Partie 4 : Générez et exportez vos clés GPG
Bon, vous êtes convaincus de l’utilité de GPG ? Vous avez installé les logiciels idoines ?
Let’s go ! Vous allez faire votre première action concrète pour l’utilisation de GPG : générer votre première clé !
Ou plus exactement votre première paire de clés, puisque rappelez vous : chaque clé GPG a en fait une face privée et une face publique.
Si toutefois vous êtes un peu largué, notamment sur le côté logique de la chose, clé publique ou privée, vous pouvez retourner chercher l’info dont vous avez besoin :
- Pourquoi vous devez utiliser GPG ?
- Partie 1 : Existe t-il des alternatives sérieuses à l’utilisation de GPG ?
- Partie 2 : Installation des outils de base
- Partie 3 : Un peu de théorie et de logique
- Partie 4 : Générez et exportez vos clés GPG
- Partie 5 : Signer son courriel
- Partie 6 : Lire et écrire du courrier chiffré
- Partie 7 : Signer des clés
- Partie 8 : Signer des fichiers
- Partie 9 : Chiffrer des fichiers
- Partie 10 : La configuration de GPG
Cet article peut sembler long ou ardu, mais il est important. Créer les clés prend juste quelques minutes et vous n’avez quasiment rien à faire. Donc s’il vous plait, prenez votre temps.
À noter
S’il y a des gens inquiets: vous pouvez tout à fait utiliser une adresse bidon pour ce tutoriel. Après tout, c’est bien ce que je fais avec l’adresse du tuto.
Après cela, vous vous refaîtes des clés gpg avec votre vraie adresse, en suivant à nouveau le tutoriel, mais vous ne les envoyez pas ici. Pas de soucis !
Génération de la clé
Ouvrez votre gestionnaire de clés : Kgpg, Kleopatra ou Énigmail (ou un autre encore…) et chercher l’option de création de clés.
Sous Kleopatra, il s’agit de Fichier > Nouveau certificat > Créer une paire de clés personnelles OpenPGP.
Sous Kgpg, il s’agit de Clés > Générer une paire de clés.
Sous Énigmail (donc dans Thunderbird lui-même), il s’agit de OpenPGP > Gestion de clés. Sélectionnez alors Générer > Nouvelle paire de clés.
L’adresse à indiquer
Le logiciel vous demandera quelle(s) adresse(s) vous voulez sécuriser avec votre clé. Vous pouvez en effet mettre plusieurs adresses. Pour le moment, c’est mieux de n’en mettre qu’une.
Algorithme
Il vous sera peut-être proposé plusieurs algorithmes : DSA & ElGamal, RSA & RSA ou RSA.
Choisissez RSA & RSA (dans Enigmail, onglet Avancé…, il s’agit de l’option RSA). Il s’agit de la combinaison d’algorithmes la plus forte et permet de chiffrer et signer.
Longueur de clé
On vous demandera aussi la longueur de la clé à générer, avec ce choix : 1024, 2048 ou 4096 bits. Il y a peut-être d’autres choix, mais globalement c’est ça.
Cette question indique en fait quelle sera la force de votre clé, sa solidité, mais aussi le temps necessaire à la génération de la clé.
La longueur de clé choisie va demander au générateur de hasard de votre ordinateur une certaine quantité d’entropie, quantité exprimée avec ce nombre en bits.
Je dois ici avouer ne pas comprendre vraiment le fondement profond de la chose.
Dès que j’essaye de comprendre ces concepts d’entropie, de quantité d’entropie, je suis largué.
En revanche, ce que je comprends bien, c’est que plus il y a d’entropie, plus la clé est forte et le chiffrement difficile à casser.
Aujourd’hui, il est très recommandé de mettre 4096 bits. D’ailleurs je pense que les prochaines versions des logiciels OpenPGP verront apparaître des tailles de clés supérieures (puisque pour l’instant, 4096 est la limite) et/ou de nouveaux algorithmes.
La génération de la clé va prendre pas mal de temps. Il ne faut donc pas s’inquiéter ou arreter votre logiciel précipitement.
Vous pouvez réduire ce temps en utilisant votre ordinateur. En effet, plus vous utilisez votre ordinateur (particulièrement les accès disques), plus vous générez l’entropie pour le générateur de hasard.
L’idéal, c’est donc d’en profiter pour mettre à jour sa distribution (haute utilisation du disque dur) et d’aller jeter un coup d’oeil sur la dernière vidéo de chaton sur vimeo…
Durée de validité
On vous demandera normalement combien de temps la clé doit rester valide.
Moi, ce que je fais, c’est que je donne une durée de validité d’un an, que je repousse juste avant (un mois avant) l’échéance.
Il s’agit ici de ce qu’on appellerait un dispositif de l’homme mort : si vous veniez à perdre le contrôle de votre clé, celle-ci s’éteindra d’elle-même.
Passphrase
Il vous sera demandé une passphrase. Une passphrase est un mot de passe très long. Donc par exemple quinze ou vingt caractères.
Il existe plusieurs excellentes méthodes pour créer un bon mot de passe.
Bonus pour les profs de français ou les gens vivants en pays étranger :
utilisez un mot compliqué, tel qu’un verbe particulièrement ardu de la langue française à un temps de conjugaison improbable,
et hop, le mot de passe est presque impossible à trouver pour un humain puisque peu de monde comprend votre langue, du moins à ce niveau.
Moi, ce que je fais, c’est que je prends un ou des mots de mon environnement immédiat, ou un concept auquel je pense (en français, donc j’ai déjà l’avantage indiqué au dessus).
Puis je le tords. Je remplace le A par un À ou un @. Le L par ! ou autre chose du même genre. J’ajoute des chiffres à un endroit choisi dans le mot.
Deux ou trois changements de cet acabit et le mot est méconnaissable et donc difficile à deviner pour un humain, et un ordinateur (à cause de sa longueur).
De l’utilité de la passphrase
Vous pouvez choisir de ne pas mettre de passphrase. Je dois avouer ne pas l’avoir fait durant un long moment. Aujourd’hui je le fais et je le recommande.
Ça ajoute tout simplement une sécurité supplémentaire. Chaque fois que vous utiliserez votre clé, pour signer ou déchiffrer un message, ce mot de passe vous sera demandé.
Si vous n’êtes pas le seul à utiliser votre ordinateur, ou si vous utilisez vos clés gpg sur votre tablette ou votre smartphone (qu’on laisse fréquemment accessible sans le verrouiller), alors vous avez intérêt à donner une passphrase.
Certificat de revocation
Il est très probable que le gestionnaire de clé vous propose de générer un certificat de révocation. C’est en effet une très bonne chose, donc faîtes le s’il vous plait.
En cas de perte de la clé, de corruption, que quelqu’un entre en possession de votre clé privée, hop, on publie ce certificat de révocation sur les serveurs de clés. Très rapidement, par le jeu des mises à jour mutuelles des serveurs, la clé est marquée comme invalide sur l’ensemble du monde internet.
Ceci constitue donc une sécurité pour le cas où on vous volerait la clé privée.
Si le logiciel ne vous propose pas la création d’un certificat de révocation, ne vous en faîtes pas, je vous expliquerais la démarche en détail dans un article futur.
Si vous voulez changer de clé proprement, ce n’est absolument pas la bonne méthode. Je vous en parlerais dans un autre article.
Exercice
Comme j’ai pensé ce tutoriel comme pédagogique, je vais faire des petits exercices ici et dans les articles suivants. Pour les besoins de ces exercices, j’ai créée une adresse courriel sur mon serveur et des clés pour cette adresse.
Ces clés ne seront jamais utilisées pour une autre raison que ce tutoriel.
Je vais vous demander en l’occurence d’exporter votre clé publique fraichement générée, et de me l’envoyer en courriel, tout simplement. C’est ce que beaucoup de personnes font pour échanger leurs clés.
Je vous renverrais alors un courriel où je vous dirais si votre clé a les bonnes caractéristiques. J’ai également besoin de votre clé pour l’exercice de l’article suivant.
Exporter sa clé
Pour m’envoyer votre clé, il vous faut l’exporter.
Pour se faire, vous devez le demander à votre gestionnaire de clés.
Faîtes bien attention, votre gestionnaire de clés pourra vous proposer d’exporter la paire de clés complète ou la clé privée.
Je parle bien, ici, de votre clé publique !
En effet, comme on l’a déjà signalé plus tot, et comme son nom l’indique bien, la clé publique est à la disposition de tous.
Le gestionnaire de clé va vous proposer l’exportation de votre clé sous forme d’un fichier d’extension gpg ou asc.
Ce fichier est en fait un bête fichier texte, qui contient la clé publique, sous la forme d’une longue suite de caractères. Vous pouvez en effet ouvrir le fichier avec Notepad ou un autre éditeur de texte par exemple.
Et non, OpenOffice ou Word ne sont pas des éditeurs texte!
Toutefois, si vous ouvrez le fichier texte, ne le modifiez surtout pas !
Vous pouvez alors me l’envoyer en pièce jointe d’un courriel à Tuto-gpg @ 22decembre.eu. Ni plus, ni moins.
NB : Kmail (client courriel de KDE), propose également dans son menu Joindre… de mettre sa clé publique en pièce jointe du courriel. Tout simple.
Voila, vous avez fait votre exercice ! Venez lire la suite.
D’autres liens
Vous pouvez trouver d’autres conseils intéressants ici :