PGP Tool

Apprendre · 6 min de lecture

Premiers pas avec Générer des clés — votre première paire de clés, étape par étape

Vous avez ouvert l'outil "Générer des clés" et vous fixez quatre champs. Voici ce que chacun fait et quoi choisir si vous hésitez.

Générer une paire de clés PGP est une décision unique avec laquelle vous vivrez des années. La plupart des guides sautent les choix et vous disent simplement "cliquez sur Générer". Celui-ci explique ce que chaque champ fait réellement, pour que les valeurs par défaut aient du sens et que vous puissiez sciemment dévier au besoin.

Tout ce qui suit se passe entièrement dans votre navigateur. La clé privée ne quitte jamais votre appareil.

Ce que vous créez

Deux fichiers, générés ensemble comme une paire. La clé publique (.asc) est l'adresse que vous partagez — n'importe qui dans le monde peut chiffrer vers elle. La clé privée (.asc) est le secret que vous gardez — elle seule peut déchiffrer les messages envoyés à votre clé publique. Elles sont mathématiquement liées. Perdre la clé privée rend les messages illisibles à jamais ; la divulguer expose toute votre correspondance passée.

Champ 1 — Nom et e-mail

Ces informations sont intégrées dans la clé en tant qu'"User ID" (UID), une étiquette lisible par l'humain qui voyage avec la clé publique. Choisissez le nom et l'e-mail que vous voulez que les autres voient lorsqu'ils consultent votre clé. L'e-mail n'a pas besoin d'être l'adresse que vous utilisez réellement pour envoyer du courrier — les UIDs servent à l'identification, pas à la distribution.

Vous pouvez avoir plusieurs UIDs sur une même clé (travail, personnel, pseudonyme). Pour une première clé, une seule UID suffit. Vrai nom + l'e-mail que vous voulez le plus associer à la clé est le choix conventionnel.

Champ 2 — Algorithme

Le défaut est Curve25519. Acceptez-le. Il est rapide, moderne, produit des clés courtes et est pris en charge par tous les clients OpenPGP actuels. RSA-3072 et RSA-4096 restent disponibles pour les clients plus anciens (certains tokens matériels, certaines configurations de messagerie héritées) — ne choisissez RSA que si un destinataire ou un appareil l'exige explicitement. En cas de doute, le défaut est le bon choix.

Il existe un article séparé comparant les algorithmes ; celui-ci suppose que vous acceptez le défaut.

Champ 3 — Phrase de passe

La phrase de passe chiffre votre fichier de clé privée au repos. Sans elle, quiconque copie votre .asc peut déchiffrer tout message que vous avez jamais reçu. C'est l'élément de sécurité le plus important.

Faites-la longue. Cinq ou six mots non liés tirés d'un dictionnaire (une "phrase EFF") est bien plus solide qu'une courte chaîne mêlant casse et symboles — et plus facile à mémoriser. Le Générateur de mots de passe peut en produire une. Évitez tout ce que vous avez utilisé ailleurs — la réutilisation de phrases de passe est la cause la plus fréquente de compromission.

Notez-la quelque part physiquement la première fois que vous la définissez. Une phrase de passe que vous ne pouvez plus retrouver est fonctionnellement identique à une clé privée perdue.

Champ 4 — Expiration

Une date d'expiration ne détruit pas la clé — elle indique aux autres clients que la clé ne devrait plus être considérée comme fiable au-delà de cette date. En définir une (1 à 2 ans est conventionnel) vous donne un chemin gracieux pour faire tourner les clés sans révocation dramatique. Vous pourrez prolonger l'expiration plus tard si vous décidez de garder la clé plus longtemps.

"N'expire jamais" est aussi acceptable pour un usage occasionnel. L'inconvénient : si vous perdez l'accès sans certificat de révocation, le monde continue à penser que la clé est valide pour toujours.

Après avoir cliqué sur Générer

Vous obtiendrez trois téléchargements :

  • Clé publique (.asc) — partagez-la librement. Envoyez-la par e-mail, publiez-la sur votre site, téléversez-la sur un keyserver. Toute personne qui veut vous écrire en a besoin.
  • Clé privée (.asc) — gardez-la précieusement. Voir l'article "Sauvegarder ses clés PGP". Ne jamais l'envoyer par e-mail. Ne jamais la coller dans des outils non fiables.
  • Certificat de révocation (.asc) — stockez-le séparément de la clé privée. Si la clé privée est un jour volée ou perdue, publiez la révocation pour que le monde cesse de faire confiance à la clé publique.

Liste de la première semaine

  1. Faites au moins une sauvegarde hors ligne de la clé privée (clé USB chiffrée ou papier).
  2. Stockez le certificat de révocation à un endroit différent de la clé privée.
  3. Vérifiez que vous pouvez déchiffrer : chiffrez un message d'exemple vers votre propre clé publique, puis déchiffrez-le avec la clé privée.
  4. Partagez votre clé publique avec une personne et demandez-lui de vous envoyer un bonjour chiffré.
  5. Ajoutez l'empreinte de la clé à votre signature e-mail ou site web pour que les autres puissent vérifier qu'ils ont la bonne clé.