Clés de sécurité

Logiciel libre Entraide – GNU/Linux
1

Dans l’idée d,améliorer les pratiques de sécurité …
Il y a « yubikey », mais …

  • la version 4 ne serait plus open source
  • si on perd la clé, on est foutu

Il me viens une idée, et j’aimerais avoir vos points de vues

  • prendre une clé USB ordinaire
  • En faire un conteneur Luks avec mot de passe (on doit avoir la clé et le mot de passe)
  • Mettre dedans les autres éléments très secrets dont on peut avoir besoin (fichiers-clés de partitions luks sur l’ordi, basse de donnée Keepass, Clés gpg, Clés ssh …
  • Il est possible de sauvegarder le conteneur luks de la clé pour récupérer le tout en cas de perte d’accées (je suis un homme distrait) ou de la donner à une personne de confiance.

Qu’en pensez-vous ?

  1. déjà fait, vas donc voir le tuto … lien svp :wink:
  2. Idée intéressante
  3. Bon courage si tu as du temps à perdre
  4. la sécurité c’est une affaire de spécialistes, visiblement je suis trop novice pour jour à ça !
  5. Autre commentaire ?
2

Une piste :
https://veronneau.org/i-am-tomu.html

3
  1. mon tuto: https://anarc.at/blog/2015-12-14-yubikey-howto/
  2. idée intéressante!
  3. N/A
  4. N/A
  5. c’est compliqué, le stockage sécuritaire des clés… j’ai écrit tout un article sur ça: https://anarc.at/blog/2017-10-16-strategies-offline-pgp-key-storage/… qui fait partie d’une série qui révise également des alternatives au Yubikey: https://anarc.at/blog/2017-10-26-comparison-cryptographic-keycards/

Je dirais, en général, qu’un système que tu comprends bien est un excellent départ. Si tu es familier avec LUKS, c’est une bonne solution. Mais comme la Yubikey « si on perd la clé, on est foutu ».

À noter aussi le problème de « si on la donne à une personne de confiance, on est foutu », un peu - cette personne peut commencer à attaquer notre crypto. Donc pas évident de trouver des solutions de « backups » dans ce contexte.

Je noterais aussi un nouveau venu dans le domaine, qui pourrait être intéressant pour stocker des secrets:

Pour ce que ça vaut, j’utilise encore ma Yubikey pour mes clés d’authentification et de signature (mais pas d’encryption: trop lent), et je suis généralement très content. Je pense basculer à la Yubikey 4 éventuellement. Je noterais finalement que les Yubikey n’ont jamais réellement été « open source » (ou veut-on dire « open hardware » ici?) alors la Yubikey 4 n’est pas si différente des précédentes. Le « firmware » était « libre » (l’applet OpenPGP, si je me souviens bien), mais c’est vraiment limité comme ouverture…

4

Remplacer le point de défaillance unique par un truc du genre

5

difficile à faire avec des clés matérielles…

6

Je comprend que la méthode avec une clé usb chiffrée Lucks présente principalement le risque d,un key logger sur l’ordi qui saisit le mot de passe. Problème identique avec les clés matérielles sans clavier !
Je m’inquiétais surtout d’une implémentation maison mal maitrisée, puisque les failles sont généralement à ce niveau !

Merci pour vos contributions :wink: