{"id":3641,"date":"2019-07-01T10:00:10","date_gmt":"2019-07-01T08:00:10","guid":{"rendered":"https:\/\/www.unicoda.com\/?p=3641"},"modified":"2019-06-19T23:35:01","modified_gmt":"2019-06-19T21:35:01","slug":"utilisation-du-jeton-cryptographique-gnuk-de-secours","status":"publish","type":"post","link":"https:\/\/www.unicoda.com\/?p=3641","title":{"rendered":"Utilisation du jeton cryptographique Gnuk de secours"},"content":{"rendered":"\n

Dans un pr\u00e9c\u00e9dent article, j’avais d\u00e9crit la mani\u00e8re de reprogrammer un STLinkv2 pour en faire un jeton cryptographique Gnuk. J’aurais pu m’arr\u00eater l\u00e0 dans mes tests, mais alors, je n’aurais pas eu la garantie que ma solution de secours est valable. J’ai donc v\u00e9rifi\u00e9 ma proc\u00e9dure, pas \u00e0 pas, en reprenant si besoin les diff\u00e9rents articles faisant offices de documentation. Voici quelques \u00e9l\u00e9ments \u00e0 consid\u00e9rer.<\/p>\n\n\n\n

Pour mener \u00e0 bien la cr\u00e9ation d’un nouveau jeton cryptographique contenant les m\u00eames cl\u00e9s que mon jeton source, je commence par r\u00e9initialiser l’environnement sur le poste s\u00e9curis\u00e9 ayant servi \u00e0 la cr\u00e9ation des cl\u00e9s, apr\u00e8s avoir pris soin de d\u00e9chiffrer le dossier de sauvegarde contenant un exemplaire des cl\u00e9s :<\/p>\n\n\n\n

export GNUPGHOME=\/path\/to\/working\/directory\ncp dir-backup-mastersubkeys\/* $GNUPGHOME\/*<\/pre>\n\n\n\n
Pour la suite, l’export des cl\u00e9s sur le jeton s’effectue comme d\u00e9crit dans les parties \u00ab\u00a0Configuration de la cible<\/em>\u00a0\u00bb et \u00ab\u00a0Export des sous-clefs vers la Yubikey<\/em>\u00a0\u00bb de mon article intitul\u00e9 \u00ab\u00a0GnuPG, clefs, YubiKey : c’est parti<\/a>\u00ab\u00a0. Par ailleurs, avant de commencer l’export des cl\u00e9s et pour compl\u00e9ter la configuration du jeton, on ex\u00e9cutera la commande kdf-setup<\/em> dans l’\u00e9diteur de cartes GnuPG en mode admin, le but \u00e9tant de renforcer la s\u00e9curit\u00e9 des clefs (Pour plus de d\u00e9tails \u00e0 ce sujet, lire la partie \u00ab\u00a0Protection des clefs<\/em>\u00a0\u00bb de l’article \u00ab\u00a0Gnuk, NeuG, FST-01 : entre cryptographie et mat\u00e9riel libre<\/a>\u00ab\u00a0). Apr\u00e8s import des clefs, on dispose alors d’un nouveau jeton cryptographique pr\u00eat \u00e0 \u00eatre utilis\u00e9.<\/p>\n\n\n\n
Afin de faire fonctionner  ma cl\u00e9 Gnuk avec gpg –card-status<\/em> sans utiliser sudo, ajout d’une r\u00e8gle udev dans le fichier \/lib\/udev\/rules.d\/60-gnuk.rules<\/em>.<\/p>\n\n\n\n
ACTION==\"add\", SUBSYSTEM==\"usb\", ENV{ID_VENDOR_ID}==\"0000\", ENV{ID_MODEL_ID}==\"0000\", MODE=\"660\", GROUP=\"users\"<\/pre>\n\n\n\n
Puis application des changements.<\/p>\n\n\n\n
# rechargement des r\u00e8gles\nsudo udevadm control --reload-rules\n# \u00c9ventuellement red\u00e9marrage du syst\u00e8me\nsudo reboot<\/pre>\n\n\n\n
Sur le poste cible, sauvegarde du dossier .gnupg\/private-keys-v1.d<\/em>. Puis suppression de son contenu.<\/p>\n\n\n\n
cp -r .gnupg\/private-keys-v1.d .gnupg\/private-keys-v1.d-save\nrm .gnupg\/private-keys-v1.d\/*\ngpg --card-status<\/pre>\n\n\n\n
La commande gpg –card-status<\/em> a pour effet de r\u00e9importer les informations des clefs pr\u00e9sentes sur la carte. Ainsi, si j’effectue une commande pass pour d\u00e9chiffrer l’un de mes mots de passe, c’est bien la nouvelle cl\u00e9 Gnuk qui est attendue et non ma Yubikey. Pour repasser \u00e0 la Yubikey, il suffit de supprimer \u00e0 nouveau le contenu du dossier private-keys-v1.d et le tour est jou\u00e9 (et d’inverser jeton Gnuk et YubiKey).<\/p>\n\n\n\n
Je note qu’il n’est pas possible en l’\u00e9tat d’utiliser deux supports diff\u00e9rents pour les m\u00eames clefs, sans une intervention de l’utilisateur ou une automatisation des changements \u00e0 effectuer en fonction du support branch\u00e9. Pour utiliser indiff\u00e9remment deux supports diff\u00e9rents, un internaute proposait de cr\u00e9er trois sous-clefs suppl\u00e9mentaires, soit six en tout et de r\u00e9partir les trois nouvelles sous-clefs sur le support suppl\u00e9mentaire.<\/p>\n\n\n\n
Effectuer ce que je peux qualifier de \u00ab\u00a0test grandeur nature\u00a0\u00bb \u00e9tait ici indispensable, afin de s’assurer de la robustesse de la solution retenue pour la s\u00e9curisation de mon environnement informatique. En effet, s’appuyer sur une solution sans jamais avoir v\u00e9rifi\u00e9 les proc\u00e9dures de restauration, le retour \u00e0 un fonctionnement normal, me semble bien p\u00e9rilleux. C’est donc un pas de plus sur le chemin de ma r\u00e9silience informatique !<\/p>\n\n\n\n
Source:
GnuPG mailing list – GnuPG card && using the backup secret key<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
Dans un pr\u00e9c\u00e9dent article, j’avais d\u00e9crit la mani\u00e8re de reprogrammer un STLinkv2 pour en faire un jeton cryptographique Gnuk. J’aurais pu m’arr\u00eater l\u00e0 dans mes tests, mais alors, je n’aurais pas eu la garantie que ma solution de secours est valable. J’ai donc v\u00e9rifi\u00e9 ma proc\u00e9dure, pas \u00e0 pas, en reprenant si besoin les diff\u00e9rents … Continuer la lecture de « Utilisation du jeton cryptographique Gnuk de secours »<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[377,415],"tags":[427],"class_list":["post-3641","post","type-post","status-publish","format-standard","hentry","category-crypto","category-sauvegarde","tag-gnuk"],"_links":{"self":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts\/3641","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3641"}],"version-history":[{"count":6,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts\/3641\/revisions"}],"predecessor-version":[{"id":3676,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=\/wp\/v2\/posts\/3641\/revisions\/3676"}],"wp:attachment":[{"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3641"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3641"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.unicoda.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3641"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}