Supprimer la clé privée maitresse du trousseau

Pourquoi supprimer (ou plutôt enlever) la clé privée maitresse de notre trousseau ?
Pour plus de sécurité.

Nous n'avons pas besoin de la clé privée maitresse pour signer et déchiffrer des documents.
Seules les sous-clés privées sont nécessaires.

Dans le cas où vous ne souhaitez pas faire d'autres opérations nécessitant la clé privée maitresse (signatures de clés publiques, ajout de sous-clés, révocation de sous-clés etc etc...), autant la supprimer du trousseau et la conserver à l'abris des regards indiscrets.

Attention Attention, avant de procéder à la suppression de la clé privée du trousseau, sauvegarder toutes les clés dans des fichiers comme indiqué ici Exporter (sauvegarder) les clés dans des fichiers

On affiche nos clés privées.

# gpg --list-secret-keys
/root/.gnupg/secring.gpg
------------------------
sec   2048R/0D6FE738 2015-09-11
uid                  Jean Michel A Peu Près <jm@apeupres.fr>
ssb   2048R/1C51C149 2015-09-11
ssb   2048R/219FE958 2015-09-11

Nous avons bien dans notre trousseau un clé privée maitresse 0D6FE738 et deux sous-clés privées 1C51C149 & 219FE958.
On supprime notre clé privée maitresse.

# gpg --delete-secret-keys 0D6FE738
gpg (GnuPG) 1.4.16; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

sec  2048R/0D6FE738 2015-09-11 Jean Michel A Peu Près <jm@apeupres.fr>

Delete this key from the keyring? (y/N) y
This is a secret key! - really delete? (y/N) y

On répond "y" aux deux questions.

On affiche à nouveau nos clés privées

# gpg --list-secret-keys

La commande ne retourne plus rien.
A ce stade, nous ne pouvons plus rien faire (ni signer, ni déchiffrer des documents) puisqu'en supprimant la clé privée maitresse, toutes les sous-clés privées ont été également supprimées.
Nous allons donc importer uniquement nos sous-clés privées (vous les avez normalement sauvegardées ;-).

# gpg --import subcle.asc
gpg: key 0D6FE738: secret key imported
gpg: key 0D6FE738: "Jean Michel A Peu Près <jm@apeupres.fr>" not changed
gpg: Total number processed: 1
gpg:              unchanged: 1
gpg:       secret keys read: 1
gpg:   secret keys imported: 1

La commande nous indique que la clé privée a bien été importée.
On vérifie en affichant la liste des clés privées.

# gpg --list-secret-keys
/root/.gnupg/secring.gpg
------------------------
sec#  2048R/0D6FE738 2015-09-11
uid                  Jean Michel A Peu Près <jm@apeupres.fr>
ssb   2048R/1C51C149 2015-09-11
ssb   2048R/219FE958 2015-09-11

Le symbole dièse "#" à coté de "sec" nous indique que la clé privée maitresse est manquante mais que nous avons bien les deux sous-clés privées (ssb).

Si, pour une raison x vous avez besoin de réimporter dans votre trousseau votre clé privée maitresse, procéder de cette manière.

Ouvrer votre coffre-fort et récupérer la sauvegarde de vos clés (Elles sont censées être stockées dans un lieu sûr).
Supprimer les sous-clés privées.

# gpg --delete-secret-keys 0D6FE738
gpg (GnuPG) 1.4.16; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

sec  2048R/0D6FE738 2015-09-10 Jean Michel A Peu Près <jm@apeupres.fr>

Delete this key from the keyring? (y/N) y
This is a secret key! - really delete? (y/N) y

Confirmer la suppression.
Vérifier la liste des clés privées.

# gpg --list-secret-keys

Notre trousseau ne contient plus de clés et sous-clés privées.
On importe notre clé privée maitresse (qui contient également les sous-clé privées).

# gpg --import clesec.asc
gpg: key 0D6FE738: secret key imported
gpg: key 0D6FE738: "Jean Michel A Peu Près <jm@apeupres.fr>" not changed
gpg: Total number processed: 1
gpg:              unchanged: 1
gpg:       secret keys read: 1
gpg:   secret keys imported: 1

On affiche nos clés privées importées.

# gpg --list-secret-keys
/root/.gnupg/secring.gpg
------------------------
sec   2048R/0D6FE738 2015-09-11
uid                  Jean Michel A Peu Près <jm@apeupres.fr>
ssb   2048R/1C51C149 2015-09-11
ssb   2048R/219FE958 2015-09-11

Le symbole "#" à coté de "sec" a disparu.
Notre clé privée maitresse a bien été restaurée.

Etiquettes: 
gpg

Commentaires

Snutin (non vérifié)

lun, 28/05/2018 - 10:40

Merci pour ce petit article, et cette série sur l'utilisation de GPG.
J'aurais juste une remarque concernant le réimport de la clé maitresse lorsque l'on en a besoin (par exemple pour certifier d'autres clés). Personnellement je trouve plus simple d'utiliser la variable --homedir de gpg sur le dossier gpg de mon coffre fort quand je le monte, cela évite de devoir réimporter puis supprimer la clé maitresse à chaque fois (même si ce n'est pas souvent).

ronan

lun, 28/05/2018 - 11:22

il est plus simple d'utiliser un lecteur amovible sur lequel se trouve le répertoire GPG.

Dans mon exemple, j'ai utilisé un serveur distant sur lequel je ne pouvais pas utiliser de lecteur amovible, c'est pour cette raison que j'ai opté pour le choix de la suppression de la clé privée.

Ronan

Ajouter un commentaire

Plus d'information sur les formats de texte

Filtered HTML

  • Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
CAPTCHA
Cette question permet de s'assurer que vous êtes un utilisateur humain et non un logiciel automatisé de pollupostage.
CAPTCHA visuel
Entrez les caractères (sans espace) affichés dans l'image.