En effet, les clés et sous-clés ne doivent jamais être supprimées mais révoquées.
Cela permet de continuer à déchiffrer les anciens documents et vérifier les anciennes signatures.
La révocation se fait via le mode interactif et la commande revkey
Mais pour cela, il faut obligatoirement disposer de la paire de clé maitresse et de la phrase de passe.
En cas de perte de la clé maitresse ou la perte de la phrase de passe, il n'est plus possible de faire quoi que ce soit, il est donc impératif de créer le certificat de révocation de notre clé maitresse afin de la révoquer et pour pouvoir en créer une nouvelle. C'est une question de sécurité nationnale ;-)
# gpg --output revoke.asc --gen-revoke 0D6FE738
sec 2048R/0D6FE738 2015-09-11 Jean Michel A Peu Près <jm@apeupres.fr>
Create a revocation certificate for this key? (y/N) y
Please select the reason for the revocation:
0 = No reason specified
1 = Key has been compromised
2 = Key is superseded
3 = Key is no longer used
Q = Cancel
(Probably you want to select 1 here)
Your decision? 0
Choisir le motif de la révocation
Enter an optional description; end it with an empty line:
>
Saisir une description optionnelle
Reason for revocation: No reason specified
(No description given)
Is this okay? (y/N) y
Valider avec y pour YES
You need a passphrase to unlock the secret key for
user: "Jean Michel A Peu Près <jm@apeupres.fr>"
2048-bit RSA key, ID 0D6FE738, created 2015-09-11
Saisir la phrase de passe
gpg: gpg-agent is not available in this session
ASCII armored output forced.
Revocation certificate created.
Please move it to a medium which you can hide away; if Mallory gets
access to this certificate he can use it to make your key unusable.
It is smart to print this certificate and store it away, just in case
your media become unreadable. But have some caution: The print system of
your machine might store the data and make it available to others!
Ce certificat de révocation doit être stocké en lieu sûr et surtout pas avec la clé maitresse.
En cas de guerre nucléaire ;-) pour révoquer la clé maitresse:
# gpg --import revoke.asc
Aucune confirmation demandée. La clé maitresse est aussitôt révoquée.