Différences

Ci-dessous, les différences entre deux révisions de la page.

--- authentification:yubikey [2020/12/26 09:45] – [CCID Mode, carte à puce OpenPGP] d2air
+++ authentification:yubikey [2023/01/03 17:27] (Version actuelle) – [Les défauts de la YubiKey] d2air
@@ Ligne 4: / Ligne 4: @@
 La [[https://www.yubico.com/|YubiKey]] est un dispositif d’authentification électronique fabriqué par Yubico qui supporte les mots de passe à usage unique, le chiffrement et l’authentification par clé publique et le protocole Universal Second Factor (U2F) développé par l’alliance FIDO (FIDO U2F).
-[[https://www.yubico.com/|YubiKey]] met en œuvre l’algorithme de mots de passe à usage unique basé sur HMAC (HOTP) et celui basé sur le temps (TOTP). Il se substitue à un clavier qui fournit un mot de passe à usage unique à travers le protocole USB HID. Les versions YubiKey NEO et YubiKey 4 incluent des protocoles tels que celui des cartes OpenPGP (utilisant le RSA 2048-bit) et la cryptographie à courbe elliptique (ECC) p256 et p384, la communication en champ proche (NFC) et le FIDO U2F. La quatrième génération de YubiKey lancée le 16 novembre 2015 supporte OpenPGP avec RSA 4096-bit et le support Public Key Cryptographic Standards (PKCS #11) pour les smart cards d’identification personnelle, fonctionnalité qui permet la signature d’images Docker.
+[[https://www.yubico.com/|YubiKey]] met en œuvre l’algorithme de mots de passe à usage unique basé sur HMAC (HOTP) et celui basé sur le temps (TOTP). Il se substitue à un clavier qui fournit un mot de passe à usage unique à travers le protocole USB HID. Les versions YubiKey 4 et 5 incluent des protocoles tels que celui des cartes OpenPGP (utilisant le RSA) et la cryptographie à courbe elliptique (ECC) p256 et p384 (la curve25519 est supportée depuis la version 5.2.3), la communication en champ proche (NFC) et le FIDO U2F. La quatrième génération de YubiKey lancée le 16 novembre 2015 supporte OpenPGP avec RSA 4096-bit (pour seulement 2048-bit avant) et le support Public Key Cryptographic Standards (PKCS #11) pour les smart cards d’identification personnelle, fonctionnalité qui permet la signature d’images Docker.
 ===== Logiciels =====
@@ Ligne 304: / Ligne 304: @@
      créé : 2020-12-29  expire : 2029-12-28  utilisation : A
 [  ultime ] (1). John Doe <john@domaine.eu>
+gpg> key 1
 gpg> key 2
@@ Ligne 310: / Ligne 312: @@
      créé : 2020-12-29  expire : 2029-12-28  utilisation : SC
      confiance : ultime        validité : ultime
-ssb*  cv25519/0xB0FFFFFFFFFFFF00
+ssb  cv25519/0xB0FFFFFFFFFFFF00
      créé : 2020-12-29  expire : 2029-12-28  utilisation : E
 ssb*  ed25519/0xB0FFFFFFFFFFFF22
@@ Ligne 322: / Ligne 324: @@
 gpg> save
+</code>
+== Personnification des champs dans la carte ==
+Le détail des différents champs est expliqué dans la [[https://gnupg.org/howtos/card-howto/en/ch03.html|documentation de GnuPG]].
+Il faut utiliser cette commande :
+<code>
+gpg --card-edit
+gpg/carte> admin
+Les commandes d'administration sont permises
+gpg/carte> help
+quit           quitter ce menu
+admin          afficher les commandes d'administration
+help           afficher cette aide
+list           afficher toutes les données disponibles
+name           modifier le nom du détenteur de la carte
+url            modifier l'URL pour récupérer la clef
+fetch          récupérer la clef indiquée dans l'URL de la carte
+login          modifier l'identifiant de connexion
+lang           modifier les préférences de langue
+salutation     change card holder's salutation
+cafpr          modifier une empreinte d'autorité de certification
+forcesig       inverser le paramètre obligeant à entrer le code personnel pour les
+signatures
+generate       générer de nouvelles clefs
+passwd         menu pour modifier ou déverrouiller le code personnel
+verify         vérifier le code personnel et afficher toutes les données
+unblock        débloquer le code personnel en utilisant un code de réinitialisation
+factory-reset  destroy all keys and data
+kdf-setup      setup KDF for PIN authentication
+key-attr       change the key attribute
+gpg/carte>
+</code>
+== Authentification SSH ==
+L’exportation de la sous-clef publique dédiée pour l’authentification SHH s’obtient via la commande :
+<code>
+gpg --export-ssh-key 0xB0FFFFFFFFFFFF22
 </code>
 ===== Les défauts de la YubiKey =====
-La conception matérielle et le microprogramme sont tous deux propriétaires, cette clef n’est ni open source, ni open hardware, mais un un produit commercial d’une société américaine.
+La conception matérielle et le microprogramme sont tous deux propriétaires, cette clef n’est ni open source, ni open hardware, mais c’est un produit commercial d’une société américaine.
   * Le [[https://support.yubico.com/support/solutions/articles/15000006434-upgrading-yubikey-firmware|firmware]] ne peut pas être mis à jour afin qu’il ne puisse pas être modifié par malice, mais c’est une politique discutable et des attaques sont possibles. Les [[https://www.yubico.com/support/security-advisories/ysa-2017-01/|versions de 4.2.6 à 4.3.4]] du firmware sont faillibles à la [[https://en.wikipedia.org/wiki/ROCA_vulnerability|vulnérabilité ROCA]] ;
   * Pour un usage de carte à puce ''OpenPGP'' une clef [[https://www.gniibe.org/FST-01/fst-01.html|FST-01]] semble préférable (voir [[https://lwn.net/Articles/736231/|Comparison of cryptographic keycards]]) ;
@@ Ligne 337: / Ligne 379: @@
   * [[https://geekeries.org/2020/03/keepass-et-yubikey-multiplateforme-article-misc-103/|KeePass et Yubikey multiplateforme, article MISC 103]]
   * [[https://www.christiaanconover.com/blog/yubikeyconfig/|How To Configure Your Yubikey for Maximum Usefulness & Security]]
+  * [[https://gist.github.com/ageis/14adc308087859e199912b4c79c4aaa4|Technical guide for using YubiKey series 4 for GPG and SSH]]
+  * [[https://github.com/drduh/YubiKey-Guide|YubiKey-Guide]]