Pour participer au Projet Fedora, vous devez créer une clé GPG et la rendre disponible sur le serveur de clés pgp.mit.edu.
Ce document décrit comment créer et gérer les clés GPG depuis la ligne de commande. Alternativement, l'utilitaire Seahorse dans Fedora fournit une interface graphique pour travailler avec GPG sous gnome. Si KDE est installé, vous pouvez utiliser l'outil Kgpg qui fait partie du paquet kdeutils. Pour installer seahorse, entrez la commande suivante dans une fenêtre de terminal :
su -c 'yum install seahorse'
Pour installer kgpg, entrez la commande suivante dans une fenêtre de terminal :
su -c 'yum install kdeutils'
Dans les deux cas, entrez le mot de passe pour le compte root quand il vous sera demandé.
Créer des clés GPG
Pour créer une clé, utilisez la commande shell suivante :
gpg --gen-key
Cette commande génère un paire de clés constituée d'une clé publique et d'une clé privée. Les autres personnes utilisent votre clé publique pour authentifier et/ou déchiffrer vos communications. Distribuez là aussi largement que possible, spécialement aux personnes que vous connaissez qui voudront authentifier vos communications, comme les mailing listes. Le Projet de Documentation Fedora, par exemple, demande à ses participants d'inclure une clé publique GPG lorsqu'ils se présentent .
Une série d'invites de commandes vous guideront à travers le processus. Pressez la touche Entrée pour assigner la valeur par défaut si vous le désirez. La première invite vous demande de sélectionner le type de clé que vous préférez :
Please select what kind of key you want: (1) DSA and ElGamal (default) (2) DSA (sign only) (4) RSA (sign only) Your selection?
Dans la plupart des cas, la valeur par défaut est un choix correct. Une clé DSA/El'Gamal vous permet non seulement de signer vos communications, mais aussi de crypter des fichiers.
Ensuite, choisissez la taille de la clé :
minimum keysize is 768 bits default keysize is 1024 bits highest suggested keysize is 2048 bits What keysize do you want? (1024)
Une fois encore, le défaut est suffisant pour la plupart des utilisateurs, et représente un niveau de sécurité extrêmement élevé.
Ensuite, choisissez quand cette clé expirera. C'est une bonne idée de choisir une date à la place de celle par défaut, qui est "none" (aucune). Si, par exemple, l'adresse email de la clé devient invalide, une date d'expiration rappellera aux autres d'arrêter d'utiliser cette clé publique.
Please specify how long the key should be valid. 0 = key does not expire <n> = key expires in n days <n>w = key expires in n weeks <n>m = key expires in n months <n>y = key expires in n years Key is valid for? (0)
Entrer une valeur de 1y, par exemple, rend la clé valide pour un an. (Vous pouvez changer la date d'expiration après que la clé ait été générée, si vous changez d'avis.)
Avant que le programme gpg demande l'information de signature, l'invite suivante apparaît :
Is this correct (y/n)?
Entrez y pour terminer le processus.
Ensuite, entrez vos nom et adresse email. Souvenez-vous que ce processus sert à vous authentifier comme un individu distinct. Pour cette raison, incluez votre vrai nom. N'utilisez pas d'alias ou pseudo, puisque cela déguisera ou brouillera votre identité.
Entrez votre adresse email réelle pour votre clé GPG. Si vous choisissez une adresse email inexistante, il sera plus difficile pour les autres de trouver votre clé publique. Cela rend l'authentification de vos communications difficile. Si vous utilisez cette clé GPG pour votre présentation ou sur une mailing liste, par exemple, entrez l'adresse que vous utilisez sur cette liste.
Utilisez le champ commentaire pour inclure des alias ou d'autres informations. (Certaines personnes utilisent différentes clés pour différentes tâches et identifient chaque clé avec un commentaire, tel que "Professionnel" ou "Projets Open Source".)
À l'invite de confirmation, tapez soit la lettre O pour continuer si toutes les entrées sont correctes, ou les autres options pour remédier à tout problème.
Finalement, entrez une phrase de passe pour votre clé privée. Le programme gpg vous demande de l'entrer deux fois pour vous éviter des fautes de frappe.
Même si votre votre clé secrète est accessible par un tiers, il sera incapable de l'utiliser. Ne choisissez pas une phrase de passe que d'autres pourraient facilement deviner. N'utilisez pas de mots simples (dans n'importe quelle langue), des suites de nombres telles que votre numéro de téléphone ou un numéro de document officiel, ou une information biographique vous concernant vous ou votre famille pour phrase de passe. La phrase de passe la mieux sécurisée est très longue et contient une mixture de lettres majuscules et minuscules, de nombres, de chiffres et de symboles. Choisissez une phrase de passe que vous saurez retenir, néanmoins, étant donné qu'écrire cette phrase de passe n'importe où la rend immédiatement moins sécure.
Finalement, gpg génère des données aléatoires pour que votre clé soit aussi unique que possible. Bougez votre souris, ou effectuez d'autres tâches sur le système pendant cette phase pour accélérer le processus. Une fois cette étape terminée, vos clés sont complètes et prêtes à l'utilisation.
pub 1024D/1B2AFA1C 2005-03-31 John Q. Doe (Fedora Docs Project) <jqdoe@example.com> Key fingerprint = 117C FE83 22EA B843 3E86 6486 4320 545E 1B2A FA1C sub 1024g/CEA4B22E 2005-03-31 [expires: 2006-03-31]
L'empreinte de la clé est une "signature" de raccourci pour votre clé. Cela vous permet de confirmer que les autres ont reçu votre clé publique actuelle sans falsification. Vous n'avez pas besoin de noter cette empreinte. Pour l'afficher à n'importe quel moment, utilisez cette commande, en substituant votre adresse email :
gpg --fingerprint jqdoe@example.com
Votre "ID de clé GPG" est constitué de 8 caractères hexadécimaux qui identifient la clé publique. Dans l'exemple ci-dessus, l'ID de clé GPG est 1B2AFA1C. Vous en aurez besoin pour satisfaire l'application du système de compte Fedora.
Rendre votre clé disponible
Quand vous rendez votre clé publique disponible aux autres, ils peuvent vérifier les communications que vous signez, ou communiquer de façon cryptée si nécessaire. Vous devez utiliser cette commande pour exporter votre clé GPG publique vers pgp.mit.edu, un serveur de clés publiques bien connu :
gpg --keyserver pgp.mit.edu --send-keys GPGKEYID
Si vous souhaitez donner ou envoyer une copie du fichier à quelqu'un, utilisez cette commande pour l'écrire dans un fichier texte ASCII :
gpg --export --armor jqdoe@example.com > jqdoe-pubkey.asc
Conserver votre Clé Privée
Traitez votre clé secrète comme vous le feriez avec n'importe quel document important ou clé physique. (Certaines personnes conservent leur clé privée sur elles-mêmes, soit sur bande magnétique, soit sur un média flash.) Si vous perdez votre clé privée, vous ne pourrez plus signer vos communications, ou ouvrir des communications cryptées qui vous ont été envoyées.
Révoquer une Clé dans GPG
Qu'est-ce que la Révocation de Clés ?
Quand vous révoquez une clé, vous la retirez de l'utilisation publique. Vous devriez n'avoir à le faire que si elle est compromise ou perdue, ou que vous avez oublié la phrase de passe.
Certificat de Révocation
Quand vous créez une paire de clés, vous devriez également créer un certificat de révocation. Si vous publiez plus tard le certificat de révocation, cela informe les autres que votre clé publique ne doit plus être utilisée. Les utilisateurs pourront continuer d'utiliser une clé révoquée pour vérifier d'anciennes signatures mais pas pour chiffrer des messages. Aussi longtemps que vous aurez accès à cette clé privée, les messages reçus précédemment pourront être déchiffrés. Si vous oubliez votre phrase de passe, vous ne pourrez plus déchiffrer les messages pour cette clé.
Générer un certificat
gpg --output revoke.asc --gen-revoke KEYNAME
Si vous n'utilisez pas le drapeau --output, le certificat s'affichera sur la sortie standard.
À KEYNAME substituez l'ID de votre paire de clés primaire ou n'importe quelle partie de l'ID utilisateur qui l'identifie. Une fois le certificat créé (le fichier revoke.asc), vous devriez le protéger. S'il est publié par accident, ou à travers des actions frauduleuses, la clé publique deviendra inutilisable. C'est une bonne idée que de sauvegarder le certificat de révocation sur un média amovible sécure ou de l'imprimez et de le stocker en toute discrétion.
Révoquer une clé
gpg --import revoke.asc
Une fois la clé révoquée localement, vous devriez envoyez le certificat de révocation à un serveur de clés, en fonction de sa publication originale de ce côté. La distribution sur un serveur aide les autres utilisateurs à apprendre rapidement que votre clé a été compromise.
Exportez vers un serveur de clés avec la commande suivante :
gpg --keyserver pgp.mit.edu --send KEYNAME
À KEYNAME, substituez l'ID de votre paire de clés primaire ou n'importe quelle partie de l'ID utilisateur qui l'identifie.
Consultez la page /ProjetDocs/UtiliserGpg pour plus d'idées sur l'utilisation de vos clés GPG.