---
title: "GPG : révoquer une clé"
date: 2017-07-23T19:38:00+01:00
draft: false
lastmod: 2018-03-04T23:59:06+01:00
tags: ["GPG"]
---
## Description
Pour une raison ou l'autre, il vous est impératif de révoquer votre clé… alors révoquons !
Les raisons :
* Une clé qui arrive à expiration…
* Une clé qui est perdue, volée…
* Une clé, malheureusement, compromise…
## Révocation
L'acte de révocation est un acte simple, à partir du moment où vous avez bel et bien votre fichier de révocation relatif à la clé en question !
Dans le cas où votre clé arrive à expiration, il est toujours temps de (re?)générer un certificat de révocation…
*je vous renvoie à la lecture de mon article : "{{< inside2 l="sec:gpg:gpg-guide-bonnes-pratiques" t="Guide bonnes pratiques de création GPG" a="création-du-certificat-de-révocation" >}}" au chapitre "Création du certificat de révocation" !* ;-)
Pour importer le certificat de révocation, on s'y prend ainsi :
`$ gpg --import ~/.gnupg/email@domain.tld.rev.asc`
Maintenant il faut l'éditer, puis utiliser l'option `revkey` :
Si vous révoquez votre clé parce que :
* elle a été compromise, volée, perdue ; indiquez le choix '`Key has been compromised`'
* elle est arrivée à expiration ; indiquez le choix '`Key is no longer used`'.
* elle est remplacée pour utiliser de meilleurs algorithmes, pour la rendre plus "forte", etc... : indiquez le choix '`Key is superseded`'.
* si vous ne voulez pas donner de raisons, indiquez le choix '`No reason specified`'.
{{< code "sec-gpg-edit-key-revkey" >}}
### Cas particulier des sous-clés
Dans mon mémoriel "{{< inside2 l="sec:gpg:gpg-guide-bonnes-pratiques" t="Guide bonnes pratiques de création GPG" a="transformons-les-clés" >}}" *(cf : le chapitre "Transformons nos clés")*, nous avons abordé le point de la transformation des clés "primaires"… juste avant j'avais rappelé la nécessité d'exporter vos clés.
*J'espère que vous l'avez bel et bien fait !*
Nous allons utiliser les fichiers exportés des clés publiques et privés, afin de révoquer les sous-clés relatives…
`$ gpg --import ~/.gnupg/email@domain.tld.public_key.asc ~/.gnupg/email@domain.tld.private_key.asc`
*Bien-sûr, si ces fichiers de clés sont dans un autre chemin, indiquez le bon répertoire, et le bon nom de fichier.* ;-)
Maintenant, nous révoquons nos sous-clés :
{{< code "sec-gpg-edit-key-revkey-subkeys" >}}
## Publier
Ne pas oublier la phase importante qu'est celle d'annoncer au monde entier que votre clé ou vos sous-clés sont révoquées, en la publiant sur un des serveurs SKS.
Là, je vous renvoie à la lecture de mon **{{< inside2 l="sec:gpg:gpg-guide-bonnes-pratiques" t="Guide bonnes pratiques de création GPG" a="partagez-votre-clé-publique" >}}**, sus-nommé, au chapitre "**Partagez votre clé publique !**"
## De bonnes lectures
Je rappelle de bonnes lectures, qui m'ont inspiré, bien-sûr ce mémo :
* l'article d'Alex Cabal : "[Creating the perfect GPG keypair](https://alexcabal.com/creating-the-perfect-gpg-keypair/|)"
* le guide "[Créer et maintenir une paire de clés](https://guide.boum.org/tomes/2_en_ligne/3_outils/07_utiliser_openpgp/04_creer_et_maintenir_une_paire_de_cles/) - tome 2 du Guide d'autodéfense numérique"
----