Journal Belgian Electronic Card

Posté par (page perso) . Licence CC by-sa
35
4
jan.
2015

Cher journal,

Récemment, j'ai renouvelé ma carte d'identité. Comme j'avais lu la très bonne dépêche sur les cartes OpenPGP et une puce qui tenait à ma carte d'identité, je me suis dit que c'était l'occasion de tester les certificats x509 inclus dedans. Au final, c'est une smartcard comme les autres1. Il faut dire que l'état fournit un middleware opensource qui est directement compatible avec le standard PKCS11. J'ai donc téléchargé les logiciels adéquats. Ainsi que opensc.

Ensuite, on peut s'amuser à voir que ça marche avec pkcs11-tool --module /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so.0 --login --test. Malheureusement, pour moi, sous Debian, on dirait qu'il y a un problème de dépendance sur les binaires fournis pour Debian et ça ne marche pas, par contre, en recompilant (et installant) les sources, c'est bon. On peut aussi voir les données avec pkcs15-tool -D. On voit donc qu'il y a des certificats lisibles. Pourquoi donc ne pas les utiliser pour s'authentifier sur le PC2 avec pam-pkcs11.

Je dois dire qu'au final, c'est relativement simple, une fois qu'on a compris quels fichiers devaient être modifié. Je me suis grandement inspiré de deux posts qui parle des smartcard en général et pas d'une eID sur le forum Ubuntu pour cela. Premièrement, on créés les répertoires /etc/pam_pkcs11, /etc/pam_pkcs11/cacerts et /etc/pam_pkcs11/crls. Ensuite, on copie la configuration par défaut gzip -ckd /usr/share/doc/libpam-pkcs11/examples pam_pkcs11.conf.example.gz | sudo tee /etc/pam_pkcs11/pam_pkcs11.conf. Il faut modifier ce fichier pour qu'il utilise la bibliothèque donnée plus haut, la variable module devient:

module = /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so.0

Il faut aussi définir un mapper pour faire le lien entre votre compte et un des champs de la carte. Un défaut que je trouve à cette carte d'identité, c'est que le Common Name contient l'usage du certificat, c'est-à-dire que le certificat pour s'authentifier a pour CN: Xavier Claude (Authentication). Il faut donc un fichier pour associer ce compter à votre compte du système. On définit le fichier /etc/pam_pkcs11/cn_map qui contient:

Xavier Claude (Authentication) -> claudex

Et dans /etc/pam_pkcs11/pam_pkcs11.conf, on change les lignes:

use_mappers = cn;

et

mapper cn {
    #debug = true;
    module = internal;
    mapfile = file:///etc/pam_pkcs11/cn_map
}

Ensuite, il faut extraire le certificat utilisé pour signer les certificats utilisateurs qui sera utilisé pour valider le certificat que vous présentez, pour cela, un coup de pkcs15-tool --read-certificate 4 (4 étant l'id donné par la commande pkcs15-tool -D, il est aussi possible de l'extraire via l'interface graphique eid-viewer qui présente la hiérarchie de signature de manière claire). Il faut placer ce fichier dans /etc/pam_pkcs11/cacerts. Ensuite, on met à jour les liens:

cd /etc/pam_pkcs11/cacerts
sudo pkcs11_make_hash_link

Comme l'article que j'ai lié, j'ai d'abord testé avec sudo, parce que c'est très facile. On ajoute dans /etc/pam.d/sudo, la ligne:

auth sufficient pam_pkcs11.so

Et on peut directement tester avec un sudo -i et ça devrait marcher si vous n'avez pas retirer la carte du lecteur depuis le début. Et oui, il y a un autre problème malgré la recompilation, on a le message suivant quand on essaye à froid:

(process:25550): Gtk-WARNING **: This process is currently running setuid or setgid.
This is not a supported use of GTK+. You must create a helper program instead.
For further details, see:

http://www.gtk.org/setuid.html

Refusing to initialize GTK+.

Quand on a déjà rentré le PIN avec, par exemple, un pkcs11-tool --module /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so.0 --login --test, la carte est déjà délocké et ne redemande pas le PIN.

Après, on peut s'amuser à aller plus loin avec pkcs11_eventmgr, qui peut locker le compte quand on retire la carte du lecteur. Le fichier de config est le suivant (vous remarquerez qu'il n'y a rien pour délocker le compte, c'est un exercice laissé au lecteur3). Voici un exemple de fichier de conf pour KDE 4.14 (ça fait varier le screen locker) à placer dans
/etc/pam_pkcs11/pkcs11_eventmgr.conf:

pkcs11_eventmgr {

        # Run in background? Implies debug=false if true
        #daemon = true;

        # show debug messages?
        #debug = false;
        debug = true;

        # polling time in seconds
        polling_time = 1;

        # expire time in seconds
        # default = 0 ( no expire )
        expire_time = 0;

        # pkcs11 module to use
        pkcs11_module = /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so.0;

        #
        # list of events and actions

        # Card inserted
        event card_insert {
                # what to do if an action fail?
                # ignore  : continue to next action
                # return  : end action sequence
                # quit    : end program
                on_error = ignore ;

                # You can enter several, comma-separated action entries
                # they will be executed in turn
                #action = "play /usr/share/sounds/warning.wav",
                #       "xscreensaver-command -deactivate";
                #action = "qdbus | grep kscreenlocker_greet | xargs -I {} qdbus {} /MainApplication quit";
        }

        # Card has been removed
        event card_remove { 
                on_error = ignore;
                #action = "play /usr/share/sounds/error.wav",
                #       "xscreensaver-command -lock";
                action = "qdbus org.freedesktop.ScreenSaver /ScreenSaver Lock";
        }

        # Too much time card removed
        event expire_time { 
                on_error = ignore;
                action = "/bin/false";
        }
}

Après, on peut le lancer avec pkcs11_eventmgr, retirer la carte du lecteur et voir l'écran se verrouiller.

En conclusion, à cause des problèmes avec la présentation de la fenêtre GTK (le mauvais paquet Debian ainsi que l'exécution en suid) pour afficher le code PIN, cela reste un gadget pour l'instant. Les prochaines étape sont le délockage de l'écran de veille, l'identification SSH et si je suis motivé, un rapport de bug.


  1. ça veut donc dire qu'il y a quelques adaptations à faire.  

  2. la question est rhétorique. Sinon, le journal a peu d'intérêt. 

  3. bon, je n'ai rien troué pour délocker le compte de manière sûre. Parce que ce que j'ai trouvé, en commentaire du fichier de conf, ça délocke le compte quelque soit la carte qu'on rentre dedans. Et comme on est dimanche soir, j'ai la flemme de chercher plus loin. 

  • # Noël

    Posté par . Évalué à 10.

    Il faut dire que l'état fournit un middleware opensource qui est directement compatible avec le standard PKCS11

    rhaaaaaaah! Mais c'est Noël? Mais c'est énorme! C'est génial, il faudrait en faire un nourjal rien que pour ça? \o/ L'état qui file des sources, standard, mais juste rhaaaah lovely quoi. Et il y a même de la doc pour les gens sous nux, c'est le genre de truc qui fait plaisir pour commencer 2015 :)

    • [^] # Re: Noël

      Posté par (page perso) . Évalué à 10. Dernière modification le 04/01/15 à 23:08.

      Ça fait des années que c'est comme ça, je pense que c'est depuis l'introduction de la carte d'identité électronique.

      Edit: les commentaires de l'époque ont l'air d'accord avec moi https://linuxfr.org/users/yoda222/journaux/e-id-pgp#comment-615798

      « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Question bête

    Posté par (page perso) . Évalué à 7.

    Une identité "électronique" fournie par l’État a l'air bien intéressante (surtout que de plus en plus de démarches peuvent être faites directement sur l'ordinateur), mais ici l’implémentation m'a l'air douteuse: si j'ai bien compris, l’État te fournit un certificat qu'il a généré lui-même ? Donc tous ceux qui sont sur la chaine entre toi et lui ont potentiellement eu accès a ta clé privée ?

    • [^] # Re: Question bête

      Posté par . Évalué à 3.

      Quoi on peut sortir la clé privée de la carte ? Je crois pas, sinon ça n'a pas beaucoup de sens, dès que tu donnes ta carte pour signer un truc on peut te prendre ta clé privée en même temps…

      • [^] # Re: Question bête

        Posté par (page perso) . Évalué à 7.

        Non, je parle du fait que la clé n'a pas été générée par le citoyen, et donc il doit faire confiance a tous ceux qui sont entre celui qui a généré la clé et lui-même (j'imagine qu'il doit y avoir l’État avec un ou deux contractants dans le coup), donc la on est avant même que la carte arrive chez la personne.

        • [^] # Re: Question bête

          Posté par . Évalué à 4.

          j'imagine qu'il doit y avoir l’État avec un ou deux contractants dans le coup

          Je ne sais pas comment ça se passe chez nos voisins belges, mais en France je sais que certains organismes de l'état s'appuient sur certinomis qui est une entreprise de La Poste. Je ne sais pas si ont peut avoir le même niveau de confiance qu'en La Poste. Je ne sais pas non plus s'ils acceptent les csr.

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: Question bête

          Posté par (page perso) . Évalué à 3.

          Vu qu'on ne peut pas lire la clef privée, il ne faut avoir confiance qu'entre le moment où la clef privée est générée et le moment où la clef est stockée sur la puce. Ce qui réduit pas mal le nombre de faille possible.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Question bête

            Posté par (page perso) . Évalué à 5.

            Mouais. Pour moi, c'est plus ou moins équivalent aux trucs comme Protonmail, qui jurent-promis-juré-craché que le mail est chiffré dès qu'il arrive sur leur serveur et qu'ils jettent la version en clair sans la conserver. C'est-à-dire que j'ai pas du tout confiance en leur machin, en fait.

            • [^] # Re: Question bête

              Posté par (page perso) . Évalué à 9.

              Si tu as peur que les gens qui manipulent les cartes d'identité avec ta clef, tu devrais avoir encore plus peur de l'usurpation d'identité qu'ils peuvent faire en fabricant une fausse carte d'identité à ton nom.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: Question bête

                Posté par (page perso) . Évalué à 4. Dernière modification le 05/01/15 à 22:56.

                les gens qui manipulent les cartes d'identité avec ta clef

                ce n'est pas ta clef si quelqu'un te l'a fournie

                l'usurpation d'identité qu'ils peuvent faire en fabriquant une fausse carte d'identité à ton nom.

                l'état a tout pouvoir ?
                c'est justement la question : savoir gérer son identité de manière autonome (et ce n'est pas si facile avec l'administration), en tenant compte de la sécurité et des processus à suivre cela se complique encore…

                • [^] # Re: Question bête

                  Posté par . Évalué à 7.

                  c'est justement la question : savoir gérer son identité de manière autonome (et ce n'est pas si facile avec l'administration), en tenant compte de la sécurité et des processus à suivre cela se complique encore…

                  Non, là on parle de la responsabilité régalienne de l'état de gérer l'identité civile. Dans ce contexte, c'est son rôle de certifier ton identité. S'il peut certifier ce qu'il veut, qu'il ait ou non généré ta clef ne change pas grand chose puisqu'il peut faire passer n'importe quelle clef pour légitime.

                  Avoir une autre identité que tu gère toi même, c'est pas incompatible (sur une autre carte).

                  • [^] # Re: Question bête

                    Posté par (page perso) . Évalué à 2.

                    Avoir une autre identité que tu gère toi même, c'est pas incompatible (sur une autre carte).

                    Nous sommes donc en fait d'accord. Gérer sa propre identité n'étant pas forcément à déléguer à l'état ni à son administration, point que je relevais, remettant pour certains en cause cette responsabilité régalienne et la remettant entre les mains de chacun de s'affirmer responsable et savoir gérer son identité de bout en bout (plus facile à dire qu'à faire).

        • [^] # Re: Question bête

          Posté par (page perso) . Évalué à 4.

          Euh, non. Il n'y a qu'en celui qui a généré la clef et l'a mise sur la carte-à-puce qu'il doit faire confiance (et qui de toute façon, peut tout signer, donc on s'en moque un peu qu'il ait accès à la clef privée). Le nombre d'intermédiaires qui ont accès à la carte n'a aucune importance.
          C'est un peu le principe d'une carte-à-puce : une fois que la clef privée est injectée dedans, tu ne peux pas l'en retirer (si la carte-à-puce est de bonne qualité).

          Et heureusement que la clef privée n'est pas générée par le citoyen directement, ça serait le meilleur moyen d'avoir de mauvaises clefs (presque personne ne sait correctement générer une clef et faire en sorte qu'il n'en reste aucune trace). Si c'est pour avoir une clef de 512 bits qui est en plus stockée sur une clef USB abandonnée, ce n'est pas la peine de se casser la tête :D

        • [^] # Re: Question bête

          Posté par (page perso) . Évalué à 10.

          la clé n'a pas été générée par le citoyen

          la clé a été générée {par, sur} la carte; elle n'a jamais existé ailleurs.

          (j'imagine qu'il doit y avoir l’État avec un ou deux contractants dans le coup)

          le contractant en question lance la génération de ta clé sur la carte et n'y a jamais accès (même si il le voulait)

          l'État contrôle le CA: il peut de toute façon révoquer ta carte, en créer une autre avec un autre certificat, le signer et faire toute les conneries imaginables "avec ton identité". ce qui était déjà possible avec les identités papiers, donc rien de neuf

          • [^] # Re: Question bête

            Posté par (page perso) . Évalué à 3.

            la clé a été générée {par, sur} la carte; elle n'a jamais existé ailleurs.

            Je dois avouer que je n'y connais absolument rien, merci pour les détails.

            ce qui était déjà possible avec les identités papiers, donc rien de neuf

            Sauf que l'identité papier ne permet pas de signer, elle permet juste d'identifier. Ici on parle d'une clé qui permet d'identifier mais aussi d'authentifier des messages, transactions ou autre. Ça a un pouvoir vachement plus grand, pour moi ça présente un plus grand danger et ça mérite beaucoup plus de faire gaffe à où la clé a trainé.

            • [^] # Re: Question bête

              Posté par (page perso) . Évalué à 3.

              Sauf que l'identité papier ne permet pas de signer,

              Elle contient quand même une copie de la signature qui permet de montrer que tu signe bien avec ta propre signature.

              « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Question bête

          Posté par (page perso) . Évalué à 3.

          Pour bien comprendre ce qui se passe et donc pouvoir décider si on a confiance ou pas, il peut être utile (et même indispensable à mon avis) de lire la politique de certification de cette Autorité de certification. En fait plus précisément c'est la "Déclaration des pratiques de certification" qui nous intéresse.

          Pour ceux qui voudrait tout lire, la version en français est ici : http://repository.eid.belgium.be/downloads/citizen/fr/CPS_CitizenCA.pdf

          Et justement dans la partie 4.4 (Acceptation du certificat) il est précisé :

          Une fois fabriquée, la carte d’identité électronique possède un statut ‘non activé’. La LRA active la
          carte d’identité électronique en présence du citoyen en mettant à jour son statut dans la base de
          données d’identité du RA. Le citoyen et la LRA ont tous deux besoin des données d'activation de
          la carte qui doit être fournie par l'initialisateur de cartes par un moyen sécurisé. La carte ne peut
          être activée qu'au moyen des données d'activation combinées de la LRA et du citoyen.

          Donc il semble les clés ne sont générées que sous le contrôle du citoyen. Mais je me demande comment ça se passe exactement en pratique.

          • [^] # Re: Question bête

            Posté par (page perso) . Évalué à 4.

            Donc il semble les clés ne sont générées que sous le contrôle du citoyen. Mais je me demande comment ça se passe exactement en pratique.

            On doit aller chercher la carte avec sa convocation (qui comporte les codes puk et pin), l'employé de la commune introduit la carte dans son pc pour l'activer (grâce au code puk)

          • [^] # Re: Question bête

            Posté par (page perso) . Évalué à 7.

            Donc il semble les clés ne sont générées que sous le contrôle du citoyen.

            Non, ça veut dire que les certificats ne sont utilisables qu'après l'activation et cette activation se fait en présence du citoyen, mais les clef ont été gérée bien plus tôt (environ 15 jours avant que je reçoive ma convocation me signalant que la carte était arrivée à la commune).

            Mais je me demande comment ça se passe exactement en pratique.

            Le code PUK de la carte fait 12 chiffres, tu en reçois 6, le registre national contient les 6 autres. Tu te rend à la commune avec ton papier et le code PUK complet est utilisé pour activer la carte (au passage, la procédure les active au niveau de l'état).

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: Question bête

              Posté par (page perso) . Évalué à 1.

              Merci pour la précision. En effet, en lisant la DPC un peu plus en détails, il est (plus ou moins) clair que les clés et les certificats sont générés et injectés avant l'activation initiale de la carte. Par contre il n'y a pas grand chose sur les conditions de générations des clés et les demandes de certificats (personnel de confiance, dual control, sécurisation des locaux…). Mais il y a peut-être d'autres documents disponibles.

      • [^] # Re: Question bête

        Posté par (page perso) . Évalué à 4.

        Quoi on peut sortir la clé privée de la carte ?

        Théoriquement, non. En pratique, ça doit être faisable mais ça requiert un accès physique à la carte, un minimum d'expertise en attaque par canal auxiliaire et du matériel adéquat.

        http://en.wikipedia.org/wiki/Side_channel_attack

        J'ai pas vu de publication à ce sujet spécifiquement pour la carte d'identité belge. Je suspecte que ça signifie qu'il n'y a pas assez de gens intéressés plutôt que la carte soit super séquioure.

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

        • [^] # Re: Question bête

          Posté par . Évalué à 3.

          Quoi on peut sortir la clé privée de la carte ?

          Théoriquement, non. En pratique, ça doit être faisable mais ça requiert un accès physique à la carte, un minimum d'expertise en attaque par canal auxiliaire et du matériel adéquat.

          C'est marrant, moi j'aurais formulé exactement dans l'autre sens :

          Théoriquement, oui, par des attaques physiques ou par canaux auxiliaires. En pratique, ça requiert un accès physique à la carte, un minimum pas mal d'expertise en attaque par canal auxiliaire et du matériel adéquat.

          • [^] # Re: Question bête

            Posté par (page perso) . Évalué à 3.

            J'avoue que j'ai hésité :)

            Mais considérer que la clef est impossible à extraire me semble plus théorique que pratique.

            pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

            • [^] # Re: Question bête

              Posté par . Évalué à 1.

              Mais considérer que la clef est impossible à extraire me semble plus théorique que pratique.

              :-) Effectivement !

    • [^] # Re: Question bête

      Posté par (page perso) . Évalué à 3.

      surtout que de plus en plus de démarches peuvent être faites directement sur l'ordinateur

      oui c'est génial, avec un simple lecteur de carte et un ordinateur on peut faire sa déclaration d’impôts (et accéder aux documents), postuler pour travailler dans la fonction publique, demander sa retraite (et voir toutes les info en rapport comme la carrière), demander des documents a sa commune, s'occuper de sa mutuelle santé, utiliser la signature pour valider une connexion VPN

      Les gens peuvent signer un document (même un émail) pour leur donner une valeur légale. Et les ministres signent des lois avec, ça risque de devenir pareil pour le roi dans quelques temps

      Le seul truc que j'ai trouvé bizarre (avec mes trèèèsssss faibles connaissances en sécurité, je suis pas informaticien), c'est que le code PIN qu'on reçoit en cas de renouvellement de carte est le même que celui qu'on avait sur l'ancienne carte.

      C'est une obligation technique pour que l'état génère la clé? (oui question très conne désolé, mais quand on reçoit une nouvelle carte de banque y a un nouveau code pin car la banque ne connaît pas notre code)

      • [^] # Re: Question bête

        Posté par (page perso) . Évalué à 5.

        quand on reçoit une nouvelle carte de banque y a un nouveau code pin car la banque ne connaît pas notre code

        Ça dépend des banques. Certaines donnent le même PIN lors du renouvellements de la carte.

        pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # Re: Question bête

        Posté par (page perso) . Évalué à 2.

        quand on reçoit une nouvelle carte de banque y a un nouveau code pin car la banque ne connaît pas notre code

        Faux, j'ai moi-même renouvelé ma carte bancaire récemment et le code PIN est le même. D'ailleurs je ne me souviens pas avoir choisi le code PIN a un quelconque moment.

        Du coup si c'est le cas avec cette e-carte d'identité, ça ne fait que confirmer mes craintes.

        • [^] # Re: Question bête

          Posté par (page perso) . Évalué à 2.

          Du coup si c'est le cas avec cette e-carte d'identité, ça ne fait que confirmer mes craintes.

          On va dire que ça limite la confiance qu'on peut avoir avec la clé, pour ne pas l'utiliser pour des documents dont on ne veut pas que l'état aie accès

          Comme dit krunch pour les banques, ça doit dépendre.

          • [^] # Re: Question bête

            Posté par (page perso) . Évalué à 5.

            Ça n'a pas grand chose à voir, le fait que quelqu'un connaisse le PIN ne va faire une différence que dans le cas où il se trouve en possession de la carte elle-même, puisque c'est ce qui "débloque" la clef privée pour utilisation pendant la session.
            En gros, PIN + carte = clef privée, mais PIN seul ou carte seule ne servent à rien.
            Et autant la recherche de PIN en ayant la carte n'est pas totalement absurde: (N * 10^{-M} de chances de succès, avec N le nombre d'essais disponibles avant blocage permanent et M le nombre de chiffres dans le PIN), autant la recherche de carte en ayant le PIN a assez peu de chances d'aboutir, sauf à recourir à la coercition physique ;)

            Pour utilisation (en chiffrement j'imagine) sur des documents que l'ont veut garantir secrets pour l'état, la vraie question est de savoir si l'état a la clef privée. Il y a globalement 3 cas de figure:
            - la clef est générée hors-carte, injectée dans la carte, signée, et sauvegardée par l'état (cas d'utilisation: l'état se réserve explicitement le droit d'usurper l'identité de la personne)
            - la clef est générée hors-carte, injectée dans la carte, signée, et détruite (cas d'utilisation: l'état n'entend pas usurper l'identité, mais se fait confiance à lui-même pour que ça n'arrive pas)
            - la clef est générée directement dans la carte, et signée (cas d'utilisation: l'état veut garantir l'impossibilité, y compris pour lui-même, d'usurper l'identité)

            Si le processus utilise le 1er cas, effectivement aucune confiance à avoir. Si c'est le 2ème cas, la confiance équivaut à la confiance placée dans le mécanisme de destruction (et en particulier à celle placée dans l'impossibilité d'intercepter la clef avec destruction). Si c'est le 3ème cas, la confiance équivaut à celle qu'on a dans le fait que la carte ne peut jamais recracher la clef privée (autrement dit qu'elle n'est pas trouée, puisque ça fait partie des specs), et que la clef est de suffisamment bonne qualité pour ne pas se suicider (à savoir leaker des informations sur elle-même lors d'opérations légitimes). Au passage, évidemment la qualité d'une clef décroît avec le temps, à mesure que les attaques contre les algos qui l'ont générée se perfectionnent et/ou bénéficient de plus de puissance pour tourner.

            Personnellement je n'utiliserais pas une clef générée hors-carte pour des secrets au niveau "gouvernemental"

            Évidemment dans tous les cas, si on ne fait pas confiance en l'état pour respecter la procédure qu'il prétend utiliser (ou s'il ne prétend rien du tout), on est par défaut dans le 1er cas :)
            Mais encore une fois c'est globalement indépendant du fait que le PIN soit ou non sauvegardé quelque part.

            • [^] # Re: Question bête

              Posté par (page perso) . Évalué à 3.

              Depuis quand signe-t-on une clef privée ?

              Une clef privée sert à signer la demande de certificat puis le certificat lui-même (enfin, ce n'est pas la même clef privée utilisée, évidemment), mais jamais la clef elle-même n'est signée.

              • [^] # Re: Question bête

                Posté par (page perso) . Évalué à 2.

                oui tout à fait, j'ai fait un raccourci plus qu'approximatif et bien malheureux. D'autant plus bête que tout ce qui se rapporte à la signature du certificat est complètement hors-sujet dans ce que je raconte :)

            • [^] # Re: Question bête

              Posté par . Évalué à 3.

              En gros, PIN + carte = clef privée

              Il me semble que non. Le code PIN permet d'avoir le droit de faire effectuer, par la carte, des calculs cryptographiques qui utilisent la clé privée. La clé privée en elle-même ne sort jamais de la carte.

              Ça fait quand même une différence importante : en cas de vol du code PIN (à l'occasion d'une utilisation de la carte sur un ordinateur non fiable ou troué, par exemple), il suffit de changer son code PIN pour que la clé privée reste protégée même en cas de vol de la carte.

              • [^] # Re: Question bête

                Posté par (page perso) . Évalué à 1.

                c'est précisément ce que je dis explicitement un peu plus loin.
                Mon équation se lit au sens strict: le couple (PIN, carte) est essentiellement la clef privée (pour toutes les opérations légales). Tu sembles lire ça comme "le couple (PIN, carte) donne la clef privée", ce qui serait effectivement faux. Et oui, pour les cartes où le changement de PIN est possible (ce qui n'est pas toujours vrai), la relation d'équivalence est temporelle: les anciens PINs ne servent à rien

                • [^] # Re: Question bête

                  Posté par . Évalué à 1.

                  Mon équation se lit au sens strict: le couple (PIN, carte) est essentiellement la clef privée (pour toutes les opérations

                  Strictement parlant, ta parenthèse n'était pas présente, et c'est justement la parenthèse que tu ajoutes qui rend vrai cette égalité. Alors oui, c'était implicite, c'était quelque part dans le contexte mais la lecture en est tellement ralentie.

                  Il eût mieux fallu ajouter un ou deux mots de français pour rendre plus lisible ton équation.

        • [^] # Re: Question bête

          Posté par . Évalué à 2.

          Faux, j'ai moi-même renouvelé ma carte bancaire récemment et le code PIN est le même

          J'ai l'impression que ça dépend. Sur ma carte française, j'ai un code qui a été choisi par la banque et au renouvèlement j'ai eu le même, sur ma carte belge j'ai un code que je peux changer mais il me semble que lors du renouvèlement j'ai eu le même (mais je ne suis pas sur, c'était il y a longtemps) et sur ma carte luxelbourgeoise, au renouvèlement elle est venue avec un code différent de l'ancien.

          Pour ma carte d'identité elle avait un code par défaut (aléatoire je suppose) mais on pouvait le changer. (à l'époque où j'avais une eID, je suis revenu à une version "classique" maintenant…)

          Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.

  • # Standard

    Posté par (page perso) . Évalué à 6.

    Il n'existe pas de standard de carte à puce X.509 ? Parce que bon, la norme PKCS#11 « Cryptoki », qui ne définit qu'une API, et qui nécessite que chaque implémentation physique soit livrée avec une bibliothèque pour chaque plate-forme prise en charge, comment dire, c'est un peu de la merde, quand même…

    • [^] # Re: Standard

      Posté par . Évalué à 6.

      Réponse(s) courte(s) :

      Il n'existe pas de standard de carte à puce X.509 ?

      non, pas à ma connaissance.

      comment dire, c'est un peu de la merde, quand même…

      oui

      Réponse longue:
      Comment dire ? Le milieu de la carte à puce est bouré d'implémentations propriétaires, de NDA et autre tracasseries… Ne serait-ce que pour acheter une cartes à quelques exemplaires afin de les évaluer, il faut souvent remplir des tonnes de paperasses…

      Ensuite, pour les cartes et la crypto, tu va trouver plusieurs standards, plus ou moins contraignants :
      - PKCS #11 pour les API en C d'accès à un tocken crypto
      - PKCS #15 pour le système de fichier
      - PKCS #1 / RFC 3447 pour les méthodes de chiffrement et signature RSA
      - PIV pour les cartes standards des services américains, avec plusieurs versions selon les usages
      - etc.
      Mais, concernant X.509 par exemple, il n'y a pas (à ma connaissance, si vous connaissez, je suis preneur) de specifications générique pour le stockage des clefs et des chaines de certificats dans PKCS#15/l'applet de crypto. Tu va parfois les trouver dans les specs d'une application et/ou middleware (par exemple, openSC stocke le certificat et la clef aux mêmes "slots" respectivement dans une applet et dans PKCS#15)

      • [^] # Re: Standard

        Posté par (page perso) . Évalué à 4.

        Ensuite, pour les cartes et la crypto, tu va trouver plusieurs standards, plus ou moins contraignants :

        ah, bah, tu vas être bon pour initier une dépêche en espace de rédaction pour détailler la suite de la dépêche sur la carte OpenPGP évoquée dans ce journal : il est possible de faire une serial-dépêche (chacune évoquant un sujet et le détaillant).

    • [^] # Re: Standard

      Posté par (page perso) . Évalué à 2.

      Oui PKCS#11 ne définit qu'une API, et c'est tant mieux vu la diversité de matériels que tu peux trouver derrière (carte via lecteur USB, série, HSM accédé en réseau…). Ça a le mérite de définir un langage commun, c'est le principe même d'un pilote de matériel.

  • # Voyages…

    Posté par (page perso) . Évalué à 7.

    Une question, si tu vas aux USA, sont-il en droit de te demander le PIN de ta carte comme ils peuvent te demander de déverrouiller ton disque dur chiffré?

    Python 3 - Apprendre à programmer en Python avec PyZo et Jupyter Notebook → https://www.dunod.com/sciences-techniques/python-3

    • [^] # Re: Voyages…

      Posté par (page perso) . Évalué à 2.

      Ça semble probable.

      Je vois deux contre mesure possibles :
      * ne pas prendre ta carte quand on va aux ÉUA ;
      * renoncer aux certificats quand tu obtiens ta carte.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # Re: Voyages…

        Posté par . Évalué à 4.

        Heu, on se calme, donner le code PIN ne permet pas aux douanes d'extraire la clef privée, donc après y être passé tu récupère ta carte, change le code PIN et tu as la garantie que la douane n'a pu signer/déchiffrer des trucs que dans le laps de temps pendant lequel ils ont eu la main physiquement sur la carte.

        • [^] # Re: Voyages…

          Posté par (page perso) . Évalué à 2.

          Ce qui n'empêche pas de prendre des précautions de base.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.