Supprimer la clé privée maitresse du trousseau
Pourquoi supprimer (ou plutôt enlever) la clé privée maitresse de notre trousseau ?
Pour plus de sécurité.
Nous n'avons pas besoin de la clé privée maitresse pour signer et déchiffrer des documents.
Seules les sous-clés privées sont nécessaires.
Dans le cas où vous ne souhaitez pas faire d'autres opérations nécessitant la clé privée maitresse (signatures de clés publiques, ajout de sous-clés, révocation de sous-clés etc etc...), autant la supprimer du trousseau et la conserver à l'abris des regards indiscrets. Attention, avant de procéder à la suppression de la clé privée du trousseau, sauvegarder toutes les clés dans des fichiers comme indiqué ici Exporter (sauvegarder) les clés dans des fichiers
On affiche nos clés privées.
# gpg --list-secret-keys
/root/.gnupg/secring.gpg
------------------------
sec 2048R/0D6FE738 2015-09-11
uid Jean Michel A Peu Près <jm@apeupres.fr>
ssb 2048R/1C51C149 2015-09-11
ssb 2048R/219FE958 2015-09-11Nous avons bien dans notre trousseau un clé privée maitresse 0D6FE738 et deux sous-clés privées 1C51C149 & 219FE958.
On supprime notre clé privée maitresse.
# gpg --delete-secret-keys 0D6FE738
gpg (GnuPG) 1.4.16; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
sec 2048R/0D6FE738 2015-09-11 Jean Michel A Peu Près <jm@apeupres.fr>
Delete this key from the keyring? (y/N) y
This is a secret key! - really delete? (y/N) yOn répond "y" aux deux questions.
On affiche à nouveau nos clés privées
# gpg --list-secret-keysLa commande ne retourne plus rien.
A ce stade, nous ne pouvons plus rien faire (ni signer, ni déchiffrer des documents) puisqu'en supprimant la clé privée maitresse, toutes les sous-clés privées ont été également supprimées.
Nous allons donc importer uniquement nos sous-clés privées (vous les avez normalement sauvegardées ;-).
# gpg --import subcle.asc
gpg: key 0D6FE738: secret key imported
gpg: key 0D6FE738: "Jean Michel A Peu Près <jm@apeupres.fr>" not changed
gpg: Total number processed: 1
gpg: unchanged: 1
gpg: secret keys read: 1
gpg: secret keys imported: 1La commande nous indique que la clé privée a bien été importée.
On vérifie en affichant la liste des clés privées.
# gpg --list-secret-keys
/root/.gnupg/secring.gpg
------------------------
sec# 2048R/0D6FE738 2015-09-11
uid Jean Michel A Peu Près <jm@apeupres.fr>
ssb 2048R/1C51C149 2015-09-11
ssb 2048R/219FE958 2015-09-11Le symbole dièse "#" à coté de "sec" nous indique que la clé privée maitresse est manquante mais que nous avons bien les deux sous-clés privées (ssb).
Si, pour une raison x vous avez besoin de réimporter dans votre trousseau votre clé privée maitresse, procéder de cette manière.
Ouvrer votre coffre-fort et récupérer la sauvegarde de vos clés (Elles sont censées être stockées dans un lieu sûr).
Supprimer les sous-clés privées.
# gpg --delete-secret-keys 0D6FE738
gpg (GnuPG) 1.4.16; Copyright (C) 2013 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
sec 2048R/0D6FE738 2015-09-10 Jean Michel A Peu Près <jm@apeupres.fr>
Delete this key from the keyring? (y/N) y
This is a secret key! - really delete? (y/N) yConfirmer la suppression.
Vérifier la liste des clés privées.
# gpg --list-secret-keysNotre trousseau ne contient plus de clés et sous-clés privées.
On importe notre clé privée maitresse (qui contient également les sous-clé privées).
# gpg --import clesec.asc
gpg: key 0D6FE738: secret key imported
gpg: key 0D6FE738: "Jean Michel A Peu Près <jm@apeupres.fr>" not changed
gpg: Total number processed: 1
gpg: unchanged: 1
gpg: secret keys read: 1
gpg: secret keys imported: 1On affiche nos clés privées importées.
# gpg --list-secret-keys
/root/.gnupg/secring.gpg
------------------------
sec 2048R/0D6FE738 2015-09-11
uid Jean Michel A Peu Près <jm@apeupres.fr>
ssb 2048R/1C51C149 2015-09-11
ssb 2048R/219FE958 2015-09-11Le symbole "#" à coté de "sec" a disparu.
Notre clé privée maitresse a bien été restaurée.
