Pourquoi une passphrase si ma clé privée est dans un fichier ?

Sans passphrase, **n'importe qui qui récupère le fichier** (un portable volé, une fuite de sauvegarde) peut lire ton e-mail et signer des commits comme toi. Une passphrase **emballe la clé privée dans une couche de chiffrement supplémentaire**. Sans la passphrase, le fichier est inutile. C'est le standard du secteur.

Quelle est la différence entre clé publique et clé privée ?

**La clé publique tu la donnes à tout le monde** (dans ta signature e-mail, sur GitHub, sur la page de ton entreprise). N'importe qui peut l'utiliser pour chiffrer un message pour toi. **La clé privée toi seul la gardes** (sur ton portable, idéalement sur un token matériel YubiKey). Toi seul peux déchiffrer les messages chiffrés avec la clé publique. Asymétrie égale sécurité.

C'est quoi l'empreinte et le key ID ?

**L'empreinte** est une chaîne hex de 40 caractères (SHA-1 de toute la clé), ton « empreinte cryptographique » unique. **Le key ID** est les 16 derniers caractères de l'empreinte, la version courte affichée dans les UI. Quand quelqu'un te tend une clé avec « ma clé : 1A2B 3C4D ... », **vérifie l'empreinte** avant de lui faire confiance aveuglément (les attaques MITM échangent les clés silencieusement).

Puis-je changer la passphrase plus tard ?

Oui, mais **pas dans cet outil**, celui-ci ne fait que générer. Dans GnuPG (`gpg --edit-key`), dans les réglages ProtonMail, dans Keybase aussi. La clé privée elle-même reste la même, seul le wrapper change.

Et si je perds ma clé privée ?

**Tu ne peux plus déchiffrer les anciens messages**, jamais. C'est ce qui rend PGP fort. Pratique standard : **génère un certificat de révocation immédiatement** après création de la clé, stocke-le en sécurité. Si tu perds la clé, publie le certificat pour dire au monde que ta clé publique est brûlée. On ne génère pas de cert de révocation ici (avancé), fais-le dans GnuPG.

La clé a expiré, et maintenant ?

Génères-en une nouvelle, publie-la, annonce-la sur ton blog/Twitter comme ta nouvelle clé. L'**ancienne clé déchiffre toujours les vieux messages**, tu ne perds pas l'historique. L'expiration est un **filet de sécurité** au cas où tu perdrais l'accès ou oublierais la clé.

Votre serveur voit-il mes clés ?

**Non**. La génération se passe entièrement dans ton navigateur (la bibliothèque OpenPGP.js, le même code que ProtonMail utilise). Ouvre **DevTools → Network**, tu verras zéro requête pendant la génération. Notre serveur ne livre que du HTML/JS/CSS statique.

Puis-je utiliser cette clé dans GnuPG / Thunderbird / ProtonMail ?

Oui, **les clés suivent le standard OpenPGP** (RFC 4880), format ASCII « armored ». Dans GnuPG : `gpg --import private.asc`. Dans Thunderbird : Réglages, End-to-End Encryption, OpenPGP, Import. Dans ProtonMail : Réglages, Chiffrement et clés, Import.

Ça remplace S/MIME ?

PGP et S/MIME règlent le même problème (e-mail chiffré) mais sont **incompatibles**. S/MIME utilise des certificats X.509 (comme HTTPS, CA hiérarchiques), PGP utilise le « Web of Trust » (réseau de confiance peer-to-peer). PGP domine chez les développeurs et les organisations privacy (EFF, Tor, ProtonMail), S/MIME domine dans Outlook/Microsoft 365 corporate.

Générateur paire de clés PGP - gratuit

Générateur de paire de clés PGP

Générez une paire de clés OpenPGP pour chiffrer vos emails, signer vos commits Git et vérifier des logiciels. Tous les calculs tournent dans votre navigateur.

Générateur paire de clés PGP

Comment (optional)

Passphrase de la clé privée (optional)

Sans passphrase, toute personne qui accède au fichier de clé privée peut se faire passer pour vous. Nous recommandons vivement d’en définir une.

Courbe / algorithme

Expiration de la clé

Tout fonctionne localement. La clé privée ne quitte jamais votre navigateur.

C'est quoi une clé PGP et pourquoi en as-tu besoin ?

PGP est le standard que tu utilises encore aujourd'hui pour protéger les e-mails privés (ProtonMail), signer les commits Git sur GitHub, et vérifier l'authenticité des logiciels (noyau Linux, Ubuntu, releases de packages signées). Tu génères une paire de clés : une clé publique (tu la donnes à tout le monde) et une clé privée (tu la gardes pour toi). N'importe qui peut chiffrer un message pour toi avec ta clé publique, mais toi seul peux le lire.

Ici tu génères la paire directement dans ton navigateur. Choisis Ed25519 (la courbe elliptique moderne et rapide) ou le classique RSA-2048/4096 (compatibilité avec tout outil legacy). Les clés sortent en format ASCII « armored », pour que tu puisses les coller direct dans Gmail, GitHub ou Keybase.

Tout tourne dans ton navigateur. La clé privée ne quitte jamais ton appareil. C'est la règle de base de PGP, toi seul connais la clé privée.

Comment l'utiliser

Entre ton nom et ton e-mail, ces champs sont embarqués dans la clé publique comme « User ID ».

Optionnellement entre un commentaire (par exemple « GitHub », « travail », « perso ») si tu gardes plusieurs clés pour différents usages.

Passphrase pour la clé privée : fortement recommandée. Sans elle, n'importe qui avec accès au fichier peut signer des commits en ton nom.

Choisis la courbe : Ed25519 pour usage moderne (GitHub, ProtonMail), RSA-2048 pour systèmes legacy, RSA-4096 quand tu veux la plus grande marge de sécurité (la génération prend quelques secondes).

Choisis l'expiration : 1, 2, 5 ans ou jamais. Une expiration plus courte est une meilleure pratique ; la clé peut être tournée ou révoquée.

Clique sur Générer. Tu obtiens une clé publique, une clé privée, l'empreinte (identifiant court) et le key ID.

Quand l'utiliser

Six situations courantes où une clé PGP règle le problème :

Chiffrer un e-mail dans ProtonMail/Tutanota/Thunderbird. Échange les clés publiques avec un ami ; ensuite vous pouvez tous les deux chiffrer l'un pour l'autre.
Signer les commits Git sur GitHub. Ajoute la clé publique à ton compte, les commits reçoivent un badge vert « Verified ».
Vérifier la signature d'un package Linux. La signature PGP prouve que le package vient de l'auteur original (apt-get, pacman).
Identité sur Keybase, key server ProtonMail, GitHub. Ta clé publique est ton identité cryptographique.
Sauvegarder un mot de passe ou une clé API. Chiffre le fichier avec ta propre clé publique, tu peux même le pousser sur un dépôt public en toute sécurité.
Lanceur d'alerte anonyme. Les journalistes et organisations (Wikileaks, ProPublica) publient leur clé publique pour que les sources puissent soumettre des documents en sécurité.

Pour chiffrer du texte sans clés (juste un mot de passe), utilise le chiffrement AES. Pour la signature JWT, voir le signataire/vérificateur JWT.

Questions et réponses

Ed25519 est le défaut moderne. Clés plus petites (256 bits vs RSA-4096), génération plus rapide (millisecondes vs secondes), toujours fort. Choisis RSA seulement si tu dois supporter un système legacy qui ne comprend pas Ed25519 (rare en 2025). GitHub, GPG 2.1+, ProtonMail acceptent tous Ed25519.

C'est quoi une clé PGP et pourquoi en as-tu besoin ?

Tout tourne dans ton navigateur. La clé privée ne quitte jamais ton appareil. C'est la règle de base de PGP, toi seul connais la clé privée.

Comment l'utiliser

Entre ton nom et ton e-mail, ces champs sont embarqués dans la clé publique comme « User ID ».

Optionnellement entre un commentaire (par exemple « GitHub », « travail », « perso ») si tu gardes plusieurs clés pour différents usages.

Passphrase pour la clé privée : fortement recommandée. Sans elle, n'importe qui avec accès au fichier peut signer des commits en ton nom.

Choisis l'expiration : 1, 2, 5 ans ou jamais. Une expiration plus courte est une meilleure pratique ; la clé peut être tournée ou révoquée.

Clique sur Générer. Tu obtiens une clé publique, une clé privée, l'empreinte (identifiant court) et le key ID.

Quand l'utiliser

Six situations courantes où une clé PGP règle le problème :

Chiffrer un e-mail dans ProtonMail/Tutanota/Thunderbird. Échange les clés publiques avec un ami ; ensuite vous pouvez tous les deux chiffrer l'un pour l'autre.
Signer les commits Git sur GitHub. Ajoute la clé publique à ton compte, les commits reçoivent un badge vert « Verified ».
Vérifier la signature d'un package Linux. La signature PGP prouve que le package vient de l'auteur original (apt-get, pacman).
Identité sur Keybase, key server ProtonMail, GitHub. Ta clé publique est ton identité cryptographique.
Sauvegarder un mot de passe ou une clé API. Chiffre le fichier avec ta propre clé publique, tu peux même le pousser sur un dépôt public en toute sécurité.
Lanceur d'alerte anonyme. Les journalistes et organisations (Wikileaks, ProPublica) publient leur clé publique pour que les sources puissent soumettre des documents en sécurité.

Pour chiffrer du texte sans clés (juste un mot de passe), utilise le chiffrement AES. Pour la signature JWT, voir le signataire/vérificateur JWT.

Questions et réponses

Générateur paire de clés PGP

C'est quoi une clé PGP et pourquoi en as-tu besoin ?

Comment l'utiliser

Quand l'utiliser

Questions et réponses

Outils similaires

Générateur paire de clés JWT

Générateur CSR

Chiffrement AES-GCM

Générateur paire de clés DKIM

Signataire / vérificateur JWT

Générateur paire de clés PGP

C'est quoi une clé PGP et pourquoi en as-tu besoin ?

Comment l'utiliser

Quand l'utiliser

Questions et réponses

Outils similaires

Générateur paire de clés JWT

Générateur CSR

Chiffrement AES-GCM

Générateur paire de clés DKIM

Signataire / vérificateur JWT