path: root/index.html

<!doctype html>
<html lang="en-US">
	<head>
		<title>Créer la paire de clés GPG 'parfaite' - Alex Cabal</title>
		<meta charset="utf-8" />
		<meta name="description" content="Un article traduit depuis le site d'Alex Cabal. Ici, on apprend comment faire une paire de clés GPG presque 'parfaite' pour la vie de tout les jours sur son ordi portable."/>
		<meta name="keywords" content="paire clés gpg presque parfaite gnupg français guide alex cabal"/>
		<meta name="viewport" content="width=device-width, initial-scale=1"/>
		<meta name="theme-color" content="#19232c" />
		<link rel="icon" type="image/x-icon" href="/images/favicon_alex_cabal.ico"/>
        <link rel="stylesheet" href="css/core.css">
	</head>
	<body>

		<p style="padding:10px;text-align:center"><img src="images/flag_uk.svg" style="width:35px">  La version anglaise originale de ce texte est disponible <a href="https://alexcabal.com/creating-the-perfect-gpg-keypair">ici</a>.<br> Je tiens à noter : <em>je ne suis pas Alex Cabal</em>.</p>

		<header>
			<a href="https://alexcabal.com/" rel="author">Alex Cabal</a>
			<nav>
 				<ul>
 					<li>
 						<p>
 							<a href="https://alexcabal.com/about">À propos</a>
 						</p>
 					</li>
 					<li>
 						<p>
 							<a href="https://alexcabal.com/contact">Contactez
                            moi</a>
 						</p>
 					</li>
 				</ul>
 			</nav>
			<p>Je suis un développeur logiciel qui fait marcher <a
            href="https://www.scribophile.com">Scribophile, un groupe
            d'écrivains en ligne destiné à ceux qui sont sérieux par rapport à
            littérature</a>, un service de portfolio en ligne, <a
            href="https://writerfolio.com">Writerfolio</a>, pour les pigistes et
            <a href="https://standardebooks.org">Standard Ebooks, un projet à
            code ouvert qui produit des Ebooks libérés pour les vrais
            amoureux des livres</a>.</p>
		</header>
		<article>
			<h1>Créer la paire de clés GPG 'parfaite'</h1>
			<time datetime="2013-03-13">13 Mars 2013</time>
			<figure>
				<img src="images/lock.jpg" alt="A rusty lock." >
			</figure>
			<aside class="note">
		<!--		<p>Before you start reading, keep in mind that I’m a
        layperson, just like you. This guide was created by synthesizing a lot
        of different information and tutorials available online, but I’m not a
        GPG developer, or even a cryptography professional. I’m just an
        enthusiast who thinks encryption is a critical part of modern
        society.</p> -->
        <p>Avant que vous commenciez à lire, gardez à l'esprit que je suis un
        monsieur tout-le-monde, juste comme vous. Ce guide a été créé par la
        synthétisation de différentes sources d'informations et tutoriaux en
        ligne, mais je ne suis pas un développeur de GPG, ni un professionnel
        en cryptographie. Je suis juste un enthousiaste qui pense que le
        chiffrement est une partie critique de la société moderne.</p>
    
        <p>Le paysage des technologies de chiffrement change rapidement, le
        standard PGP est d'une complexité prêtant à confusion, et GPG est un
        bout de logiciel assomant d'opacité sous ses meilleurs jours.
        Il y a de nombreuses manières de créer une paire de clés
        fonctionnelle, et <em>ma</em> façon 'parfaite' n'est peut-être pas
        <em>la votre</em>.
        Silvouplaît, assurez-vous de faire votre propre recherche afin de
        d'être sûr que les explications et étapes ci-dessous font sens pour
        vous et votre situation.</p>

        <p>Pendant que je ferais de mon mieux pour garder ce guide à jour avec
        ce que je considère être les bonnes pratiques récentes, je ne peux
        rien garantir et ne peut pas répondre à quelconque questions
        concernant GPG.</p>

			</aside>

            
            <p>Il y a beaucoup d'informations en ligne sur comment créer une
            paire de clés GPG. Malheuresement beaucoup de celles-ci sont
            vielles et recommandent des paramètres qui aujourd'hui serait
            peut-être non sécurisé.</p>

            <p>Il n'y a aussi pas beaucoup d'information sur comment
            <em>protéger</em> votre paire de clés si vous utilisiez un
            ordinateur portable qui pourrait être volé ou perdu.</p>

            <p>Protéger votre paire de clés sur un ordinateur portable est
            compliqué.<p>

            <p>D'un côté, vous avez besoin de votre clé privé avec vous pour
            déchiffrer ou signer des messages.</p>

            <p>D'un autre côté, si votre ordinateur portable est volé alors
            vous risquez de perdre la totalité de votre identité numérique,
            parce que le voleur aura accés à votre clé privée et pourrait
            alors se faire passer pour vous.</p>

            <p>Vous penseriez qu'aujourd'hui, où les voyages à travers le
            monde et les ordinateurs portables sont choses communes, qu'il y
            aurait un petit peu plus d'information sur comment sécuriser une
            clé privée avec qui vous devez voyager. Mais je n'ai pu trouver
            seulement qu'une ressource: la <a
            href="http://wiki.debian.org/Fr/subkeys">page Wiki de Debian sur
            les sous-clés</a>.</p>
			<h2
            id="subkeys-help-protect-your-identity-in-case-of-private-key-laptop-theft">Les
            sous-clés aident à protéger votre identité en cas de vol de la clé
            privée (ou vol ordinateur portable)</h2>
            <p>Si un voleur met la main sur l'ordinateur portable avec votre clé
            privée dessus, c'est pratiquement <em>game over</em>. Le voleur
            peut non seulement déchiffrer les messages adressés à vous, il
            peut aussi vous imiter en signant vos messages avec votre clé
            privée. Votre seul recours serait de révoquer votre clé, mais ça
            voudrait dire perdre des années de signatures de confiance sur
            cette clé et basiquement vous créer un incomfort massif.</p>
            <p>
                Une partie de la réponse à ce problème est le concept des
                sousc-lés. Les sous-clés ne peuvent pas empêcher un voleur de
                déchiffrer les messages à l'intention de votre clé privée.
                Mais elles <em>peuvent</em> aider à mitiger les dommages
                causés à votre identité s'il adviendrait que votre clé soit
                perdue ou volée.
            </p>

            <p>Le concept derrière cette technique est comme il suit:</p>
            <ol>
                <li>
                    <p>
                    Créez une paire de clés GPG normale. Par défaut GPG créé
                    une sous-clé <em>de signature</em> (votre identité) et une
                    sous-clé <em>de chiffrement</em> (comment vous recevez les
                    messages vous étant destinés.
                    </p>
                </li>
                <li>
                    <p>
                    Utilisez GPG pour ajouter une sous-clé de signature
                    <em>additionnelle</em> à votre paire de clé. Cette
                    nouvelle sous-clé est lié à la première clé de signature.
                    Nous avons maitenant trois sous-clés.
                    </p>
                </li>
                <li>
                    <p>
                        Cette paire de clés est votre <b>paire de clés
                    maître</b>. Stockez là dans un endroit sécurisé tel que
                    votre maison ou un conteneur sécurisé (en banque par
                    exemple). La paire de clés maître est celle dont la perte
                    serait vraiment catastrophique.
                    </p>
                </li>
                <li>
                    <p>
                        Copiez votre paire de clés maître sur votre ordinateur
                        portable. Puis utilisez GPG pour <em>enlever la clé de
                        signature originelle</em>, laissant seulement la
                        nouvelle sous-clé de signature et de chiffrement. Ceci
                        transforme votre paire de clés maître en votre paire
                        de clés <b>d'ordinateur portable</b>.
                    </p>
                </li>
            </ol>

            <p>Votre paire de clé d'ordinateur portable est ce vous utiliserez
            pour un usage de GPG quotidien.</p>

            <p>Quel est le bénéfice de cette configuration? Puisque votre
            paire de clés maître n'est pas stockée sur votre ordinateur
            portable de voyage, celà veut dire que vous pouvez révoquez les
            sous-clés de votre ordinateur portable si celui-ci se fait voler.
            Vous ne révoquez pas la sous clé <em>originelle</em> que vous avez
            créé dans la paire de clé maître—souvenez-vous, nous l'avons
            enlevé de notre paire de clés d'ordinateur portable— celà veut
            dire que vous n'avez pas à créer une nouvelle paire de clés et de
            traverser le tracas d'avoir à la faire signer par des personnes.
            Vous auriez encore à revoquer la sous-clé volée, et le voleur
            pourrait encore l'utiliser pour déchiffrer n'importe quels
            messages que vous avez déjà reçu, mais au moins les dommages faits
            ne seront pas aussi catastrophique.</p>
			<h2 id="creating-the-perfect-gpg-keypair-step-by-step">Créer la
            paire de clés GPG 'parfaite', étape-par-étape</h2>
            <p>Je vais vous guider à travers les étapes pour créer une
            nouvelle paire de clés utilisant cette méthode de sous-clés. Pour
            faire ceci nous utiliserons GPG version 1.4.1, qui est la version
            distribuée en ce moment avec Ubuntu 12.04 LTS.</p>

            <aside class="note">
                <p>GPG peut être plutôt bruyant sur son flux de sortie.
                Quelques sorties de commandes ci-dessous peuvent être coupé dû
                à largeur fixée de ce blog; ce qui est coupé n'est pas
                vraiment important, mais vous pouvez le voir en le surlignant
                avec votre souris.
                </p>
            </aside>

			<h3 id="creating-your-initial-keypair">Créer votre paire de clés
            initiale</h3>
            <p>Utilisez la commande <span class="mono">gpg --full-generate-key
            </span>pour créer une nouvelle paire de clés GPG.</p>

            <p>Généralement vous devriez définir la date d'expiration de votre clé à
            environ une année ou moins. Vous pouvez toujours choisir la date
            d'expiration plus tard, mais si vous téléversez une clé sans une
            date d'expiration à un serveur de clés, et qu'ensuite votre clé
            est perdue ou compromise, alors la mauvaise clé restera là-bas
            à jamais. Lui donner une date d'expiration est une mesure de
            sécurité contre celà. Pour notre clé d'exemple et afin de
            simplifier un peu les choses, nous allons la définir sans date
            d'expiration.</p>
            <aside class="warning">
                <p>Quand vous créez votre nouvelle paire de clés, utilisez les
                plus hautes valeurs possibles pour la longueur de clé. Tandis
                que les ordinateurs deviennent plus puissant et que l'espace
                de stockage devient moins cher, il est concevable
                qu'une vilaine personne pourrait archiver un message qui n'est
                pas déchiffrable au moment même, puis ensuite 
                arrive à le déchiffrer dans le futur en utilisant un ordinateur plus
                puissant. Utiliser la plus haute valeur possible pour la
                longueur de clé vous protège de ce scénario. <em>N'utilisez
                pas le défaut de GPG, qui est 2048 ! <b>Plutôt 4096 ou 8192 si
                possible.</b></em></p>
            </aside>

			<code class="terminal raw" data-user="bilbo" data-host="laptop">gpg --gen-key
gpg (GnuPG) 1.4.11; Copyright (C) 2010 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Sélectionnez le type de clef désiré :
   (1) RSA et RSA (par défaut)
   (2) DSA et Elgamal
   (3) DSA (signature seule)
   (4) RSA (signature seule)
Quel est votre choix ? <kbd>1</kbd>
Les clefs RSA peuvent faire une taille comprise entre 1024 et 4096 bits.
Quelle taille de clef désirez-vous ? (2048) <kbd>4096</kbd>
La taille demandée est 4096 bits

Veuillez indiquer le temps pendant lequel cette clef devrait être valable.
    0 = la clef n'expire pas
    &lt;n&gt; = la clef expire dans n jours
    &lt;n&gt;w = la clef expire dans n semaines
    &lt;n&gt;m = la clef expire dans n mois
    &lt;n&gt;y = la clef expire dans n ans
Pendant combien de temps la clef est-elle valable ? <kbd>0</kbd>
La clef n'expire pas.
Est-ce correct (o/N) <kbd>o</kbd>

GnuPG doit construire une identité pour identifier la clef.
Nom réel : Marcel Dupont 
Adresse électronique : marcel.dupont@monmail.fr
Commentaire :

Vous avez sélectionné cette identité :
 "Marcel Dupont <marcel.dupont@monmail.fr> »
 Changer le (N)om, le (C)ommentaire, l'(A)dresse électronique
 ou (O)ui/(Q)uitter ? o
Vous avez besoin de saisir une phrase de passe afin de protéger votre clé privée.
<kbd>&lt;tapez votre phrase de passe&gt;</kbd>

gpg: clé 488BA441 marquée de confiance ultime
clé publique et privée créées et signées

gpg: vérification de la base de données de confiance
gpg: besoin de 3 marginaux , 1 complet, mode de confiance PGP
gpg: profondeur: 0  valide:   1  signée:   0  confiance: 0-, 0q, 0n, 0m, 0f, 1u
pub   4096R/488BA441 2013-03-13
      Empreinte de la clé = B878 1FB6 B187 B94C 3E52  2AFA EB1D B79A 488B A441
uid                  Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;
sub   4096R/69B0EA85 2013-03-13</code>

            <p> Quand on vous demande une phrase de passe, assurez-vous de
            choisir une qui soit longue et unique. Si votre clé se fait voler,
            cette phrase de passe est la seule chose qui la protège !

            <h3 id="adding-a-picture">Ajouter une photo</h3>
                <p> Vous voudriez peut-être ajouter une photo de vous-mêmes
                pour la complétude. Puisque la photo est stockée dans
                votre clé publique et que celle-ci est distribué dans beaucoup
                d'endroits, comprenant aussi l'email, c'est mieux de choisir
                une petite image pour ne pas prendre trop de place.
                <p>Utilisez la commande <span class="mono">gpg
                --edit-key</span>. Quand l'interpréteur de gpg (&gt;)
                apparaît, entrez la commande <span
                class="mono">addphoto</span> et fournissez à GPG le chemin
                vers la photo que vous souhaitez utiliser. Une fois que vous
                avez fini, tapez <span class="mono">save</span> dans le
                dernier prompt <span class="mono">gpg&gt;</span> afin
                d'enregistrer vos changements:
                </p>
                
			<code class="terminal raw" data-user="bilbo" data-host="laptop">gpg --edit-key marcel.dupont@monmail.fr
gpg (GnuPG) 1.4.11; Copyright (C) 2010 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

pub  4096R/488BA441  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub  4096R/69B0EA85  created: 2013-03-13  expires: never       usage: E
[ultimate] (1). Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;

gpg&gt; <kbd>addphoto</kbd>

Pick an image to use for your photo ID.  The image must be a JPEG file.
Remember that the image is stored within your public key.  If you use a
very large picture, your key will become very large as well!
Keeping the image close to 240x288 is a good size to use.

Enter JPEG filename for photo ID: <kbd>/home/marceldup/maphoto.jpg</kbd>
Is this photo correct (y/N/q)? <kbd>o</kbd>

You need a passphrase to unlock the secret key for
user: "Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;"
4096-bit RSA key, ID 488BA441, created 2013-03-13
<kbd>&lt;tapez votre phrase de passe&gt;</kbd>

pub  4096R/488BA441  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub  4096R/69B0EA85  created: 2013-03-13  expires: never       usage: E
[ultimate] (1). Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;
[ unknown] (2)  [jpeg image of size 5324]

gpg&gt; <kbd>save</kbd></code>
			<h3 id="strengthening-hash-preferences">Renforcer les préférences
            de hachages</h3>
            <p>Maintenant nous allons définir notre clé afin quelle préfère
            des <a
            href="https://fr.wikipedia.org/wiki/Fonction_de_hachage">hachages</a>
            plus robuste. Utilisez de nouveau la commande <span
            class="mono">gpg --edit-key</span>. Au prompt de <span
            class="mono">gpg&gt;</span>, entrez la commande  <span
            class="mono">setpref SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES
            CAST5 ZLIB BZIP2 ZIP Uncompressed</span> (notez que celle-ci sera
            problablement tronqué dans l'exemple ci-dessous; surlignez le avec
            votre souris pour le voir), puis ensuite <span
            class="mono">save</span>.</p>



			<code class="terminal raw" data-user="bilbo" data-host="laptop">gpg --edit-key marcel.dupont@monmail.fr
gpg (GnuPG) 1.4.11; Copyright (C) 2010 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
pub  4096R/488BA441  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub  4096R/69B0EA85  created: 2013-03-13  expires: never       usage: E
[ultimate] (1). Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;
[ultimate] (2)  [jpeg image of size 5324]

gpg&gt; <kbd>setpref SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed</kbd>
Set preference list to:
     Cypher: AES256, AES192, AES, CAST5, 3DES
     Digest: SHA512, SHA384, SHA256, SHA224, SHA1
     Compression: ZLIB, BZIP2, ZIP, Uncompressed
     Features: MDC, Keyserver no-modify
Really update the preferences? (o/N) <kbd>o</kbd>

You need a passphrase to unlock the secret key for
user: "Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;"
4096-bit RSA key, ID 488BA441, created 2013-03-13
<kbd>&lt;tapez votre phrase de passe&gt;</kbd>

pub  4096R/488BA441  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub  4096R/69B0EA85  created: 2013-03-13  expires: never       usage: E
[ultimate] (1). Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;
[ultimate] (2)  [jpeg image of size 5324]

gpg&gt; <kbd>save</kbd></code>
			<h3 id="adding-a-new-signing-subkey">Ajouter une nouvelle sous-clé
            de signature</h3>
			<p>Maintenant allons-y pour la spéciale: ajoutons notre nouvelle
            sous-clé de signature.</p>

            <p>Utilisez encore une fois la commande <span class="mono">gpg
            --edit-key</span>. Au prompt de <span class="mono">gpg&gt;</span>
            , entrez la commande <span class="m
                ono">addkey</span>. Sélectionnez <span class="mono">RSA
                (signer seulement)</span> et 4096 pour la taille de la clef.
                N'oubliez pas de faire <span class="mono">save</span> en tout
                dernier.</p>
			
            <code class="terminal raw" data-user="bilbo" data-host="laptop">gpg --edit-key marcel.dupont@monmail.fr
gpg (GnuPG) 1.4.11; Copyright (C) 2010 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

gpg: checking the trustdb
gpg: 3 marginal(s) needed, 1 complete(s) needed, PGP trust model
gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
pub  4096R/488BA441  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub  4096R/69B0EA85  created: 2013-03-13  expires: never       usage: E
[ultimate] (1). Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;
[ultimate] (2)  [jpeg image of size 5324]

gpg&gt; <kbd>addkey</kbd>
Key is protected.

You need a passphrase to unlock the secret key for
user: "Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;"
4096-bit RSA key, ID 488BA441, created 2013-03-13
<kbd>&lt;tapez votre phrase de passe&gt;</kbd>

Please select what kind of key you want:
    (3) DSA (sign only)
    (4) RSA (sign only)
    (5) Elgamal (encrypt only)
    (6) RSA (encrypt only)
Your selection? <kbd>4</kbd>
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048) <kbd>4096</kbd>
Requested keysize is 4096 bits
Please specify how long the key should be valid.
    0 = key does not expire
    &lt;n&gt;  = key expires in n days
    &lt;n&gt;w = key expires in n weeks
    &lt;n&gt;m = key expires in n months
    &lt;n&gt;y = key expires in n years
Key is valid for? (0) <kbd>0</kbd>
Key does not expire at all
Is this correct? (o/N) <kbd>o</kbd>
Really create? (o/N) <kbd>o</kbd>

pub  4096R/488BA441  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub  4096R/69B0EA85  created: 2013-03-13  expires: never       usage: E
sub  4096R/C24C2CDA  created: 2013-03-13  expires: never       usage: S
[ultimate] (1). Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;
[ultimate] (2)  [jpeg image of size 5324]

gpg&gt; <kbd>save</kbd></code>
			<h3 id="creating-a-revocation-certificate">Créer un certification
            de révocation</h3>
            <p></p>

            <p>Maintenant nous générons un fichier certificat de révocation.
            Si notre paire de clés <em>maître</em> se perd ou est volée, ce
            fichier de certificat est la seule façon de signaler aux gens
            d'ignorer la clé volée. <em>C'est important, ne sautez pas cette
            étape !</em></p>

			<code class="terminal" data-user="bilbo" data-host="laptop">gpg --output \&lt;marcel.dupont@monmail.fr\&gt;.gpg-revocation-certificate --gen-revoke marcel.dupont@monmail.fr</code>
            
            <p>Stockez le fichier certificat de révocation dans un lieu
            différent que votre paire de clés maître (que nous exporterons
            dans une étape d'après). Vous l'utiliseriez pour révoquer votre
            paire de clés maître ma dans le cas où vous la perdez. Si vous
            perdez seulement accés à votre paire de clés d'ordinateur
            portable, alors vous révoquerez ces sous-clés en utilisant la
            paire de clés maître, et non pas ce certificat de révocation. </p>

			<h3 id="exporting-the-final-product">Exporter le produit final</h3>
            <p>Maintenant que votre paire de clés a été créé, allons derechef
            l'exporter afin de la sauvegarder:</p>

			<code class="terminal multiline"><span data-user="bilbo" data-host="laptop">gpg --export-secret-keys --armor marcel.dupont@monmail.fr &gt; \&lt;marcel.dupont@monmail.fr\&gt;.private.gpg-key</span>
			<span data-user="bilbo" data-host="laptop">gpg --export --armor marcel.dupont@monmail.fr &gt; \&lt;marcel.dupont@monmail.fr\&gt;.public.gpg-key</span></code>

            <p>Celà créera deux fichiers: votre clé publique et votre clé
            privée. Protégez ces deux fichiers, avec le certificat de
            révocation, du mieux que vous pouvez —<em>ne pas</em> les gardez
            sur votre ordinateur portable, gardez les dans votre maison (une
            clef USB, une carte SD) ou dans un conteneur de banque/coffre
            personel. Ces trois fichiers sont votre <b>paire de clés
            maître</b>.</p>

			<h3
            id="transforming-your-master-keypair-into-your-laptop-keypair">Transformer
            votre paire de clés maître en votre paire de clés d'ordinateur
            portable.</h3>
            <p>Maintenant nous avons notre paire de clés maître dans notre
            trousseau de clefs, et à côté les trois fichiers représentant la
            paire de clés maître, comprenant le certificat de révocation.
            Pour transformer notre paire de clés maître en notre <b>paire de
            clés d'ordinateur portable</b>, nous avons à enlever la sous-clé
            de signature original de la paire de clés maître dans notre
            trousseau de clef.
            <p>GPG ne rend pas la tâche facile, mais allons-y:</p>

			<ol>
				<li>
                    <p>Exportez toutes les sous-clés de notre nouvelle paire
                    de clés dans un fichier. Nous allons d'abord créer un
                    dossier de type <span class="mono">ramfs</span> résidant dans la
                    mémoire de l'ordinateur (NdT: sur Windows, <a
                    href="https://sourceforge.net/projects/imdisk-toolkit/">ImDisk Virtual
                    Disk Driver</a> peut faire l'affaire, il est gratuit et open
                    source), afin de prévenir le fait que nos clés soit
                    écrites dans le disque dur. Nous utilisons <span
                    class="mono">ramfs</span> au lieu de  <span
                    class="mono">tmpfs</span> ou <span
                    class="mono">/dev/shm</span> parce <span
                    class="mono">ramfs</span> n'écrit pas dans l'espace
                    d'échange, plus couramment appelé swap.


					<code class="terminal multiline">
						<span data-user="bilbo" data-host="laptop">mkdir /tmp/gpg</span>
						<span data-user="bilbo" data-host="laptop">sudo mount -t ramfs -o size=1M ramfs /tmp/gpg</span>
						<span data-user="bilbo" data-host="laptop">sudo chown $(logname):$(logname) /tmp/gpg</span>
						<span data-user="bilbo" data-host="laptop">gpg --export-secret-subkeys marcel.dupont@monmail.fr &gt; /tmp/gpg/subkeys</span>
					</code>
				</li>
				<li>
					<p>Supprimez la clé de signature originale de la paire de
                    clé dans notre trousseau:</p>
					<code class="terminal" data-user="bilbo" data-host="laptop">gpg --delete-secret-key marcel.dupont@monmail.fr</code>
				</li>
				<li>
					<p>Ré-importer les clés que nous avons exportés plus tôt
                    et nettoyons nos fichier temporaires:</p>
					<code class="terminal multiline"><span data-user="bilbo" data-host="laptop">gpg --import /tmp/gpg/subkeys</span>
					<span data-user="bilbo" data-host="laptop">sudo umount /tmp/gpg</span>
					<span data-user="bilbo" data-host="laptop">rmdir /tmp/gpg</span></code>
				</li>
			</ol>
			<p>C'est tout! Vous pouvez vérifier que celà a marché en exécutant:</p>
			<code class="terminal raw" data-user="bilbo" data-host="laptop">gpg --list-secret-keys
/home/marceldup/.gnupg/secring.gpg
-----------------------------
<mark>sec#</mark>  4096R/488BA441 2013-03-13
uid                  Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;
ssb   4096R/69B0EA85 2013-03-13
ssb   4096R/C24C2CDA 2013-03-13</code>
			<p>Remarquez-vous que la troisième ligne commence par "sec#" et
            non "sec"? Le signe dièse signifie que la sous-clé de signature
            n'est pas dans la paire de clef situé dans le trousseau.</p>
			<p>Vous avez tout fini!</p>
			<h2 id="what-have-we-just-accomplished">Que venons-nous
            juste d'accomplir ?</h2>
            <p>Si vous avez suivi toutes les étapes dans ce guide, vous
            avez:</p>
            <ol>
                <li>Créé une nouvelle paire de clés utilisant les paramètres
                les plus robustes.</li>
                <li>Ajouté une nouvelle sous-clé de signature à cette paire de
                clés.</li>
                <li>Exporté la paire de clés complète dans deux fichiers avec
                en plus un certificat de révocation, tout trois stocké dans
                un lieu sécurisé, <em>et non pas</em> sur votre ordinateur
                portable. Ceci est votre <b>paire de clés maître</b>.</li>
                <li>Enlevé la clé de signature originale de la paire de clés
                maître dans le trousseau de clefs de l'ordinateur portable,
                transformant donc votre paire de clés maître en votre <b>paire
                de clés d'ordinateur portable</b>. Votre vie sera un peu plus
                facile s'il advient que votre ordi portable se perd ou se
                fasse voler.
                </li>
            </ol>


			<h2 id="using-your-new-keypair">Utiliser votre nouvelle paire de
            clés d'ordinateur portable</h2>
            <p>Vous pouvez maintenant utiliser votre paire de clés pour
            chiffrer, déchiffrer, et signer des fichiers et des messages.</p>
            <p>Pour signer la clé de quelqu'un d'autre ou pour créer ou
            révoquer sur cette paire de clés, vous aurez besoin d'utiliser la
            paire de clés maître que vous gardez en sécurité—celle qui n'est
            pas sur votre ordinateur portable.
            </p>
            <p>Vous devriez distribuer votre clé publique à un serveur de
            clefs. Il y a pléthore de tutoriaux en lignes sur le comment de la
            chose.</p>

            <h2 id="in-case-of-emergency">En cas d'urgence</h2>
            <p>Au cas où le pire arrive et votre ordinateur portable avec
            votre paire de clés spéciale est perdu ou volé (ou que votre paire
            de clés spéciale est compromise de quelconque façon), nous avons
            besoin de révoquer les sous-clés de cette paire de clés</p>
            <ol>
                <li>
                <p>Dévérouillez votre coffre/ prenez la clef usb mise en
                sécurité et obtenez votre paire de clés maîtrei</p></li>

                <li>
                <p>Démarrez un clef USB live (NdT: en direct, environnement
                temporaire sur média amovible) d'Ubuntu ou d'une distribution de
                votre choix. Ensuite, importez votre paire de clés maître dans
                le trousseau de clef du live USB:</p>

					<code class="terminal" data-user="bilbo" data-host="liveusb">gpg --import /path/to/\&lt;marcel.dupont@monmail.fr\&gt;.public.gpg-key /path/to/\&lt;marcel.dupont@monmail.fr\&gt;.private.gpg-key</code>
				</li>
				<li>
                    <p>Utilisez maintenant la commande <span class="mono">gpg
                    --edit-key</span> afin de révoquer de façon interactive
                    nos sous-clés:</p>

					<code class="terminal raw" data-user="bilbo" data-host="liveusb">gpg --edit-key marcel.dupont@monmail.fr
gpg (GnuPG) 1.4.11; Copyright (C) 2010 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

pub  4096R/488BA441  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub  4096R/69B0EA85  created: 2013-03-13  expires: never       usage: E
sub  4096R/C24C2CDA  created: 2013-03-13  expires: never       usage: S
[ultimate] (1). Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;
[ultimate] (2)  [jpeg image of size 5324]

gpg&gt; <kbd>key 1</kbd>

pub  4096R/488BA441  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub* 4096R/69B0EA85  created: 2013-03-13  expires: never       usage: E
sub  4096R/C24C2CDA  created: 2013-03-13  expires: never       usage: S
[ultimate] (1). Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;
[ultimate] (2)  [jpeg image of size 5324]

gpg&gt; <kbd>key 2</kbd>

pub  4096R/488BA441  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
sub* 4096R/69B0EA85  created: 2013-03-13  expires: never       usage: E
sub* 4096R/C24C2CDA  created: 2013-03-13  expires: never       usage: S
[ultimate] (1). Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;
[ultimate] (2)  [jpeg image of size 5324]

gpg&gt; <kbd>revkey</kbd>

Do you really want to revoke the selected subkeys? (o/N) <kbd>o</kbd>
Please select the reason for the revocation:
  0 = No reason specified
  1 = Key has been compromised
  2 = Key is superseded
  3 = Key is no longer used
  Q = Cancel
Your decision? <kbd>1</kbd>
Enter an optional description; end it with an empty line:
&gt;
Reason for revocation: Key has been compromised
(No description given)
Is this okay? (o/N) <kbd>o</kbd>

You need a passphrase to unlock the secret key for
user: "Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;"
4096-bit RSA key, ID 488BA441, created 2013-03-13
<kbd>&lt;tapez votre phrase de passe&gt;</kbd>

You need a passphrase to unlock the secret key for
user: "Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;"
4096-bit RSA key, ID 488BA441, created 2013-03-13
<kbd>&lt;tapez votre phrase de passe&gt;</kbd>

pub  4096R/488BA441  created: 2013-03-13  expires: never       usage: SC
                     trust: ultimate      validity: ultimate
This key was revoked on 2013-03-13 by RSA key 488BA441 Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;
sub  4096R/69B0EA85  created: 2013-03-13  expires: never       usage: E
This key was revoked on 2013-03-13 by RSA key 488BA441 Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;
sub  4096R/C24C2CDA  created: 2013-03-13  expires: never       usage: S
[ultimate] (1). Marcel Dupont &lt;marcel.dupont@monmail.fr&gt;
[ultimate] (2)  [jpeg image of size 5324]

gpg&gt; <kbd>save</kbd></code>
				</li>
				<li>
					<p>Maintenant que votre sous-clé a été révoqué, ilfaut
                  le dire à tout le monde en la distribuant à un serveur de
                  clefs.</p>
				</li>
			</ol>
			<h2 id="further-reading">De quoi lire un peu plus</h2>
			<ul>
				<li>
					<p><a href="http://www.gnupg.org/gph/fr/manual.html">Le
                    vadémécum de GPG</a>, une explication très détaillé sur
                    comment marche la cryptographie avec clé publique et
                    comment utiliser GPG.
                    </p>

				</li>
				<li>
					<p><a href="http://wiki.debian.org/fr/subkeys">Sous-clés</a>
                    sur le Wiki de Debian, une explication de pourquoi
                    utiliser des sous-clés est une bonne idée et un guide
                    étape-par-étape pour les configurer.</p>
                    
				</li>
				<li>
					<p><a
                    href="http://fedoraproject.org/wiki/Creating_GPG_Keys">Créer
                    des clés GPG</a> par le projet Fedora, un guide
                    étape-par-étape afin de créer une nouvelle paire de clés
                    GPG.</p>
				</li>
				<li>
					<p><a
                    href="https://help.ubuntu.com/community/GnuPrivacyGuardHowto">Guide
                    pratique de GPG</a> sur le Wiki d'aide Communautaire
                    d'Ubuntu.</p>
				</li>
			</ul>
		</article>
		<footer>
			<p>Les écrits de ce blogs sont dédiés au <a
            href="https://fr.wikipedia.org/wiki/Domaine_public_(propri%C3%A9t%C3%A9_intellectuelle)">domaine
	    public</a><br> via la licence  <a href="https://cre
                ativecommons.org/publicdomain/zero/1.0/" rel="license">C
                    C0 1.0 Universal Public Domain Dedication</a>, et est donc
	    <br>                    libre des restrictions imposées par le copyright à travers
                    le monde entier. <a
                    href="https://alexcabal.com/why-i-release-things-into-the-public-domain">Pourquoi
		    faire celà?</a>
		</p>
		    <img src="images/footer-red.svg">
		</footer>
	</body>
</html>