---
title: "GPG : révoquer une clé"
date: 2017-07-23T19:38:00+01:00
draft: false
lastmod: 2018-03-04T23:59:06+01:00
tags: ["GPG"]
---

## Description

Pour une raison ou l'autre, il vous est impératif de révoquer votre clé… alors révoquons !

Les raisons :

* Une clé qui arrive à expiration…
* Une clé qui est perdue, volée…
* Une clé, malheureusement, compromise…


## Révocation

L'acte de révocation est un acte simple, à partir du moment où vous avez bel et bien votre fichier de révocation relatif à la clé en question !

Dans le cas où votre clé arrive à expiration, il est toujours temps de (re?)générer un certificat de révocation… <br>
*je vous renvoie à la lecture de mon article : "{{< inside2 l="sec:gpg:gpg-guide-bonnes-pratiques" t="Guide bonnes pratiques de création GPG" a="création-du-certificat-de-révocation" >}}" au chapitre "Création du certificat de révocation" !* ;-)

Pour importer le certificat de révocation, on s'y prend ainsi :

`$ gpg --import ~/.gnupg/email@domain.tld.rev.asc`


Maintenant il faut l'éditer, puis utiliser l'option `revkey` :

Si vous révoquez votre clé parce que :

* elle a été compromise, volée, perdue ; indiquez le choix '<span lang="en">`Key has been compromised`</span>'
* elle est arrivée à expiration ; indiquez le choix '<span lang="en">`Key is no longer used`</span>'.
* elle est remplacée pour utiliser de meilleurs algorithmes, pour la rendre plus "forte", etc... : indiquez le choix '<span lang="en">`Key is superseded`</span>'.
* si vous ne voulez pas donner de raisons, indiquez le choix '<span lang="en">`No reason specified`</span>'.

{{< code "sec-gpg-edit-key-revkey" >}}

### Cas particulier des sous-clés

Dans mon mémoriel "{{< inside2 l="sec:gpg:gpg-guide-bonnes-pratiques" t="Guide bonnes pratiques de création GPG" a="transformons-les-clés" >}}" *(cf : le chapitre  "Transformons nos clés")*, nous avons abordé le point de la transformation des clés "primaires"… juste avant j'avais rappelé la nécessité d'exporter vos clés. <br>
*J'espère que vous l'avez bel et bien fait !*

Nous allons utiliser les fichiers exportés des clés publiques et privés, afin de révoquer les sous-clés relatives…

`$ gpg --import ~/.gnupg/email@domain.tld.public_key.asc ~/.gnupg/email@domain.tld.private_key.asc`

*Bien-sûr, si ces fichiers de clés sont dans un autre chemin, indiquez le bon répertoire, et le bon nom de fichier.* ;-)

Maintenant, nous révoquons nos sous-clés :

{{< code "sec-gpg-edit-key-revkey-subkeys" >}}

## Publier

Ne pas oublier la phase importante qu'est celle d'annoncer au monde entier que votre clé ou vos sous-clés sont révoquées, en la publiant sur un des serveurs SKS.

Là, je vous renvoie à la lecture de mon **{{< inside2 l="sec:gpg:gpg-guide-bonnes-pratiques" t="Guide bonnes pratiques de création GPG" a="partagez-votre-clé-publique" >}}**, sus-nommé, au chapitre "**Partagez votre clé publique !**"

## De bonnes lectures

Je rappelle de bonnes lectures, qui m'ont inspiré, bien-sûr ce mémo :

* l'article d'Alex Cabal : "[Creating the perfect GPG keypair](https://alexcabal.com/creating-the-perfect-gpg-keypair/|)"
* le guide "[Créer et maintenir une paire de clés](https://guide.boum.org/tomes/2_en_ligne/3_outils/07_utiliser_openpgp/04_creer_et_maintenir_une_paire_de_cles/) - tome 2 du Guide d'autodéfense numérique"

----