| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| authentification:yubikey [2020/12/26 09:53] – [CCID Mode, carte à puce OpenPGP] d2air | authentification:yubikey [2023/01/03 17:27] (Version actuelle) – [Les défauts de la YubiKey] d2air |
|---|
| La [[https://www.yubico.com/|YubiKey]] est un dispositif d’authentification électronique fabriqué par Yubico qui supporte les mots de passe à usage unique, le chiffrement et l’authentification par clé publique et le protocole Universal Second Factor (U2F) développé par l’alliance FIDO (FIDO U2F). | La [[https://www.yubico.com/|YubiKey]] est un dispositif d’authentification électronique fabriqué par Yubico qui supporte les mots de passe à usage unique, le chiffrement et l’authentification par clé publique et le protocole Universal Second Factor (U2F) développé par l’alliance FIDO (FIDO U2F). |
| |
| [[https://www.yubico.com/|YubiKey]] met en œuvre l’algorithme de mots de passe à usage unique basé sur HMAC (HOTP) et celui basé sur le temps (TOTP). Il se substitue à un clavier qui fournit un mot de passe à usage unique à travers le protocole USB HID. Les versions YubiKey NEO et YubiKey 4 incluent des protocoles tels que celui des cartes OpenPGP (utilisant le RSA 2048-bit) et la cryptographie à courbe elliptique (ECC) p256 et p384, la communication en champ proche (NFC) et le FIDO U2F. La quatrième génération de YubiKey lancée le 16 novembre 2015 supporte OpenPGP avec RSA 4096-bit et le support Public Key Cryptographic Standards (PKCS #11) pour les smart cards d’identification personnelle, fonctionnalité qui permet la signature d’images Docker. | [[https://www.yubico.com/|YubiKey]] met en œuvre l’algorithme de mots de passe à usage unique basé sur HMAC (HOTP) et celui basé sur le temps (TOTP). Il se substitue à un clavier qui fournit un mot de passe à usage unique à travers le protocole USB HID. Les versions YubiKey 4 et 5 incluent des protocoles tels que celui des cartes OpenPGP (utilisant le RSA) et la cryptographie à courbe elliptique (ECC) p256 et p384 (la curve25519 est supportée depuis la version 5.2.3), la communication en champ proche (NFC) et le FIDO U2F. La quatrième génération de YubiKey lancée le 16 novembre 2015 supporte OpenPGP avec RSA 4096-bit (pour seulement 2048-bit avant) et le support Public Key Cryptographic Standards (PKCS #11) pour les smart cards d’identification personnelle, fonctionnalité qui permet la signature d’images Docker. |
| |
| ===== Logiciels ===== | ===== Logiciels ===== |
| créé : 2020-12-29 expire : 2029-12-28 utilisation : A | créé : 2020-12-29 expire : 2029-12-28 utilisation : A |
| [ ultime ] (1). John Doe <john@domaine.eu> | [ ultime ] (1). John Doe <john@domaine.eu> |
| | |
| | gpg> key 1 |
| |
| gpg> key 2 | gpg> key 2 |
| créé : 2020-12-29 expire : 2029-12-28 utilisation : SC | créé : 2020-12-29 expire : 2029-12-28 utilisation : SC |
| confiance : ultime validité : ultime | confiance : ultime validité : ultime |
| ssb* cv25519/0xB0FFFFFFFFFFFF00 | ssb cv25519/0xB0FFFFFFFFFFFF00 |
| créé : 2020-12-29 expire : 2029-12-28 utilisation : E | créé : 2020-12-29 expire : 2029-12-28 utilisation : E |
| ssb* ed25519/0xB0FFFFFFFFFFFF22 | ssb* ed25519/0xB0FFFFFFFFFFFF22 |
| |
| gpg/carte> | gpg/carte> |
| | </code> |
| | == Authentification SSH == |
| | L’exportation de la sous-clef publique dédiée pour l’authentification SHH s’obtient via la commande : |
| | <code> |
| | gpg --export-ssh-key 0xB0FFFFFFFFFFFF22 |
| </code> | </code> |
| ===== Les défauts de la YubiKey ===== | ===== Les défauts de la YubiKey ===== |
| La conception matérielle et le microprogramme sont tous deux propriétaires, cette clef n’est ni open source, ni open hardware, mais un un produit commercial d’une société américaine. | La conception matérielle et le microprogramme sont tous deux propriétaires, cette clef n’est ni open source, ni open hardware, mais c’est un produit commercial d’une société américaine. |
| * Le [[https://support.yubico.com/support/solutions/articles/15000006434-upgrading-yubikey-firmware|firmware]] ne peut pas être mis à jour afin qu’il ne puisse pas être modifié par malice, mais c’est une politique discutable et des attaques sont possibles. Les [[https://www.yubico.com/support/security-advisories/ysa-2017-01/|versions de 4.2.6 à 4.3.4]] du firmware sont faillibles à la [[https://en.wikipedia.org/wiki/ROCA_vulnerability|vulnérabilité ROCA]] ; | * Le [[https://support.yubico.com/support/solutions/articles/15000006434-upgrading-yubikey-firmware|firmware]] ne peut pas être mis à jour afin qu’il ne puisse pas être modifié par malice, mais c’est une politique discutable et des attaques sont possibles. Les [[https://www.yubico.com/support/security-advisories/ysa-2017-01/|versions de 4.2.6 à 4.3.4]] du firmware sont faillibles à la [[https://en.wikipedia.org/wiki/ROCA_vulnerability|vulnérabilité ROCA]] ; |
| * Pour un usage de carte à puce ''OpenPGP'' une clef [[https://www.gniibe.org/FST-01/fst-01.html|FST-01]] semble préférable (voir [[https://lwn.net/Articles/736231/|Comparison of cryptographic keycards]]) ; | * Pour un usage de carte à puce ''OpenPGP'' une clef [[https://www.gniibe.org/FST-01/fst-01.html|FST-01]] semble préférable (voir [[https://lwn.net/Articles/736231/|Comparison of cryptographic keycards]]) ; |
| * [[https://geekeries.org/2020/03/keepass-et-yubikey-multiplateforme-article-misc-103/|KeePass et Yubikey multiplateforme, article MISC 103]] | * [[https://geekeries.org/2020/03/keepass-et-yubikey-multiplateforme-article-misc-103/|KeePass et Yubikey multiplateforme, article MISC 103]] |
| * [[https://www.christiaanconover.com/blog/yubikeyconfig/|How To Configure Your Yubikey for Maximum Usefulness & Security]] | * [[https://www.christiaanconover.com/blog/yubikeyconfig/|How To Configure Your Yubikey for Maximum Usefulness & Security]] |
| | * [[https://gist.github.com/ageis/14adc308087859e199912b4c79c4aaa4|Technical guide for using YubiKey series 4 for GPG and SSH]] |
| | * [[https://github.com/drduh/YubiKey-Guide|YubiKey-Guide]] |
| |
d2air