gpg:accueil

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
gpg:accueil [2022/05/13 21:18] – add how to extend key validity phswgpg:accueil [2025/07/26 21:25] (Version actuelle) – [Signer des clés] add other useful command phsw
Ligne 16: Ligne 16:
  
   * [[https://blog.chimrod.com/2021/02/sauvegarder-sa-clef-privee-gpg/|Sauvegarder sa clef privée GPG]]   * [[https://blog.chimrod.com/2021/02/sauvegarder-sa-clef-privee-gpg/|Sauvegarder sa clef privée GPG]]
 +  * [[https://une-tasse-de.cafe/blog/yubikey/|Yubikey et GPG : sécuriser ses communications]]
 +
 +  * [[https://9x0rg.com/posts/tech/pgp-je-ne-chiffre-plus-les-emails/|PGP - Je ne chiffre plus les emails]]
  
  
Ligne 52: Ligne 55:
 gpg --armor --export <id> gpg --armor --export <id>
 </code> </code>
-''--output public-key.asc'' sauvegarde directement la clé dans un fichier.+''%%--%%output public-key.asc'' sauvegarde directement la clé dans un fichier.
  
  
Ligne 110: Ligne 113:
 gpg --decrypt encrypted.asc gpg --decrypt encrypted.asc
 </code> </code>
 +
 +
 +==== Vérifier la signature d'un fichier ====
 +
 +  * [[https://www.gnupg.org/gph/en/manual/x135.html]]
 +
 +<code bash>
 +gpg --verify fichier.sig fichier
 +</code>
 +La clé publique utilisée pour la signature doit être dans le trousseau de GPG.
  
  
Ligne 121: Ligne 134:
 gpg> save gpg> save
 </code> </code>
 +La nouvelle adresse sera marquée en confiance ultime une fois les modifications à la clé sauvegardées.
  
 Définir une clé comme principale: Définir une clé comme principale:
Ligne 151: Ligne 165:
 gpg --send-keys alice@example.org gpg --send-keys alice@example.org
 </code> </code>
-Rajouter ''--keyserver certserver.pgp.com'' pour préciser le serveur de clés à utiliser.+Rajouter ''%%--%%keyserver certserver.pgp.com'' pour préciser le serveur de clés à utiliser.
  
 Quelques serveurs de clés: Quelques serveurs de clés:
Ligne 169: Ligne 183:
 ==== Signer des clés === ==== Signer des clés ===
  
-Faire signer sa clé:+=== Faire signer sa clé : ===
   - distribuer le résultat de<code bash>   - distribuer le résultat de<code bash>
 gpg --fingerprint DEADBEEF gpg --fingerprint DEADBEEF
Ligne 175: Ligne 189:
   - une fois sa clé signée reçue par mail:<code bash>   - une fois sa clé signée reçue par mail:<code bash>
 gpg --import key.signed.asc gpg --import key.signed.asc
 +# ou
 +gpg -d fichier.asc | gpg --import
 </code> </code>
   - mettre à jour sa clé sur les serveurs de clés:<code bash>   - mettre à jour sa clé sur les serveurs de clés:<code bash>
Ligne 180: Ligne 196:
 </code> </code>
  
-Signer une clé: +=== Signer une clé : === 
-  - importer la clé:<code bash>+ 
 +  * [[https://wiki.debian.org/Keysigning]] 
 +  - importer la clé :<code bash>
 gpg --recv-keys DEADBEEF gpg --recv-keys DEADBEEF
 </code> </code>
Ligne 188: Ligne 206:
 gpg --sign-key DEADBEEF gpg --sign-key DEADBEEF
 </code> </code>
-  - exporter la clé signée et l'envoyer par mail à son propriétaire:<code bash>+  - exporter la clé signée et l'envoyer par mail à son propriétaire :<code bash>
 gpg --armor --output DEADBEEF.signed.asc --export DEADBEEF gpg --armor --output DEADBEEF.signed.asc --export DEADBEEF
 </code> </code>
 +
 +Avec ''caff'' (du paquet ''signing-party''), pour facilement signer toutes les sous-clés et envoyer les mails nécessaires ([[https://wiki.debian.org/caff|page Debian]], [[http://www.xryan.net/p/258|un post de blog]]) :
 +<code bash>
 +caff DEADBEEF
 +</code>
 +
 +
 +=== Divers ===
  
 Il est possible de voir les signatures des clés: Il est possible de voir les signatures des clés:
Ligne 251: Ligne 277:
 gpg --import public-keys.gpg gpg --import public-keys.gpg
 gpg --import-ownertrust < trust.txt gpg --import-ownertrust < trust.txt
 +</code>
 +
 +
 +==== Installer sur MacOS ====
 +
 +    * [[https://alexnorell.com/post/set-up-gpg/|https://alexnorell.com/post/set-up-gpg/]]
 +
 +<code bash>
 +brew install gnupg pinentry-mac
 +brew link gnupg
 +
 +echo "pinentry-program $(which pinentry-mac)" >>  ~/.gnupg/gpg-agent.conf
 +gpg-connect-agent reloadagent /bye
 +</code>
 +
 +
 +==== Forwarder l'agent GPG par SSH ====
 +
 +  * [[https://benjamintoll.com/2023/06/07/on-gpg-agent-forwarding/|On gpg-agent Forwarding]]
 +  * [[https://superuser.com/questions/161973/how-can-i-forward-a-gpg-key-via-ssh-agent]]
 +
 +Envoyer le trousseau de clés publiques sur la machine distante :
 +<code bash>
 +scp ~/.gnupg/pubring.kbx remote:.gnupg/
 +</code>
 +
 +Trouver où sont les sockets, à la fois sur la machine locale et distante :
 +<code bash>
 +gpgconf --list-dirs agent-socket
 +</code>
 +Supprimer les sockets potentiellement déjà existants.
 +
 +Sur la machine distante, ''gpg-agent'' ne doit pas être lancé. Pour éviter le démarrage automatique :
 +<code bash>
 +echo no-autostart >> "$HOME/.gnupg/gpg.conf"
 +</code>
 +
 +Sur la machine distante, il faut ajouter une option au serveur SSH :
 +<code bash>
 +echo "StreamLocalBindUnlink yes" | sudo tee -a /etc/ssh/sshd_config
 +</code>
 +
 +Se connecter en forwardant la socket :
 +<code bash>
 +# -R socket_distante:socket_locale
 +ssh -R /run/user/1000/gnupg/S.gpg-agent:/Users/philippe/.gnupg/S.gpg-agent -o "StreamLocalBindUnlink=yes" vm-debian-sid
 +</code>
 +
 +Sur la machine distante, on peut ensuite tester :
 +<code bash>
 +gpg-connect-agent "KEYINFO --list" /bye
 +gpg --clear-sign $file_to_sign
 </code> </code>
  
  • gpg/accueil.1652469501.txt.gz
  • Dernière modification : 2022/05/13 21:18
  • de phsw