GPG - retirer la clef de signature de la clef principale Le sujet est résolu

[vohu]

Bonsoir,

Lorsque j'ai généré mes clefs GPG il y a longtemps, j'ai généré une clef principale [SC]... J'ai fait une grosse erreur.


Je pense que la réponse est "non", mais je me demande s'il est possible de séparer ces 2 clefs afin de garder uniquement le certificat dans la clef principale. Régénérer une nouvelle clef serait assez lourd à gérer (car il faudrait garder l'ancienne clef pour toujours pour pouvoir continuer à déchiffrer mes anciens mails)


merci :)

[piratebab]

Salut vohu,
tu parles de la passphrase ?

[piratebab]

Si du parles de clefs primaires et de sous clefs, tu peux exporter les sosus clefs.
Un tuto https://www.nextinpact.com/news/102685- ... rfaite.htm

[lol]

Désolé, la réponse de Vohu est passée entre les mailles du filet...

Ma clef principale est [SC]
Je voudrai dégager la clef de signature de la clef principale.

[vohu]

Désolé, la réponse de Vohu est passée entre les mailles du filet...

Ma clef principale est [SC]
Je voudrai dégager la clef de signature de la clef principale.

Ce qui confirme le changement de serveur :D

[piratebab]

c'est dans le tuto dont j'ai donné le lien

[vohu]

Je suis peut être fatigué. Dans ce tuto ils expliquent bien comment créer des clefs gpg où la clef principale n'a que la capacité de certifier (juste C). Mais pas comment retirer la capacité de signer lorsqu'elle est déjà SC

[piratebab]

dans la partie "exporter les sous clefs".

Ou alors c'est que je n'ai pas compris ton problème.
Tu veux bien dissocier tes sous clef de ta clef principale ?

[jim]

Je suis peut être fatigué. Dans ce tuto ils expliquent bien comment créer des clefs gpg où la clef principale n'a que la capacité de certifier (juste C). Mais pas comment retirer la capacité de signer lorsqu'elle est déjà SC

salut
attention, si ta clé est déjà diffusée sur les serveurs ou déjà partagée, il est préférable de révoquer la sous-clé qui sert à signer que plutôt de la supprimer, sinon en le supprimant, les autres utilisateurs ne pourront pas se rendre compte que tu ne l'utilise plus et ce sera trop tard pour la révoquer.
pour supprimer une sous clé, il faut éditer la clé principale:
-gpg --edit-key <<sonuid>>
sous l'invite gpg> il faut saisir key <<uid de la sous-clé>>
un astérisque * apparait ensuite à coté de la sous clé
tu saisis: delkey
tu confirmes y et save

[vohu]

Oui, mais clef de signature n'est pas une sous-clef.... c'est bien ça le problème.

Code : Tout sélectionner

gpg --list-key mail@exemple.fr
pub   rsa4096/0xABCDEF1234567 2017-01-08 [SC]
Empreinte de la clef = ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE

J'aimerai avec la même clef avoir

Code : Tout sélectionner

gpg --list-key mail@exemple.fr
pub   rsa4096/0xABCDEF1234567 2017-01-08 [C]
Empreinte de la clef = ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE

[jim]

Oui, mais clef de signature n'est pas une sous-clef.... c'est bien ça le problème.

Code : Tout sélectionner

gpg --list-key mail@exemple.fr
pub   rsa4096/0xABCDEF1234567 2017-01-08 [SC]
Empreinte de la clef = ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE

J'aimerai avec la même clef avoir

Code : Tout sélectionner

gpg --list-key mail@exemple.fr
pub   rsa4096/0xABCDEF1234567 2017-01-08 [C]
Empreinte de la clef = ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE ABCE

d'accord j'ai mieux compris, tu as regardé la robustesse de la clé ? si tu vois Self-sig hash algorithms: [SHA-512], il n'y a aucun risque.
apt-get install hopenpgp-tools
hkt export-pubkeys '<empreinte>' | hokey lint

[vohu]

... tu as regardé la robustesse de la clé ? si tu vois Self-sig hash algorithms: [SHA-512], il n'y a aucun risque.

Pourquoi tu parles de risque ? Je voudrai juste séparer mes clefs si c'est possible.

[jim]

... tu as regardé la robustesse de la clé ? si tu vois Self-sig hash algorithms: [SHA-512], il n'y a aucun risque.

Pourquoi tu parles de risque ? Je voudrai juste séparer mes clefs si c'est possible.

risque qu'une signature soit substituée et que l'objet était alors de remplacer par une sous clé plus robuste ni plus ni moins, dans le man gpg, je vois bien delsig (enlever les signatures) mais rien qui enlève la capacité d'une clé à signer..à suivre..si c'est alors possible.

[piratebab]

extrait de la doc gnupg
change-usage

Change the usage flags (capabilities) of the primary key or of subkeys. These usage flags (e.g. Certify, Sign, Authenticate, Encrypt) are set during key creation. Sometimes it is useful to have the opportunity to change them (for example to add Authenticate) after they have been created. Please take care when doing this; the allowed usage flags depend on the key algorithm.

[jim]

extrait de la doc gnupg
change-usage

Change the usage flags (capabilities) of the primary key or of subkeys. These usage flags (e.g. Certify, Sign, Authenticate, Encrypt) are set during key creation. Sometimes it is useful to have the opportunity to change them (for example to add Authenticate) after they have been created. Please take care when doing this; the allowed usage flags depend on the key algorithm.

salut, bien vu piratebab, c'est en effet possible et j'ai changé un flag, j'ai fait un test: j'ai sélectionné le flag S de la clé primaire en le remplaçant par A
et même le supprimer.

[vohu]

Merci Piratebab

Je n'étais jamais tombé sur cette option qui est très peu documentée. Ma clef ne semble pas être compatible à ce changement, car l'option n'est pas disponible.
Enfin, de toute façon, il s'agit de changer la capacité seulement. Du coup, je vais régénérer de nouvelles clef à l'expiration des actuelles.

Merci :)