# Memo GPG

## Vocabulaire

  * **Primary key vs. subkey** - A PGP key certificate may contain other information in addition to the key itself. A subkey is a key that is stored as a sub-component of another key. The primary key is the top level key. It is often referred to elsewhere as the master key.
  * **Public key** - This post is working with the published version of the key certificate. Therefore, only public keys are described (the ones that encrypt and verify signatures). Your local version of your key also includes the associated private keys (for decryption and signature creation), to define the key pair.
  * **Key certificate** - Part of the challenge of understanding gpg key management documentation is the flexibility in the definition of the word ‘key’. It can refer to a specific private or public key, or to a particular key pair, or to the OpenPGP ‘certificate’ that defines a suite of information associated with a key or set of keys. I will use the term “key/public key” and “key certificate” to distinguish between the possible interpretations. Key pairs and private keys will not come up here. We will be focusing on the key certificate.
  * **Key ID** - A hexadecimal string that identifies a key (usually the primary key).
  * **fingerprint** - sert à identifier de manière unique une clef. L'idée étant que, plusieurs personnes pouvant générer une clef avec un même uid, il faut pouvoir déterminer si on a la bonne clef publique en comparant son empreinte. **Note:** Les 8 derniers caractères du fingerprint correspondent à l'identifiant pub de la clé. Cette méthode d’identification des clés n’est plus fiable, il est facile de générer une clé avec une empreinte différente mais dont les 8 derniers caractères sont choisis.
    Fingerprint: 0D69 E11F 12BD BA07 7B37  26AB 4E1F 799A A4FF 2279
    Long key ID:                                4E1F 799A A4FF 2279
    Short key ID:                                         A4FF 2279

  * **UID, or User ID** - The name and email of the user is stored in one or more UID entries, stored under the Primary key.
  * **Certification vs. signing** - ‘Signing’ is an action against arbitrary data. ‘Certification’ is the signing of another key. Ironically, the act of certifying a key is universally called “key signing”. Just embrace the contradiction.
  * **Key packet** - ‘Packet’ is the term used by RFC4880 to identify a component of the message/certificate format. Messages and keys certificates are made up of packets and subpackets of various types.
  * **Trust, Validity, and the Web of Trust** - gpg uses a model of ‘trust’ of users (defined locally-only using the ‘trust’ edit command) and reported ‘validity’ of keys (defined by key signatures/certificates). The combination creates a “Web of Trust”, starting with locally-defined trust statements about users, and passing through multiple levels of key-signature-defined validity links to other keys. Gpg uses the web of trust to determine if a key is acceptable for use without warning the user. There is a writeup in the GNU Privacy Handbook that covers the concepts well enough if you have the terms straight. Documentation often uses the word ‘trust’ for both ‘trust’ and ‘validity’. I mention all of this only to note that this document is concerned with ‘validity’.

## Générer une paire de clés GPG manuellement

    gpg --full-gen-key --expert

### Génération auto d'une primary_key avec en paramètres: durée 1 an, RSA 4096, servant uniquement à certifier

    gpg --quick-gen-key 'Thomas vlp <thomas@vlp.fr>' rsa4096 cert 1y

### Gérération sous-clef servant à signer uniquement sur les même paramètres

    gpg --quick-addkey ID_KEY_primary_key rsa4096 sign 1y

### Génération sous-clef servant uniquement à encrypter sur les même paramètres

    gpg --quick-addkey ID_KEY_primary_key rsa4096 encr 1y

## Clef par default: ajouter dans gpg.conf

    default-key ID_KEY
    no-greeting
    personal-digest-preferences SHA512
    personal-cipher-preferences AES256 AES
    cert-digest-algo SHA512
    default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
    s2k-cipher-algo AES256
    s2k-digest-algo SHA512
    s2k-mode 3
    s2k-count 65011712
    
si non spécifié, la clef par default est la première affiché par gpg -K

## Générer certif de révocation

    gpg --output revocation.asc --gen-revoke thomas@vlp.fr

## Lister les clés publiques

    gpg -k

## Lister les clés privées 

    gpg -K

## Récupérer les (si subkey) fingerprints de la clé

    gpg --fingerprint ID_KEY

## Exporter une clé publique dans un fichier

    gpg -a --export ID_KEY > pub_key.key

## Importer une clé publique depuis un fichier

    gpg --import pub_key.key

## Exporter une clé privée dans un fichier

    gpg -a --export-secret-key > primary_key.key
    -a laisse la clef dans un format lisible

## Exporter sub-key privée dans un fichier

    gpg -a --export-secret-subkeys > secret_subkeys.gpg

## Importer une clé privée depuis un fichier

    gpg --import --allow-secret-key-import primary_key.key

## Signer un fichier

### Signer fichier text

    gpg --clearsign fichier

### Signer binairies (signature à part)

    gpg --detach-sign fichier

## Chiffrer et signer un fichier

    gpg -s -a -e fichier_à_signer
    -s signe
    -a laisse en format lisible (sinon binairie)
    -e chiffre

## Déchiffrer un fichier

    gpg -r ID_KEY -d fichier_à_chiffrer

## Vérifier la signature séparée

    gpg --verify fichier_signature fichier_signé

## Vérifier la signature incluse

    gpg --verify fichier_signé

## Supprimer une clé privée :

    gpg --delete-secret-keys ID_KEY
    gpg --delete-key ID_KEY

## Informations plus poussées sur une paire de clé 

    gpg --edit-key ID_KEY
    export mode: --expert 

### Afficher options

    help

## Changer la passphrase d'une clé privée 

    gpg --edit-key ID_KEY
    passwd
    save 

## Symetric encryption:

    gpg -c -o out.gpg --cipher-algo AES256 -s in.gpg


## Install outil gestion gpg card/yubi key like

    sudo apt install scdaemon pcscd pcsc-tools

## Afficher info card

    gpg --card-status

## Lister/modifier les info

    gpg --card-edit
    >admin
    >help

## Transférer clef sur card

    gpg --edit-key ID_KEY
    #séclection key1 aka subkey1 car key0 = primary_key (absente car offline cf bonne pratiques)
    >key1
    #envoie key1 et répondre à la question sur nature de la key: S ou E
    >keytocard
    #déselectionne key1 (! e pas oublier)
    >key1
    #sélectionne key2
    >key2
    >keytocard
    >key2
    >save

## Utiliser notre card + subkey sur nouvelle machine

    #se connecter sur la nouvelle machine qui à déjà import notre clef public
    gpg --card-edit
    fetch

## Error

    There is no assurance this key belongs to the named user
    gpg --edit-key ID_KEY
    > trust

## Bonne pratique

Required: 2 gpg card + 1 yubi key like

1. créer une primary key pour certifier
2. créer une sub key pour signer, une subkey pour chiffrer et une sub key pour auth
3. créer certif de revoc
4. exporter la primary key et les sub keys
5. mettre la primary key sur une gpg card > backup offline
6. mettre les subkey sur une gpg card > backup offline
7. supprimer les clefs (il faut réimporter la clef primaire pour supprimer les clef secondaires avec)
8. importer uniquement les subkeys
9. mettre les subkey sur la yubi key like
10. stocker les cards en un lieu sur > cf étapes 5 & 6