Le Hollandais Volant

Quelques astuces pour les clés GPG

L’ami Matronix a perdu sa clé GPG et a donc été obligé d’en créer une nouvelle. Bouuuhouu… *paf*[1]
Le problème maintenant :
  • tous ses contacts doivent mettre à jour sa clé publique
  • si la clé n’a pas de date d’expiration, on peut continuer à lui envoyer des messages chiffrés, mais il ne pourra pas les lire.

Pour éviter ça, il y a des solutions !
Ne pas perdre sa clé publique est la plus évidente, mais personne n’est à l’abri d’une panne ou d’une mauvaise manipulation.

Pour éviter de perdre ses clés


Sauvegardez votre clé publique et privée sur un stockage externe[2], de préférence dédié à ça. S’il vous reste une vieille clé USB de 64 Mo (une antiquité, quoi), vous pouvez l’utiliser pour ça. Une disquette, c’est possible aussi, mais qui lit encore les disquettes ? Qui sait même encore ce qu’est une disquette, de nos jours ?

Une clé USB pour stocker ses clés GPG c’est bien, donc. Mais si la clé tombe en panne ?

Ma solution, c’est imprimer vos clés GPG. Pas en texte, car ça prendrait trop de temps pour taper le code en base64 à la main, mais dans un QR-Code, ou un datamatrix.
Si vous faites ça, vos clés seront sur un document en papier et vous pourrez les numériser très facilement avec un téléphone ou une webcam. Gardez quand même vos documents à l’abri (des gens, mais aussi d’un accident plus grave : incendie…).

De cette façon, perdre complètement vos clés GPG ne se reproduira plus.
Vous pouvez générer ici un QR-Code de façon sécurisé et anonyme.

Ma clé publique GPG dans un QR-Code se trouve ici.

Pour éviter que votre clé soit utilisable une fois perdue


Je veux dire par là que si vous perdez vos clés et que ces derniers n’expirent jamais, alors ils pourront être utilisées pour chiffrer des messages sans que vous ne puissiez les déchiffrer. Il faut donc utiliser une date d’expiration sur vos clés.

Ma méthode, qui permet de garder sa clé à la fois longtemps et sans risquer qu’elle reste valide indéfiniment, c’est de mettre une durée d’expiration (par exemple 1 an) et de repousser cette date quand on arrive à la fin de l’année. Votre clé est ainsi toujours valide, mais si vous la perdez alors elle s’expirera toute seule au bout d’un an.

Quand vous mettez à jour la date d’expiration (par exemple un mois avant la fin), n’oubliez pas de la republier la clé publique sur les serveurs de clé GPG, pour que tout le monde puisse avoir la dernière version à jour.


  • [1] : j’admets que ça m’est arrivé aussi, il y a longtemps… bouuuhouuu !
  • [2] : et faites ça avec tous vos fichiers précieux (photos, documents…). Je vous promets que si vous ne le faites pas, vous le regretterez, mais vous ne ferez l’erreur qu’une seule fois. Assurez aussi que vos sauvegardes soient exploitables (inutile d’utiliser un disque dur sur le point de tomber en panne).


(Pour ceux qui ne savent pas ce qu’est une clé GPG et le chiffrement des emails, vous pouvez consulter mon tutoriel pour ça : utiliser GPG dans Thunderbird pour envoyer des e-mails chiffrés.)