GPG - retirer la clef de signature de la clef principale Le sujet est résolu

Demande d'aide : c'est ici.
Répondre
Avatar du membre
vohu
Membre
Membre
Messages : 438
Enregistré le : 16 avr. 2016, 12:02
Localisation : Strasbourg
Status : Hors ligne

02 déc. 2018, 20:35

Bonsoir,

Lorsque j'ai généré mes clefs GPG il y a longtemps, j'ai généré une clef principale [SC]... J'ai fait une grosse erreur.


Je pense que la réponse est "non", mais je me demande s'il est possible de séparer ces 2 clefs afin de garder uniquement le certificat dans la clef principale. Régénérer une nouvelle clef serait assez lourd à gérer (car il faudrait garder l'ancienne clef pour toujours pour pouvoir continuer à déchiffrer mes anciens mails)


merci :)
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 2871
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : En ligne

03 déc. 2018, 08:34

Salut vohu,
tu parles de la passphrase ?
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 2871
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : En ligne

03 déc. 2018, 08:41

Si du parles de clefs primaires et de sous clefs, tu peux exporter les sosus clefs.
Un tuto https://www.nextinpact.com/news/102685- ... rfaite.htm
Avatar du membre
lol
Membre hyper actif
Membre hyper actif
Messages : 2952
Enregistré le : 04 avr. 2016, 12:11
Localisation : Madagascar
Contact :
Status : Hors ligne

03 déc. 2018, 12:45

Désolé, la réponse de Vohu est passée entre les mailles du filet...
vohu - 03 déc. 2018 14:25 a écrit :Ma clef principale est [SC]
Je voudrai dégager la clef de signature de la clef principale.
Debian SID. XFCE.
C'est curieux chez les marins ce besoin de faire des phrases (Les tontons flingueurs).
Générateur de sources.list!
Avatar du membre
vohu
Membre
Membre
Messages : 438
Enregistré le : 16 avr. 2016, 12:02
Localisation : Strasbourg
Status : Hors ligne

03 déc. 2018, 18:07

lol a écrit :
03 déc. 2018, 12:45
Désolé, la réponse de Vohu est passée entre les mailles du filet...
vohu - 03 déc. 2018 14:25 a écrit :Ma clef principale est [SC]
Je voudrai dégager la clef de signature de la clef principale.
Ce qui confirme le changement de serveur :D
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 2871
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : En ligne

04 déc. 2018, 20:09

c'est dans le tuto dont j'ai donné le lien
Avatar du membre
vohu
Membre
Membre
Messages : 438
Enregistré le : 16 avr. 2016, 12:02
Localisation : Strasbourg
Status : Hors ligne

04 déc. 2018, 21:11

Je suis peut être fatigué. Dans ce tuto ils expliquent bien comment créer des clefs gpg où la clef principale n'a que la capacité de certifier (juste C). Mais pas comment retirer la capacité de signer lorsqu'elle est déjà SC
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 2871
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : En ligne

05 déc. 2018, 17:46

dans la partie "exporter les sous clefs".

Ou alors c'est que je n'ai pas compris ton problème.
Tu veux bien dissocier tes sous clef de ta clef principale ?
jim
Membre
Membre
Messages : 22
Enregistré le : 01 mai 2016, 10:53
Status : Hors ligne

05 déc. 2018, 18:23

vohu a écrit :
04 déc. 2018, 21:11
Je suis peut être fatigué. Dans ce tuto ils expliquent bien comment créer des clefs gpg où la clef principale n'a que la capacité de certifier (juste C). Mais pas comment retirer la capacité de signer lorsqu'elle est déjà SC
salut
attention, si ta clé est déjà diffusée sur les serveurs ou déjà partagée, il est préférable de révoquer la sous-clé qui sert à signer que plutôt de la supprimer, sinon en le supprimant, les autres utilisateurs ne pourront pas se rendre compte que tu ne l'utilise plus et ce sera trop tard pour la révoquer.
pour supprimer une sous clé, il faut éditer la clé principale:
-gpg --edit-key <<sonuid>>
sous l'invite gpg> il faut saisir key <<uid de la sous-clé>>
un astérisque * apparait ensuite à coté de la sous clé
tu saisis: delkey
tu confirmes y et save
Avatar du membre
vohu
Membre
Membre
Messages : 438
Enregistré le : 16 avr. 2016, 12:02
Localisation : Strasbourg
Status : Hors ligne

05 déc. 2018, 18:59

Oui, mais clef de signature n'est pas une sous-clef.... c'est bien ça le problème.

Code : Tout sélectionner

gpg --list-key mail@exemple.fr
pub   rsa4096/0xABCDEF1234567 2017-01-08 [SC]
Empreinte de la clef = ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE
J'aimerai avec la même clef avoir

Code : Tout sélectionner

gpg --list-key mail@exemple.fr
pub   rsa4096/0xABCDEF1234567 2017-01-08 [C]
Empreinte de la clef = ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE
jim
Membre
Membre
Messages : 22
Enregistré le : 01 mai 2016, 10:53
Status : Hors ligne

05 déc. 2018, 20:11

vohu a écrit :
05 déc. 2018, 18:59
Oui, mais clef de signature n'est pas une sous-clef.... c'est bien ça le problème.

Code : Tout sélectionner

gpg --list-key mail@exemple.fr
pub   rsa4096/0xABCDEF1234567 2017-01-08 [SC]
Empreinte de la clef = ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE
J'aimerai avec la même clef avoir

Code : Tout sélectionner

gpg --list-key mail@exemple.fr
pub   rsa4096/0xABCDEF1234567 2017-01-08 [C]
Empreinte de la clef = ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE
d'accord j'ai mieux compris, tu as regardé la robustesse de la clé ? si tu vois Self-sig hash algorithms: [SHA-512], il n'y a aucun risque.
apt-get install hopenpgp-tools
hkt export-pubkeys '<empreinte>' | hokey lint
Avatar du membre
vohu
Membre
Membre
Messages : 438
Enregistré le : 16 avr. 2016, 12:02
Localisation : Strasbourg
Status : Hors ligne

05 déc. 2018, 20:18

jim a écrit :
05 déc. 2018, 20:11
... tu as regardé la robustesse de la clé ? si tu vois Self-sig hash algorithms: [SHA-512], il n'y a aucun risque.
Pourquoi tu parles de risque ? Je voudrai juste séparer mes clefs si c'est possible.
jim
Membre
Membre
Messages : 22
Enregistré le : 01 mai 2016, 10:53
Status : Hors ligne

05 déc. 2018, 21:35

vohu a écrit :
05 déc. 2018, 20:18
jim a écrit :
05 déc. 2018, 20:11
... tu as regardé la robustesse de la clé ? si tu vois Self-sig hash algorithms: [SHA-512], il n'y a aucun risque.
Pourquoi tu parles de risque ? Je voudrai juste séparer mes clefs si c'est possible.
risque qu'une signature soit substituée et que l'objet était alors de remplacer par une sous clé plus robuste ni plus ni moins, dans le man gpg, je vois bien delsig (enlever les signatures) mais rien qui enlève la capacité d'une clé à signer..à suivre..si c'est alors possible.
Avatar du membre
piratebab
Site Admin
Site Admin
Messages : 2871
Enregistré le : 24 avr. 2016, 18:41
Localisation : sud ouest
Status : En ligne

06 déc. 2018, 15:55

extrait de la doc gnupg
change-usage

Change the usage flags (capabilities) of the primary key or of subkeys. These usage flags (e.g. Certify, Sign, Authenticate, Encrypt) are set during key creation. Sometimes it is useful to have the opportunity to change them (for example to add Authenticate) after they have been created. Please take care when doing this; the allowed usage flags depend on the key algorithm.
jim
Membre
Membre
Messages : 22
Enregistré le : 01 mai 2016, 10:53
Status : Hors ligne

06 déc. 2018, 20:59

piratebab a écrit :
06 déc. 2018, 15:55
extrait de la doc gnupg
change-usage

Change the usage flags (capabilities) of the primary key or of subkeys. These usage flags (e.g. Certify, Sign, Authenticate, Encrypt) are set during key creation. Sometimes it is useful to have the opportunity to change them (for example to add Authenticate) after they have been created. Please take care when doing this; the allowed usage flags depend on the key algorithm.
salut, bien vu piratebab, c'est en effet possible et j'ai changé un flag, j'ai fait un test: j'ai sélectionné le flag S de la clé primaire en le remplaçant par A
et même le supprimer.
Avatar du membre
vohu
Membre
Membre
Messages : 438
Enregistré le : 16 avr. 2016, 12:02
Localisation : Strasbourg
Status : Hors ligne

06 déc. 2018, 21:15

Merci Piratebab

Je n'étais jamais tombé sur cette option qui est très peu documentée. Ma clef ne semble pas être compatible à ce changement, car l'option n'est pas disponible.
Enfin, de toute façon, il s'agit de changer la capacité seulement. Du coup, je vais régénérer de nouvelles clef à l'expiration des actuelles.

Merci :)
Répondre