

Pour installer GPG sur Windows, téléchargez la suite GPG4win à partir de https://www.gpg4win.org/ en cliquant sur 'Télécharger Gpg4win'. Assurez-vous de télécharger la version 3.1.5. Une fois le programme téléchargé, exécutez le fichier gpg4win-.exe pour l'installer sur votre ordinateur.

Comment obtenir une clé PGP ?

Pour obtenir une clé PGP, suivez ces étapes simples : 1. Téléchargez et installez les outils GPG correspondants à votre système d'exploitation. 2. Ouvrez le Terminal. 3. Générez une paire de clés PGP. 4. Suivez les invites pour spécifier le type de clé souhaité ou appuyez simplement sur Enter pour accepter la valeur par défaut. En suivant ces étapes, vous serez en mesure de générer facilement une clé PGP pour vos besoins de sécurité en ligne.

Index
  1. 1. Créez des sous-clés pour chaque fonction GPG
  2. 2. Fixez une date d'expiration pour vos clés
  3. 3. Enregistrez vos clés GPG sur une clé de sécurité
  4. 4. Sauvegardez votre clé privée principale sur papier
  5. 5. Supprimez votre clé privée principale du système
  6. Les questions et réponses à ne pas manquer
    1. Qu'est-ce qu'une clef GPG ?
    2. Pourquoi GPG ne demande pas avec quelle clé doit être fait le déchiffrement ?
    3. Comment installer GPG ?
    4. Comment obtenir une clé PGP ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Go up