FAQ
Questions fréquemment posées sur PGPilot et OpenPGP.
Quelle est la différence entre une clé publique et une clé privée ?
Section intitulée « Quelle est la différence entre une clé publique et une clé privée ? »- Clé publique : Sûre à partager. Utilisée pour chiffrer les messages vers vous. N’importe qui peut l’avoir.
- Clé privée : Secrète. Utilisée pour déchiffrer et signer. Ne partagez jamais.
Pensez : clé publique = boîte aux lettres (anyone peut y mettre des lettres) ; clé privée = clé de votre boîte (seulement vous).
Pourquoi mes clés n’expirent pas ?
Section intitulée « Pourquoi mes clés n’expirent pas ? »PGPilot crée des clés qui n’expirent jamais par conception. Les sous-clés expirent (après 1, 2 ou 5 ans), mais la clé maître est permanente.
Pourquoi ? L’expiration de la clé maître est plus complexe et rare. La rotation de sous-clé (Remplacer) est la meilleure pratique moderne.
Si vous avez besoin de clés qui expirent, utilisez gpg directement : gpg --quick-gen-key "Nom" ed25519 cert 1y.
Qu’est-ce qu’une empreinte ? Qu’est-ce qu’un ID de clé ?
Section intitulée « Qu’est-ce qu’une empreinte ? Qu’est-ce qu’un ID de clé ? »-
Empreinte : 40 caractères hexadécimaux. Identifiant unique de votre clé.
- Exemple :
ABCD1234567890ABCD1234567890ABCD1234567890 - Vérifiez toujours ceci en personne avant de faire confiance
- Exemple :
-
ID de clé : 16 derniers caractères de l’empreinte (ID long) ou 8 derniers (ID court).
- ID long :
1234567890ABCDEF - ID court :
90ABCDEF(⚠️ Non recommandé — facilement collisionnel)
- ID long :
PGPilot utilise toujours des empreintes complètes 40 caractères.
Pourquoi des sous-clés séparées ?
Section intitulée « Pourquoi des sous-clés séparées ? »Trois sous-clés (Sign, Encryption, Auth) permettent :
- Rotation : Rafraîchir les sous-clés sans changer votre identité
- Délégation : Partager les sous-clés avec des services sans partager la clé maître
- Matériel : Déplacer les sous-clés individuelles vers YubiKey
- Spécialisation : Chaque clé optimisée pour son objectif
C’est la meilleure pratique moderne.
Puis-je révoquer une clé ?
Section intitulée « Puis-je révoquer une clé ? »La révocation marque une clé comme invalide (ex: compromise ou perdue).
Dans PGPilot : Vous ne pouvez pas révoquer la clé maître. Pour les urgences, utilisez :
gpg --gen-revoke <fingerprint> > revocation.ascgpg --import revocation.ascgpg --keyserver keys.openpgp.org --send-keys <fingerprint>Sous-clés : Utilisez Remplacer dans PGPilot pour révoquer les anciennes sous-clés.
Clés et trousseaux
Section intitulée « Clés et trousseaux »Où PGPilot stocke-t-il mes clés ?
Section intitulée « Où PGPilot stocke-t-il mes clés ? »Dans le répertoire standard GnuPG :
- Linux :
~/.gnupg/ - macOS :
~/.gnupg/ou/Users/<username>/.gnupg/ - Windows :
%APPDATA%\gnupg\
PGPilot ne crée pas son propre trousseau — il délègue à gpg.
Puis-je utiliser PGPilot avec les clés créées par gpg ?
Section intitulée « Puis-je utiliser PGPilot avec les clés créées par gpg ? »Oui ! PGPilot lit et gère n’importe quel trousseau GPG. Vous pouvez :
- Créer des clés avec
gpget les gérer dans PGPilot - Créer des clés dans PGPilot et les utiliser avec
gpg
Elles sont entièrement compatibles.
Comment sauvegarde-je ma clé privée ?
Section intitulée « Comment sauvegarde-je ma clé privée ? »- Dans PGPilot : Sélectionnez votre clé → Cliquez sur Sauvegarde → Choisissez un dossier
- PGPilot exporte :
<KeyID>_secret.asc— votre clé privée (chiffrée)<KeyID>_revocation.rev— certificat de révocation
Stockez la sauvegarde quelque part de sûr (hors ligne, disque externe chiffré, coffre).
Comment restaure-je une sauvegarde ?
Section intitulée « Comment restaure-je une sauvegarde ? »- Copiez le fichier
_secret.ascdans un endroit sûr - Dans PGPilot : Cliquez sur Importer → Fichier → choisissez le fichier
.asc - PGPilot importe votre clé
Votre phrase de passe de sauvegarde est requise pour réimporter.
Confiance et vérification
Section intitulée « Confiance et vérification »Qu’est-ce que le « niveau de confiance » ?
Section intitulée « Qu’est-ce que le « niveau de confiance » ? »La confiance indique à PGPilot à quel point vous croyez à l’identité de quelqu’un :
- Non défini : Vous n’avez pas vérifié (par défaut)
- Marginal : Vous avez partiellement vérifié
- Complet : Vous avez complètement vérifié (rencontré en personne, comparé les empreintes)
- Ultime : Vous possédez cette clé
PGPilot avertit avant de chiffrer aux clés Non définies.
Quand dois-je définir la confiance ?
Section intitulée « Quand dois-je définir la confiance ? »Après que vous :
- Rencontriez quelqu’un en personne
- Lui demandiez de dire son empreinte
- Vérifiez qu’elle correspond à sa clé dans PGPilot
- Définissez la confiance à Complet
Ne définissez jamais la confiance à Complet basé sur email seul.
Comment vérifie-je une signature ?
Section intitulée « Comment vérifie-je une signature ? »- Récupérez le fichier (ex:
document.pdf) - Récupérez la signature (ex:
document.pdf.sig) - Dans PGPilot : Cliquez sur Vérifier → choisissez le fichier et la signature
- PGPilot affiche le résultat (Valide / Mauvaise signature / Clé inconnue / Expirée / Révoquée)
Si Valide et la confiance du signataire est Complet/Ultime, le document est authentique.
Partage et publication
Section intitulée « Partage et publication »Dois-je publier ma clé sur un serveur de clés ?
Section intitulée « Dois-je publier ma clé sur un serveur de clés ? »Oui, si vous voulez que les gens vous trouvent par email. Une fois publiée :
- D’autres peuvent chercher
votre@email.com - Ils trouvent et téléchargent votre clé publique
- Ils peuvent vous envoyer des messages chiffrés
La publication est sûre — c’est de l’information publique.
Quel serveur de clés dois-je utiliser ?
Section intitulée « Quel serveur de clés dois-je utiliser ? »- keys.openpgp.org (recommandé) : Respectueux de la vie privée, nécessite vérification d’email
- keyserver.ubuntu.com : Traditionnel, liste les emails publiquement
La plupart utilisent keys.openpgp.org maintenant.
Que se passe-t-il quand je publie ?
Section intitulée « Que se passe-t-il quand je publie ? »PGPilot appelle gpg --send-keys <fingerprint> pour :
- Télécharger votre clé publique (pas la privée !)
- Le serveur l’indexe par empreinte + email
- N’importe qui peut maintenant télécharger votre clé publique
Votre clé privée ne quitte jamais votre ordinateur.
Puis-je supprimer ma clé d’un serveur de clés ?
Section intitulée « Puis-je supprimer ma clé d’un serveur de clés ? »Une fois publiée, les clés persistent (ne peuvent pas être vraiment supprimées). Vous pouvez :
- Révoquer la clé (la marquer comme invalide)
- Définir les options de confidentialité
Pour une suppression complète, contactez les admins du serveur.
Sous-clés
Section intitulée « Sous-clés »Pourquoi les sous-clés expirent-elles ?
Section intitulée « Pourquoi les sous-clés expirent-elles ? »Les sous-clés qui expirent vous forcent à les faire pivoter régulièrement. Si une sous-clé fuit, vous ne devez faire pivoter que cette sous-clé, pas votre identité.
PGPilot par défaut 2 ans, mais vous pouvez choisir 1 ou 5 ans.
Quelle est la différence entre « Renouveler » et « Remplacer » ?
Section intitulée « Quelle est la différence entre « Renouveler » et « Remplacer » ? »-
Renouveler : Prolonger la date d’expiration de la même sous-clé
- À utiliser si la sous-clé est encore bonne, juste vieille
- Opération rapide
-
Remplacer : Créer une nouvelle sous-clé et révoquer l’ancienne
- À utiliser si la sous-clé est compromise ou vous voulez la rafraîchir
- Crée une nouvelle clé avec des paramètres frais
- L’ancienne clé est marquée révoquée
Chiffrement
Section intitulée « Chiffrement »Qui peut déchiffrer mes fichiers chiffrés ?
Section intitulée « Qui peut déchiffrer mes fichiers chiffrés ? »Uniquement les destinataires que vous avez spécifiés. Chaque destinataire utilise sa clé privée pour déchiffrer.
Vous ne pouvez pas déchiffrer les fichiers chiffrés pour d’autres (même si vous les avez créés).
Que se passe-t-il si je perds ma clé privée ?
Section intitulée « Que se passe-t-il si je perds ma clé privée ? »Sans la clé privée :
- Vous ne pouvez pas déchiffrer les fichiers chiffrés pour vous
- Vous ne pouvez pas signer les documents comme vous
- Vous ne pouvez pas utiliser SSH avec votre clé Auth
C’est pourquoi la sauvegarde est critique. Si perdue :
- Révoquez la clé
- Créez une nouvelle clé
- Dites à tous votre nouvelle clé
Prévention : Sauvegardez maintenant.
Sécurité
Section intitulée « Sécurité »PGPilot est-il sûr ?
Section intitulée « PGPilot est-il sûr ? »PGPilot est un wrapper GUI autour de gpg. La sécurité dépend de :
- GnuPG : Mature, bataille-testé (utilisé par des milliards)
- Votre système : Protégez votre ordinateur, maintenez l’OS à jour
- Vos clés : Utilisez des phrases de passe fortes, sauvegardez, faites pivoter les clés compromises
- Vos choix : Vérifiez les empreintes avant de faire confiance
PGPilot n’est pas pire qu’utiliser gpg directement.
Que se passe-t-il si mon ordinateur est piraté ?
Section intitulée « Que se passe-t-il si mon ordinateur est piraté ? »Le pirate accède à :
- Vos clés privées (sur le disque, si pas sur YubiKey)
- Vos phrases de passe (si tapées après infection)
- Les fichiers déchiffrés (s’ils sont volés ou lus)
Mitigation :
- Utilisez une YubiKey (les clés ne quittent jamais le matériel)
- Utilisez des phrases de passe fortes (ralentit la force brute)
- Maintenez l’OS à jour (moins de zéro-days)
- Révoquez les clés compromises immédiatement
Dépannage
Section intitulée « Dépannage »PGPilot ne démarre pas
Section intitulée « PGPilot ne démarre pas »Voir Installation — vérifiez que GnuPG et pinentry sont installés.
L’invite de mot de passe n’apparaît pas
Section intitulée « L’invite de mot de passe n’apparaît pas »Voir Dépannage — section pinentry.
Les clés ne s’importent pas
Section intitulée « Les clés ne s’importent pas »Consultez Dépannage — section import.
YubiKey non détecté
Section intitulée « YubiKey non détecté »Voir Dépannage — section YubiKey.
Plus de questions ?
Section intitulée « Plus de questions ? »- Voir Dépannage pour les problèmes courants
- Voir Sécurité pour les modèles de menace
- Email : guillaume+code@friloux.me