GPG - retirer la clef de signature de la clef principale Le sujet est résolu
- vohu
- Membre
- Messages : 436
- Enregistré le : 16 avr. 2016, 12:02
- Localisation : Strasbourg
- Status : Hors ligne
Bonsoir,
Lorsque j'ai généré mes clefs GPG il y a longtemps, j'ai généré une clef principale [SC]... J'ai fait une grosse erreur.
Je pense que la réponse est "non", mais je me demande s'il est possible de séparer ces 2 clefs afin de garder uniquement le certificat dans la clef principale. Régénérer une nouvelle clef serait assez lourd à gérer (car il faudrait garder l'ancienne clef pour toujours pour pouvoir continuer à déchiffrer mes anciens mails)
merci :)
Lorsque j'ai généré mes clefs GPG il y a longtemps, j'ai généré une clef principale [SC]... J'ai fait une grosse erreur.
Je pense que la réponse est "non", mais je me demande s'il est possible de séparer ces 2 clefs afin de garder uniquement le certificat dans la clef principale. Régénérer une nouvelle clef serait assez lourd à gérer (car il faudrait garder l'ancienne clef pour toujours pour pouvoir continuer à déchiffrer mes anciens mails)
merci :)
- piratebab
- Site Admin
- Messages : 2714
- Enregistré le : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : En ligne
Si du parles de clefs primaires et de sous clefs, tu peux exporter les sosus clefs.
Un tuto https://www.nextinpact.com/news/102685- ... rfaite.htm
Un tuto https://www.nextinpact.com/news/102685- ... rfaite.htm
- lol
- Membre hyper actif
- Messages : 2917
- Enregistré le : 04 avr. 2016, 12:11
- Localisation : Madagascar
- Contact :
- Status : Hors ligne
Désolé, la réponse de Vohu est passée entre les mailles du filet...
vohu - 03 déc. 2018 14:25 a écrit :Ma clef principale est [SC]
Je voudrai dégager la clef de signature de la clef principale.
Debian SID. XFCE.
C'est curieux chez les marins ce besoin de faire des phrases (Les tontons flingueurs).
Générateur de sources.list!
C'est curieux chez les marins ce besoin de faire des phrases (Les tontons flingueurs).
Générateur de sources.list!
- vohu
- Membre
- Messages : 436
- Enregistré le : 16 avr. 2016, 12:02
- Localisation : Strasbourg
- Status : Hors ligne
- vohu
- Membre
- Messages : 436
- Enregistré le : 16 avr. 2016, 12:02
- Localisation : Strasbourg
- Status : Hors ligne
Je suis peut être fatigué. Dans ce tuto ils expliquent bien comment créer des clefs gpg où la clef principale n'a que la capacité de certifier (juste C). Mais pas comment retirer la capacité de signer lorsqu'elle est déjà SC
-
- Membre
- Messages : 22
- Enregistré le : 01 mai 2016, 10:53
- Status : Hors ligne
salut
attention, si ta clé est déjà diffusée sur les serveurs ou déjà partagée, il est préférable de révoquer la sous-clé qui sert à signer que plutôt de la supprimer, sinon en le supprimant, les autres utilisateurs ne pourront pas se rendre compte que tu ne l'utilise plus et ce sera trop tard pour la révoquer.
pour supprimer une sous clé, il faut éditer la clé principale:
-gpg --edit-key <<sonuid>>
sous l'invite gpg> il faut saisir key <<uid de la sous-clé>>
un astérisque * apparait ensuite à coté de la sous clé
tu saisis: delkey
tu confirmes y et save
- vohu
- Membre
- Messages : 436
- Enregistré le : 16 avr. 2016, 12:02
- Localisation : Strasbourg
- Status : Hors ligne
Oui, mais clef de signature n'est pas une sous-clef.... c'est bien ça le problème.
J'aimerai avec la même clef avoir
Code : Tout sélectionner
gpg --list-key mail@exemple.fr
pub rsa4096/0xABCDEF1234567 2017-01-08 [SC]
Empreinte de la clef = ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE
Code : Tout sélectionner
gpg --list-key mail@exemple.fr
pub rsa4096/0xABCDEF1234567 2017-01-08 [C]
Empreinte de la clef = ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE
-
- Membre
- Messages : 22
- Enregistré le : 01 mai 2016, 10:53
- Status : Hors ligne
d'accord j'ai mieux compris, tu as regardé la robustesse de la clé ? si tu vois Self-sig hash algorithms: [SHA-512], il n'y a aucun risque.vohu a écrit : ↑05 déc. 2018, 18:59Oui, mais clef de signature n'est pas une sous-clef.... c'est bien ça le problème.
J'aimerai avec la même clef avoirCode : Tout sélectionner
gpg --list-key mail@exemple.fr pub rsa4096/0xABCDEF1234567 2017-01-08 [SC] Empreinte de la clef = ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE
Code : Tout sélectionner
gpg --list-key mail@exemple.fr pub rsa4096/0xABCDEF1234567 2017-01-08 [C] Empreinte de la clef = ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE
apt-get install hopenpgp-tools
hkt export-pubkeys '<empreinte>' | hokey lint
- vohu
- Membre
- Messages : 436
- Enregistré le : 16 avr. 2016, 12:02
- Localisation : Strasbourg
- Status : Hors ligne
-
- Membre
- Messages : 22
- Enregistré le : 01 mai 2016, 10:53
- Status : Hors ligne
risque qu'une signature soit substituée et que l'objet était alors de remplacer par une sous clé plus robuste ni plus ni moins, dans le man gpg, je vois bien delsig (enlever les signatures) mais rien qui enlève la capacité d'une clé à signer..à suivre..si c'est alors possible.
- piratebab
- Site Admin
- Messages : 2714
- Enregistré le : 24 avr. 2016, 18:41
- Localisation : sud ouest
- Status : En ligne
extrait de la doc gnupg
change-usage
Change the usage flags (capabilities) of the primary key or of subkeys. These usage flags (e.g. Certify, Sign, Authenticate, Encrypt) are set during key creation. Sometimes it is useful to have the opportunity to change them (for example to add Authenticate) after they have been created. Please take care when doing this; the allowed usage flags depend on the key algorithm.
change-usage
Change the usage flags (capabilities) of the primary key or of subkeys. These usage flags (e.g. Certify, Sign, Authenticate, Encrypt) are set during key creation. Sometimes it is useful to have the opportunity to change them (for example to add Authenticate) after they have been created. Please take care when doing this; the allowed usage flags depend on the key algorithm.
-
- Membre
- Messages : 22
- Enregistré le : 01 mai 2016, 10:53
- Status : Hors ligne
salut, bien vu piratebab, c'est en effet possible et j'ai changé un flag, j'ai fait un test: j'ai sélectionné le flag S de la clé primaire en le remplaçant par Apiratebab a écrit : ↑06 déc. 2018, 15:55extrait de la doc gnupg
change-usage
Change the usage flags (capabilities) of the primary key or of subkeys. These usage flags (e.g. Certify, Sign, Authenticate, Encrypt) are set during key creation. Sometimes it is useful to have the opportunity to change them (for example to add Authenticate) after they have been created. Please take care when doing this; the allowed usage flags depend on the key algorithm.
et même le supprimer.
- vohu
- Membre
- Messages : 436
- Enregistré le : 16 avr. 2016, 12:02
- Localisation : Strasbourg
- Status : Hors ligne
Merci Piratebab
Je n'étais jamais tombé sur cette option qui est très peu documentée. Ma clef ne semble pas être compatible à ce changement, car l'option n'est pas disponible.
Enfin, de toute façon, il s'agit de changer la capacité seulement. Du coup, je vais régénérer de nouvelles clef à l'expiration des actuelles.
Merci :)
Je n'étais jamais tombé sur cette option qui est très peu documentée. Ma clef ne semble pas être compatible à ce changement, car l'option n'est pas disponible.
Enfin, de toute façon, il s'agit de changer la capacité seulement. Du coup, je vais régénérer de nouvelles clef à l'expiration des actuelles.
Merci :)