Guide d'autodéfense numérique

Mises à jour : les logiciels évoluent, c'est pourquoi il est vivement conseillé d'utiliser la version la plus à jour de cet outil, qui est disponible sur le site web https://guide.boum.org/.

Durée : 15 à 30 minutes.

Si notre clé privée était compromise, il faudrait faire parvenir le certificat de révocation créé précédemment à nos correspondants, pour que ceux-ci ne puissent plus l'utiliser et sachent qu'elle n'est plus de confiance.

Attention : les instructions qui suivent révoqueront de manière irréversible notre clé. À utiliser avec modération !

Faire savoir que notre paire de clés est compromise

Dans le cas ou notre propre paire de clés est compromise, par exemple si celle-ci a été obtenue après piratage de notre système, l'enjeu est d'arriver à le faire savoir à nos correspondants.

Que ce soit sous Tails ou avec une Debian chiffrée, il faudra tout d'abord importer ce certificat de révocation.

Importer le certificat de révocation

Contrairement à l'importation d'une clé il nous faudra le faire en utilisant un terminal.

On va commencer la commande en tapant (sans faire Entrée) :

gpg --import

Puis on fera glisser le fichier du certificat de révocation dans le terminal pour obtenir quelque chose ressemblant à :

gpg --import '/home/amnesia/Certificat de révocation pour la clé 2A544427.rev

Taper ensuite sur entrée, le terminal doit renvoyer en retour un message ressemblant à :

gpg: clef 0x156216F62A544427 : « Alice  » certificat de révocation importé gpg: Quantité totale traitée : 1 gpg: nouvelles révocations de clef : 1 gpg: 3 marginale(s) nécessaire(s), 1 complète(s) nécessaire(s), modèle de confiance PGP gpg: profondeur : 0 valables : 1 signées : 0 confiance : 0 i., 0 n.d., 0 j., 0 m., 0 t., 1 u. gpg: la prochaine vérification de la base de confiance aura lieu le 2017-12-03

Maintenant, il nous reste encore à faire savoir à nos correspondants que notre paire de clés a été compromise, car pour l'instant seul notre ordinateur est au courant. Pour y remédier nous pouvons publier notre clé désormais révoquée. Il faudra ensuite dire à nos correspondants, par exemple par email, qu'il leur faut se synchroniser avec le serveur de clés afin de révoquer notre clé publique en leur possession. Si en revanche nous n'avons pas publié notre clé publique sur un serveur de clés, il faudra inclure le certificat de révocation dans un email envoyé à nos correspondants.

Publier la paire de clés révoquée

Si notre clé publique a au préalable été publiée sur un serveur de clés, le mieux est de se synchroniser avec ce même serveur, pour que notre clé publique y soit désormais révoquée également, permettant ainsi à tous nos correspondants d'en être avertis en se synchronisant également. Attention toutefois, si aucune clé n'est sélectionnée, c'est l'intégralité du trousseau qui va être envoyé au serveur de clés.

Pour cela, que ce soit sous Tails ou dans une Debian, lancer Mots de passe et clés à partir de la vue d'ensemble des activités en appuyant sur la touche Logo puis en tapant mots. Puis suivre la partie Publier sa clé publique sur les serveurs de clés de l'outil créer et maintenir une paire de clés.

Une fois cette synchronisation effectuée, reste à faire savoir cela à nos correspondants. Pas de recette toute faite pour ça, entre envoyer un email chiffré à ceux-ci, le leur faire savoir de vive-voix, etc.

Révoquer la paire de clés d'un correspondant

Si l'un de nos correspondant nous a fait savoir que sa paire de clés est compromise et qu'il l'a révoquée, il nous faut mettre cela à jour sur notre ordinateur, que ce soit Tails ou une Debian chiffrée.

Se synchroniser avec un serveur de clés

Dans le cas où notre correspondant a mis à jour sur un serveur de clés, sa clé publique désormais révoquée, il nous faudra simplement se synchroniser avec ce serveur de clés. Pour cela, lancer Mots de passe et clés à partir à partir de la vue d'ensemble des activités en appuyant sur la touche Logo puis en tapant mots. Sélectionner la clé que l'on veut synchroniser, puis cliquer sur le menu Distant puis Synchroniser et publier des clés.... Si aucun serveur de clés n'a été choisi, cliquer sur le bouton Serveurs de clés, et selectionner hkp://pool.sks-keyservers.net pour publier nos clés. Fermer la fenêtre et cliquer enfin sur Synchroniser.

Importer le certificat de révocation d'un correspondant

Si par contre la clé compromise de notre correspondant n'est pas disponible sur un serveur de clés, ou non synchronisée, et que celui-ci nous a fait parvenir le certificat de révocation, il nous faudra l'importer nous-mêmes. Pour cela, suivre les étapes du paragraphe Importer le certificat de révocation précédent.