Différences

Ci-dessous, les différences entre deux révisions de la page.

--- gpg:accueil [2021/10/12 21:47] – add how to decrypt phsw
+++ gpg:accueil [2025/07/26 21:25] (Version actuelle) – [Signer des clés] add other useful command phsw
@@ Ligne 14: / Ligne 14: @@
   * [[https://linuxfr.org/users/gouttegd/journaux/de-la-gestion-des-clefs-openpgp]]
   * [[https://linuxfr.org/users/gouttegd/journaux/de-la-confiance-dans-le-monde-openpgp]]
+  * [[https://blog.chimrod.com/2021/02/sauvegarder-sa-clef-privee-gpg/|Sauvegarder sa clef privée GPG]]
+  * [[https://une-tasse-de.cafe/blog/yubikey/|Yubikey et GPG : sécuriser ses communications]]
+  * [[https://9x0rg.com/posts/tech/pgp-je-ne-chiffre-plus-les-emails/|PGP - Je ne chiffre plus les emails]]
@@ Ligne 50: / Ligne 55: @@
 gpg --armor --export <id>
 </code>
-''--output public-key.asc'' sauvegarde directement la clé dans un fichier.
+''%%--%%output public-key.asc'' sauvegarde directement la clé dans un fichier.
@@ Ligne 65: / Ligne 70: @@
 # depuis un fichier:
 gpg --import edward.asc
+# depuis l'ID:
+gpg --recv-keys DEADBEEF
+# ou:
+gpg --recv-keys 0xDEADBEEF
 </code>
@@ Ligne 86: / Ligne 96: @@
-==== Déchiffrer un contenu ====
+==== Chiffrer et déchiffrer un contenu ====
   * [[https://www.gnupg.org/gph/en/manual/x110.html]]
+Pour chiffrer:
+<code bash>
+gpg --output config.js.gpg --encrypt --recipient ${adresse_mail} .thelounge/config.js
+</code>
+L'adresse mail fournie sert à identifier la clé à utiliser pour chiffrer.
+  * Pour répondre par défaut oui aux questions, ajouter l'option ''%%--%%yes''.
+  * Pour qu'il ne pose pas de question si la clé n'est pas signée, ajouter l'option ''%%--%%trust-model always''.
+Pour déchiffrer:
 <code bash>
 gpg --decrypt encrypted.asc
 </code>
+==== Vérifier la signature d'un fichier ====
+  * [[https://www.gnupg.org/gph/en/manual/x135.html]]
+<code bash>
+gpg --verify fichier.sig fichier
+</code>
+La clé publique utilisée pour la signature doit être dans le trousseau de GPG.
@@ Ligne 104: / Ligne 134: @@
 gpg> save
 </code>
+La nouvelle adresse sera marquée en confiance ultime une fois les modifications à la clé sauvegardées.
 Définir une clé comme principale:
@@ Ligne 134: / Ligne 165: @@
 gpg --send-keys alice@example.org
 </code>
-Rajouter ''--keyserver certserver.pgp.com'' pour préciser le serveur de clés à utiliser.
+Rajouter ''%%--%%keyserver certserver.pgp.com'' pour préciser le serveur de clés à utiliser.
 Quelques serveurs de clés:
@@ Ligne 141: / Ligne 172: @@
   * http://keys.gnupg.net/
   * https://keys.openpgp.org (''%%hkps://keys.openpgp.org%%'', serveur de clé utilisé par défaut dans les nouvelles versions de GPG packagées dans Debian)
+  * http://keyserver.ubuntu.com
 On peut configurer le serveur par défaut dans ''~/.gnupg/gpg.conf'':
@@ Ligne 151: / Ligne 183: @@
 ==== Signer des clés ===
-Faire signer sa clé:
+=== Faire signer sa clé : ===
   - distribuer le résultat de<code bash>
 gpg --fingerprint DEADBEEF
@@ Ligne 157: / Ligne 189: @@
   - une fois sa clé signée reçue par mail:<code bash>
 gpg --import key.signed.asc
+# ou
+gpg -d fichier.asc | gpg --import
 </code>
   - mettre à jour sa clé sur les serveurs de clés:<code bash>
@@ Ligne 162: / Ligne 196: @@
 </code>
-Signer une clé:
+=== Signer une clé : ===
-  - importer la clé:<code bash>
+  * [[https://wiki.debian.org/Keysigning]]
+  - importer la clé :<code bash>
 gpg --recv-keys DEADBEEF
 </code>
@@ Ligne 170: / Ligne 206: @@
 gpg --sign-key DEADBEEF
 </code>
-  - exporter la clé signée et l'envoyer par mail à son propriétaire:<code bash>
+  - exporter la clé signée et l'envoyer par mail à son propriétaire :<code bash>
 gpg --armor --output DEADBEEF.signed.asc --export DEADBEEF
 </code>
+Avec ''caff'' (du paquet ''signing-party''), pour facilement signer toutes les sous-clés et envoyer les mails nécessaires ([[https://wiki.debian.org/caff|page Debian]], [[http://www.xryan.net/p/258|un post de blog]]) :
+<code bash>
+caff DEADBEEF
+</code>
+=== Divers ===
 Il est possible de voir les signatures des clés:
@@ Ligne 190: / Ligne 234: @@
 springgraph < sigs.dot > sigs.png
 </code>
+==== Prolonger la validité d'une clé ====
+<code bash>
+gpg --edit-key DEADBEEF
+gpg> expire
+gpg> 1y
+gpg> key 1
+gpg> expire
+gpg> 1y
+gpg> save
+</code>
+Envoyer la clé sur les serveurs de clés.
@@ Ligne 219: / Ligne 277: @@
 gpg --import public-keys.gpg
 gpg --import-ownertrust < trust.txt
+</code>
+==== Installer sur MacOS ====
+    * [[https://alexnorell.com/post/set-up-gpg/|https://alexnorell.com/post/set-up-gpg/]]
+<code bash>
+brew install gnupg pinentry-mac
+brew link gnupg
+echo "pinentry-program $(which pinentry-mac)" >>  ~/.gnupg/gpg-agent.conf
+gpg-connect-agent reloadagent /bye
+</code>
+==== Forwarder l'agent GPG par SSH ====
+  * [[https://benjamintoll.com/2023/06/07/on-gpg-agent-forwarding/|On gpg-agent Forwarding]]
+  * [[https://superuser.com/questions/161973/how-can-i-forward-a-gpg-key-via-ssh-agent]]
+Envoyer le trousseau de clés publiques sur la machine distante :
+<code bash>
+scp ~/.gnupg/pubring.kbx remote:.gnupg/
+</code>
+Trouver où sont les sockets, à la fois sur la machine locale et distante :
+<code bash>
+gpgconf --list-dirs agent-socket
+</code>
+Supprimer les sockets potentiellement déjà existants.
+Sur la machine distante, ''gpg-agent'' ne doit pas être lancé. Pour éviter le démarrage automatique :
+<code bash>
+echo no-autostart >> "$HOME/.gnupg/gpg.conf"
+</code>
+Sur la machine distante, il faut ajouter une option au serveur SSH :
+<code bash>
+echo "StreamLocalBindUnlink yes" | sudo tee -a /etc/ssh/sshd_config
+</code>
+Se connecter en forwardant la socket :
+<code bash>
+# -R socket_distante:socket_locale
+ssh -R /run/user/1000/gnupg/S.gpg-agent:/Users/philippe/.gnupg/S.gpg-agent -o "StreamLocalBindUnlink=yes" vm-debian-sid
+</code>
+Sur la machine distante, on peut ensuite tester :
+<code bash>
+gpg-connect-agent "KEYINFO --list" /bye
+gpg --clear-sign $file_to_sign
 </code>