blog:adieu_gnupg_ssh_fido

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
blog:adieu_gnupg_ssh_fido [2023/04/16 16:07] pcblog:adieu_gnupg_ssh_fido [2023/05/09 16:44] (Version actuelle) pc
Ligne 5: Ligne 5:
 Depuis OpenSSH 8.2 (améliorations dans 8.3), les clefs SSH peuvent être protégées par FIDO U2F (et stockées sur le jeton). La spécification est [[https://github.com/openssh/openssh-portable/blob/master/PROTOCOL.u2f|dans le dépôt]]. Depuis OpenSSH 8.2 (améliorations dans 8.3), les clefs SSH peuvent être protégées par FIDO U2F (et stockées sur le jeton). La spécification est [[https://github.com/openssh/openssh-portable/blob/master/PROTOCOL.u2f|dans le dépôt]].
  
-Avant de commencer, installer [[https://www.yubico.com/support/download/yubikey-manager/|YubiKey manager]] pour changer le PIN et le PUK de l'applet FIDO (différents de PIV).+Avant de commencer, installer [[https://www.yubico.com/support/download/yubikey-manager/|YubiKey manager]] pour changer le PIN de l'applet FIDO (différent de PIV, pas de PUK pour FIDO).
  
 Générons une telle clef : Générons une telle clef :
Ligne 36: Ligne 36:
 Pour les jetons FIDO (et pas FIDO2), seules les clefs P-256 sont possibles. Pour les jetons FIDO (et pas FIDO2), seules les clefs P-256 sont possibles.
  
-Ici, on stocke la clef SSH sur le jeton FIDO (''-O resident'') avec l'« application » ''ssh:perso'' (pour différencier les clefs si on doit en avoir plusieurs) ; par défaut, ''ssh:'' est utilisé. Enfin, on impose la vérification du PIN de l'usager à chaque signature avec ''-O verify-required''.+Ici, on stocke la clef SSH sur le jeton FIDO (''-O resident'') avec l'« application » ''ssh:perso'' (pour différencier les clefs si on doit en avoir plusieurs) ; par défaut, la chaîne ''ssh:'' est utilisée. Enfin, on impose la vérification du PIN de l'usager à chaque signature avec ''-O verify-required''.
  
 Déplaçons les fichiers ''/home/nomp/.ssh/id_ecdsa_sk'' et ''/home/nomp/.ssh/id_ecdsa_sk.pub''. Avec : Déplaçons les fichiers ''/home/nomp/.ssh/id_ecdsa_sk'' et ''/home/nomp/.ssh/id_ecdsa_sk.pub''. Avec :
Ligne 48: Ligne 48:
 Le PIN FIDO est demandé. La commande :<code>$ ssh-add -L Le PIN FIDO est demandé. La commande :<code>$ ssh-add -L
 sk-ecdsa-sha2-nistp256@openssh.com AAA...NoOg==</code> affiche la clef publique ; on note que son type est  sk-ecdsa-sha2-nistp256@openssh.com AAA...NoOg==</code> affiche la clef publique ; on note que son type est 
-préfixé par ''sk-''.+préfixé par ''sk-'' (pour //security key//).
  
-NB : comme le jeton Yubico se bloque après trois tentatives erronées, un PIN de six caractères protège la clef SSH.+NB : comme le jeton Yubico se bloque après trois tentatives erronées, un PIN de six caractères protège correctement la clef SSH.
  
 Lors de chaque accès SSH, la YubiKey clignote et il faut appuyer sur le jeton pour que l'authentification se fasse si on n'a pas ajouté ''-O verify-required'' lors de l'étape de création. Sinon, le PIN est demandé. Lors de chaque accès SSH, la YubiKey clignote et il faut appuyer sur le jeton pour que l'authentification se fasse si on n'a pas ajouté ''-O verify-required'' lors de l'étape de création. Sinon, le PIN est demandé.
  • blog/adieu_gnupg_ssh_fido.txt
  • Dernière modification : 2023/05/09 16:44
  • de pc