PGP story : ma nouvelle clé publique, pasque je le vaux bien

closeCet article a été publié il y a 1 an 8 mois 21 jours, il est donc possible qu’il ne soit plus à jour. Les informations proposées sont donc peut-être dépassées...

Je ne sais pas si vous vous en rappelez, mais j’ai publié un article en février 2014 où je vous présentais ma clé publique dans le cadre des billets vers plus de libre et de privacy  .

Bon, oubliez cette clé. La bonne clé publique PGP est là. Comme beaucoup de noob, je pensais avoir mis la passphrase en sécurité sur mon Trisquel et sur un papier dans un boîte à chaussures et j’avoue que je ne me rappelle pas avoir fait une clé de révocation à l’époque, parce que j’étais bête…

Et vu que je viens de déménager impossible de retrouver la boîte à chaussures et pire, comme un con, j’ai formaté bien comme il faut le disque dur Trisquel… Me voilà cuit avec une clé compromise. Ni une ni deux j’en fait une autre avec un peu plus d’attention, enfin j’espère.

Du coup quelques conseils en plus de ceux que j’ai déjà donnés et qui ne sont pas vraiment des conseils puisque vous pouvez les lire partout, mais autant continuer d’enfoncer le clou. J’ai bien fait la connerie hein !

J’ai donc réinstallé Thunderbird et Enigmail en suivant le tutoriel très bien fait et toujours d’actualités du Hollandais ici. Oui, je suis pas assez barbu pour utiliser de la ligne de commandes et j’aime bien les interfaces graphiques.

J’ai pris le soin de mettre en place un nouveau mot de passe de plus de 30 caractères y compris chiffres et spéciaux – je vous invite à jeter un œil sur les recommandations de l’ANSSI. Je publie la clé sur les serveurs MIT parce que j’ai envie et aussi sur un groupe de serveurs SKS parce qu’apparemment c’est mieux.

Après cela je créée la clé de révocation, je télécharge clé privée, clé publique et clé de révocation que je sauvegarde. Je sauvegarde sur une partition chiffrée la clé privée et celle de révocation et, en plus, je les imprime, plastifie et mets chez un tiers de confiance dans une enveloppe fermée. On ne m’y prendra pas deux fois !

J’ai laissé la date à 5 ans, contrairement à ce qui est écrit parfois, je ne l’utiliserai que peu, et je n’ai pas besoin de descendre cette date, amha, compte tenu des garde fou que j’ai utilisé sur la possibilité de révocation. En revanche dans l’article de Môssieur Bortzmeyer sur PGP il est fait mention d’une sous-clé, dépendante de la principale, pour une utilisation quotidienne et ainsi protéger la clé parente. Je n’ai pas trouvé de mode de configuration sur Enigmail, mais dans la gestion des clés il y a, sur une même clé, une clé primaire et une sous-clé. Est-ce un mode implémenté par défaut et les différentes sous-clés liées servent juste à différents usages ? J’en suis pas sûr…

D’autant que je ne suis pas sûr d’avoir totalement compris l’article sur Debian parlant de cela…

Si vous savez, commentez !

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *