Page suivante Page précédente Table des matières

3. Installation et manipulations initiales

3.1 Au commencement ...

Avant tout, il est indispensable de récupérer si cela n'est pas déjà fait une version de GnuPG compatible avec votre système (compilation des sources, paquetages RPM, DEB, etc.) et de l'installer en suivant le processus habituel. Pour ce faire, lisez la documentation fournie sur le site de GnuPG ( http://www.gnupg.org/ ).

Pour les utilisateurs de Debian, il suffit de taper apt-get install gnupg en tant que root.

Une fois cette installation faite, il faut créer une clé qui va nous suivre tout au long de ce processus. Cette clé doit être pérenne si vous voulez l'utiliser à long terme, donc il faut la créer avec soin.

La commande magique pour ce faire est :

gpg --gen-key

Le cas échéant, il va afficher la ligne :

gpg: you have to start GnuPG again, so it can read the new options file

Dans ce cas, il suffit de taper une nouvelle fois :

gpg --gen-key

Plusieurs questions sont posées. Il est recommandé de prendre les valeurs par défaut, à moins de savoir exactement ce que vous faites.

Le programme va peut-être afficher un message disant qu'il n'a pas assez de nombres aléatoires en réserve. Afin de générer de l'entropie dans le système, il suffit d'ouvrir un autre terminal sur la machine et de lancer une commande gourmande en CPU (par exemple, find / -name toto).

À la fin, un message doit nous indiquer que les clés publique et secrète ont été créées.

3.2 OK, j'ai tapé ces commandes. Mais qu'est-ce qui s'est passé réellement ?

Nous avons généré deux clés. L'une d'elle est la clé publique, que l'on va pouvoir donner à tout le monde. L'autre est la clé secrète, qu'on doit absolument être le seul à conserver. Ces clés sont enregistrées dans le répertoire par défaut qui est le répertoire .gnupg dans le répertoire par défaut de l'utilisateur (cd ~/.gnupg/). Lorsqu'on regarde à l'intérieur de ce répertoire, on remarque en effet qu'il y a en particulier deux fichiers, pubring et secring.

Les clés publique et secrète sont étroitement liées. L'une sert à défaire ce que l'autre a fait :

Pour de plus amples informations concernant les algorithmes de chiffrement, visiter le lien http://laurent.flaum.free.fr/pgpintrofr.htm.

On se rend compte que la clé secrète est une des clés de voûte du système. Si quelqu'un d'autre a accès à notre clé secrète, il pourra envoyer des messages en se faisant passer pour nous, ou bien il pourra lire des message chiffrés à notre intention. C'est à ce moment qu'intervient le concept de passphrase : pour améliorer encore plus la sécurité, les programmes demanderont la passphrase pour pouvoir utiliser la clé secrète (techniquement, la clé secrète est chiffrée avec la passphrase). Ainsi, en plus de la clé secrète, il faut connaître la passphrase pour pouvoir utiliser les fonctionnalités de GnuPG. Mais cela n'empêche pas de faire extrêmement attention à sa clé secrète, en particulier si on est sur un ordinateur partagé par de nombreux utilisateurs.

3.3 Certificats de révocation

Avant d'aller plus loin, il est préférable de créer des certificats de révocation. En effet, il se peut, pour X raisons, que notre clé ne soit plus sûre, perdue, ou tout simplement périmée. Afin de pouvoir dire au reste du monde que cette clé est périmée, on peut utiliser un certificat qu'on aura créé auparavant (quand on n'avait pas encore perdu la clé par exemple) et que l'on publiera, afin que les personnes soient au courant.

Pour ce faire, la commande suivante suffit :

gpg --gen-revoke mon_id

mon_id, comme on le retrouvera par la suite, est une chaîne de caractères propre à une clé du trousseau. Typiquement, cela peut être le nom, ou l'ID de la clé (voir plus loin), ou encore l'adresse email.

Il est conseillé de générer un certificat pour les trois types de révocation, afin d'être prêt dans tous les cas de figure. Une fois ces certificats générés, il faut les garder dans plusieurs endroits sûrs où on est sûr que personne n'y aura accès (il ne faut pas que n'importe qui puisse révoquer notre clé ...).

Une fois les clés et les certificats créés, l'itinialisation du processus est faite. On peut se mettre à l'utiliser dans la vie de tous les jours ...


Page suivante Page précédente Table des matières