Banque de connaissances en logiciels libres
Une compilation de documentations   { en , fr }

Comment créer une nouvelle clé GnuPG

Étiquette:
Créé en:
Auteur:
Xavier Béguin
Version en anglais : How to create a new GnuPG key

Exemple d'utilisation de --generate-key

L'option --generate-key (ou son alias --gen-key) est la commande habituelle pour créer une nouvelle clef. Elle va demander les paramètres obligatoires et utiliser les valeurs par défaut actuelles pour les autres paramètres :

~$ gpg --generate-key
Remarque : Utilisez « gpg --full-generate-key » pour une fenêtre de dialogue de génération de clef complète.

GnuPG doit construire une identité pour identifier la clef.

Nom réel : Herschel Krustofski
Adresse électronique : krusty@example.org
Vous avez sélectionné cette identité :
    « Herschel Krustofski <krusty@example.org> »

Changer le (N)om, l'(A)dresse électronique ou (O)ui/(Q)uitter ? O
De nombreux octets aléatoires doivent être générés. Vous devriez faire
autre chose (taper au clavier, déplacer la souris, utiliser les disques)
pendant la génération de nombres premiers ; cela donne au générateur de
nombres aléatoires une meilleure chance d'obtenir suffisamment d'entropie.
gpg: revocation certificate stored as '/home/krusty/.gnupg/openpgp-revocs.d/7F149D5D15920A8C1DB0E856F8E65DDD5D96E96F.rev'
les clefs publique et secrète ont été créées et signées.

pub   rsa3072 2023-11-15 [SC] [expire : 2025-11-14]
      7F149D5D15920A8C1DB0E856F8E65DDD5D96E96F
uid                      Herschel Krustofski <krusty@example.org>
sub   rsa3072 2023-11-15 [E] [expire : 2025-11-14]

Notez que, selon l'activité de la machine sur laquelle vous générez cette clef, la partie du message (en anglais) vous encourageant à effectuer différentes tâches pour générer des octets aléatoires peut se répéter plusieurs fois (jusqu'à ce qu'assez de données aléatoires aient été lues pour générer la clef).

Une fenêtre de dialogue apparaît également (généralement sous la forme d'une fenêtre de dialogue graphique, qui n'apparaît pas dans l'exemple ci-dessus) pour choisir un nouveau mot de passe.

Exemple d'utilisation de --quick-generate-key

Dans sa forme la plus simple, cette option peut être utilisée en fournissant uniquement un identifiant d'utilisateur (généralement sous la forme Prénom Nom <nom@domaine>) pour générer rapidement une nouvelle clef.

Quand il est appelé depuis un terminal, GnuPG va demander une confirmation et ensuite commencer immédiatement la génération de la clef en utilisant l'algorithme, le type d'utilisation et la date d'expiration par défaut :

~$ gpg --quick-generate-key "Herschel Krustofski <krusty@example.org>"
Sur le point de créer une clef pour :
   « Herschel Krustofski <krusty@example.org> »

Faut-il continuer ? (O/n)
De nombreux octets aléatoires doivent être générés. Vous devriez faire
autre chose (taper au clavier, déplacer la souris, utiliser les disques)
pendant la génération de nombres premiers ; cela donne au générateur de
nombres aléatoires une meilleure chance d'obtenir suffisamment d'entropie.
De nombreux octets aléatoires doivent être générés. Vous devriez faire
autre chose (taper au clavier, déplacer la souris, utiliser les disques)
pendant la génération de nombres premiers ; cela donne au générateur de
nombres aléatoires une meilleure chance d'obtenir suffisamment d'entropie.
gpg: revocation certificate stored as '/home/krusty/.gnupg/openpgp-revocs.d/5FA9B3E2399894BE8BFBD18DDBEC9E2A14677E2A.rev'
les clefs publique et secrète ont été créées et signées.

pub   rsa3072 2023-11-15 [SC] [expire : 2025-11-14]
      5FA9B3E2399894BE8BFBD18DDBEC9E2A14677E2A
uid                      Herschel Krustofski <krusty@example.org>
sub   rsa3072 2023-11-15 [E]

Comme avec l'option --generate-key, une fenêtre de dialogue apparaitra également (généralement sous la forme d'une fenêtre de dialogue graphique, qui n'apparaît pas dans l'exemple ci-dessus) pour choisir un nouveau mot de passe.

L'option --quick-generate-key accepte les arguments suivants :

identifiant-utilisateur [algo [usage [expiration]]]

Une date d'expiration différente peut être précisée en utilisant la valeur default pour l'algorithme et pour le type d'utilisation. La date elle-même peut être précisée par l'argument expiration sous différents formats :

  • utilisez les formats ISO AAAA-MM-JJ ou AAAAMMJJThhmmss pour préciser une date particulière ;
  • utilisez seconds=N, Nd, Nw, Nm, ou Ny pour que la clef expire respectivement dans N secondes, N jours, N semaines, N mois, ou N années ;
  • les valeurs never ou none peuvent être utilisées pour ne pas fournir de date d'expiration (la clef sera valable indéfiniment) ;
  • si la valeur - est utilisée ou si aucune n'est fournie, la clef expirera après le délai par défaut (dans une configuration par défaut, ce sera généralement un an).

Ainsi, pour générer une nouvelle clef qui expirera dans 2 ans, on pourra utiliser la commande suivante :

gpg --quick-gen-key "Herschel Krustofski <krusty@example.org>" default default 2y

Exemple d'utilisation de --full-generate-key

Cette option va générer une nouvelle paire de clefs en produisant des questions pour toutes les options disponibles (lorsqu'une valeur par défaut est disponible, il suffit d'appuyer sur Entrée pour l'utiliser et passer à la suite) :

~$ gpg --full-generate-key
Sélectionnez le type de clef désiré :
   (1) RSA et RSA (par défaut)
   (2) DSA et Elgamal
   (3) DSA (signature seule)
   (4) RSA (signature seule)
  (14) Existing key from card
Quel est votre choix ?
les clefs RSA peuvent faire une taille comprise entre 1024 et 4096 bits.
Quelle taille de clef désirez-vous ? (3072)
La taille demandée est 3072 bits
Veuillez indiquer le temps pendant lequel cette clef devrait être valable.
         0 = la clef n'expire pas
      <n>  = la clef expire dans n jours
      <n>w = la clef expire dans n semaines
      <n>m = la clef expire dans n mois
      <n>y = la clef expire dans n ans
Pendant combien de temps la clef est-elle valable ? (0) 1y
La clef expire le jeu. 14 nov. 2024 16:03:27 CET
Est-ce correct ? (o/N) o

GnuPG doit construire une identité pour identifier la clef.

Nom réel : Herschel Krustofski
Adresse électronique : krusty@example.org
Commentaire :
Vous avez sélectionné cette identité :
    « Herschel Krustofski <krusty@example.org> »

Changer le (N)om, le (C)ommentaire, l'(A)dresse électronique
ou (O)ui/(Q)uitter ? O
De nombreux octets aléatoires doivent être générés. Vous devriez faire
autre chose (taper au clavier, déplacer la souris, utiliser les disques)
pendant la génération de nombres premiers ; cela donne au générateur de
nombres aléatoires une meilleure chance d'obtenir suffisamment d'entropie.
gpg: revocation certificate stored as '/home/krusty/.gnupg/openpgp-revocs.d/3027604FD0B4C813C6EE59B38F56EE66BD65AB40.rev'
les clefs publique et secrète ont été créées et signées.

pub   rsa3072 2023-11-15 [SC] [expire : 2024-11-14]
      3027604FD0B4C813C6EE59B38F56EE66BD65AB40
uid                      Herschel Krustofski <krusty@example.org>
sub   rsa3072 2023-11-15 [E] [expire : 2024-11-14]

Comme avec les autres options, une fenêtre de dialogue apparaitra également (généralement sous la forme d'une fenêtre de dialogue graphique, qui n'apparaît pas dans l'exemple ci-dessus) pour choisir un nouveau mot de passe.

Si vous utilisez les commandes proposées dans cette page sur votre système, vous obtiendrez probablement systématiquement les lignes ci-dessous en tête des résultats d'affichage :

gpg (GnuPG) 2.2.40; Copyright (C) 2022 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Si vous voulez supprimer ce message, utilisez l'option --no-greeting, ou bien décommentez ou ajoutez la ligne suivante à votre fichier de configuration de GnuPG, .gnupg/gpg.conf, dans votre répertoire personnel :

no-greeting