Bien vu le déverrouillage du système au démarrage avec une Yubikey.
Utilisez vous pour cela des clefs OpenPGP ?
Si oui, envisagez-vous de supporter aussi les Nitrokeys et surtout le projet Gnuk de la FSJ : https://wiki.debian.org/GNUK qui permet de se fabriquer une clef OpenPGP pour moins de 10 euros (équivalent à la Nitrokey Start).
Un support OpenPGP pour carte à puce existe aussi (OpenPGP Card) mis à jour par l'ANSSI (https://github.com/ANSSI-FR/SmartPGP)
Seule l’option KDF-DO nécessite GnuPG 2.2.6 (sortie en avril 2018). L’option factory-reset ou la prise en charge des courbes elliptiques (y compris la courbe 25519) font partie des fonctionnalités introduites dans la branche de développement GnuPG 2.1 (par exemple, version 2.1.1 en décembre 2014 pour factory-reset) et à ce titre sont présentes depuis le début de la branche 2.2 sortie en août dernier.
En fait, mon commentaire concernait l'utilisation des options présentées avec Gnuk.
S'il est facile, avec GnuPG 2.2.x de choisir facilement la génération de clefs RSA ou EC sur les clefs Gnuk, ce n'est pas le cas avec GnuPG 2.1.x (nécessité de forcer au préalable la génération de clefs elliptiques comme expliqué ici https://www.nitrokey.com/news/2017/nitrokey-start-supports-elliptic-curves-ecc)
De plus, GPG 2.1.11 (ex LinuxMint 18 LTS/Debian Stretch, Ubuntu 17.10 LTS maintenu -> 2022) ne connaît pas les clefs x25519 (chiffrement).
Une commande gpg2 --card-status sur une clef GNUK contenant des clefs Curve 25519 donne :
"Key attributes : ed25519 (null) ed25519"
au lieu de "Key attributes …: ed25519 x25519 ed25519" avec GnuPG 2.2.x
Pas seulement. En fait, d’après Bernstein and Lange (2016) (full disclosure : Daniel J. Bernstein est l’un des principaux auteurs derrière la courbe 25519), les soupçons de manipulation de la part du NIST ne seraient même pas le véritable problème des courbes du NIST, qui de par leur conception sont intrinsèquement beaucoup plus susceptibles à toutes sortes d’attaques par canaux cachés (ce qui à mon humble avis reflète simplement le fait que ces courbes ont été conçues il y a une vingtaine d’années, au tout début de la cryptographie ECC — la courbe 25519 est « meilleure » non pas parce qu’elle n’a pas été manipulée, mais parce qu’elle bénéficie des progrès des quinze dernières années de recherche dans le domaine)
Je comprends parfaitement votre position de ne parler que de la version récente et maintenue de GnuPG (2.2.x) mais ayant été confronté au problème GnuPG 2.1.x par défaut sur ma distribution, je pense qu'il est préférable d'insister sur le fait que l'article n'est valable qu'à partir de GnuPG 2.2.x minimum,pour toutes personnes commençant à s'intéresser au sujet.
Tout dépend de ce que vous appelez de l'Open Hardware. Si c'est de n'avoir que des composants conçus et publié en "Open Hardware" ce n'est effectivement pas OpenHardware.
Pour ce qui est du FST-01 ou de clef comme les ST-LINK-V2, le matériel se limite à un processeur STM32F1.x dont les spécifications et la documentation sont disponibles. Ce n'est pas forcément le cas de clefs comme certaines Yubikey qui utilisent des composants dont les spécifications sont uniquement disponible après une clause de non divulgation (NDA); c'est le cas pour certains compsant de sécurité.
Excellent article qui m'a encore appris de nouvelles choses.
Je vous propose quelques modestes ajouts et précisions :
ajoutez dans les circuits STM32 les clones ST-LINK V2, plus particulièrement ceux de type MX-LINK-V2 version 2018-02-18 qui sont construits autour d'un STM32F103VBU6 (72Mhz) au lieu d'un STM32F101CBT6 (36 Mhz) pour les autres. Leur protection en aluminium est particulièrement appréciable pour un usage quotidien (Option ST-DONGLE de Gnuk ou Neug). https://wiki.cuvoodoo.info/doku.php?id=jtag
précisez que plusieurs de options proposées comme les courbes Curve25519, l'option KDF-DO, l'option enable-factory-reset nécessitent une version très récente de GnuPG comme la 2.2.6.
Le README de Gnuk 1.2.10 précise : "It has supports of EdDSA, ECDSA (with NIST P256 and secp256k1), and ECDH (with X25519, NIST P256 and secp256k1), but this ECC feature is somehow experimental, and it requires modern GnuPG 2.2 with libgcrypt 1.7.0 or later. It supports new KDF-DO feature. Please note that this is experimental. To use the feature, you need to use newer GnuPG (2.2.6 or later)"
Or, plusieurs distributions Linux dont les plus célèbres (Debian stable, LinuxMint..) ne sont pas encore en version 2.2.x.
précisez pour les nouveaux venus que la courbe Curve25519 bénéficie d'une "confiance" accrue sur P-256 dans la mesure ou elle n'a pas été conçu par le NIST américain et que c'est cet aspect qui la rend si populaire et demandée bien qu'elle soit de "même résistance" : clefs elliptique de 256 bits.
dans les manques de GNuk, on a aussi le support d'un bouton de validation qui fait partie de la spécification OpenPGP card 3.3.1 : https://gnupg.org/ftp/specs/OpenPGP-smart-card-application-3.3.pdf § 4.1.3 :"If the card supports additional hardware like buttons or fingerprint sensors for special user interaction EF.ATR/INFO should contain the
General feature management DO ('7F74')"
Enfin, le projet SmartPGP (OpenPGP pour JavaCard) de l'ANSSI a une "issue" ouverte pour le support de Curve25519.
"Dès les débuts de l'histoire de l'espéranto, le besoin de fixer les locutions et les proverbes s'est fait sentir. C'est pourquoi le Proverbaro a été publié dès 1910, soit 23 ans après l'apparition de la langue. Il contient la version espéranto de la plupart des proverbes et locutions idiomatiques du monde, dont on a retenu les plus répandues au-delà des barrières linguistiques et les plus claires, dans leurs allusions. Quiconque apprend une nouvelle langue doit aussi apprivoiser ces expressions. L'espéranto n'est pas une exception, mais le choix de ses «idiotismes» a été dicté par un soucis d'internationalité. "
Je ne suis pas entièrement d'accord avec l'affirmation que pour exprimer des choses complexes, il faut disposer d'un langage complexe. À ce titre l'espéranto est une langue simple mais non simpliste et permet d'exprimer énormément de choses que je ne peut par exemple pas exprimer en français sans recourir à des périphrases. voir l'analyse suivante : http://claudepiron.free.fr/articlesenfrancais/simple.htm
Ni avec le fait que "L’espéranto n'est “facile” que pour quelqu'un de langue maternelle indo-européenne.". Je cites pour cela Claude Piron dont l'expertise en langue ne peut être mise en doute :
"Sur quelle langue se rabat-on, en pratique, quand on n’a pas de langue commune? Sur l’anglais ! Or, celui-ci est une langue beaucoup plus occidentale que l’espéranto et beaucoup plus difficile à acquérir et à manier pour la grande majorité des habitants de notre planète. Aucune langue ne pourrait mettre tous les peuples à égalité. Mais de toutes celles qui existent et qui sont utilisées en pratique, l’espéranto est celle qui s’approche le plus de cet idéal. Au bout de 2000 heures d’anglais (5 heures par semaine pendant 10 ans), le Japonais et le Chinois moyens sont incapables de s’exprimer de façon réellement opérationnelle dans la langue de Shakespeare ou du Wall Street Journal, ils n’en sont qu’au stade du balbutiement. Après 220 heures d’espéranto, en moyenne, ils peuvent réellement communiquer avec aisance. Cette différence n’a rien d’étonnant pour qui étudie les structures linguistiques des diverses langues."
Source : http://claudepiron.free.fr/articlesenfrancais/langueoccidentale.htm
Pour ce qui est de langues construites ou artificielles, il y en plus que l'on ne veut bien le croire : italien, russe, hébreu moderne, indonésien, faut-il pour autant refuser de s'intéresser à ces langues. Source : http://vortareto.free.fr/argumentaire/artificielle.htm
Pour ce qui est du côté occidentale de la langue, je vous invites à consulter l'article de Claude Piron évoqué plus bas.
Enfin, pour le côté "pas plus simple à apprendre pour les chinois", on peut se demander pourquoi dans ce cas on assiste à un engouement relatif pour l'espéranto en asie : "L'aisance des Asiatiques face à l'espéranto a pu être constatée depuis les débuts du mouvement espérantiste, puisque les associations asiatiques comptent parmi les plus anciennes. La Chine, où les associations d'espéranto profitent du support de l'État, figure parmi les locomotives de l'espéranto, aujourd'hui. La Chine et le Japon sont aussi parmi pays où le Pasporta Servo compte le plus d'inscrits. Aussi, les Asiatiques ont depuis longtemps l'habitude de rafler les prix des concours internationaux de poésie en espéranto…" . Sources : http://www.esperanto.qc.ca/html/faq-linguistes-fr.htm#L%27esp%C3%A9ranto%20est%20trop%20occidental%20pour%20%C3%AAtre%20accept%C3%A9%20par%20les%20Asiatiques,%20par%20exemple.
# Déverrouillez le système au démarrage
Posté par yokosano . En réponse au journal Auto-Hébergement avec HomeBox. Évalué à 0.
Bonjour,
Bien vu le déverrouillage du système au démarrage avec une Yubikey.
Utilisez vous pour cela des clefs OpenPGP ?
Si oui, envisagez-vous de supporter aussi les Nitrokeys et surtout le projet Gnuk de la FSJ : https://wiki.debian.org/GNUK qui permet de se fabriquer une clef OpenPGP pour moins de 10 euros (équivalent à la Nitrokey Start).
Un support OpenPGP pour carte à puce existe aussi (OpenPGP Card) mis à jour par l'ANSSI (https://github.com/ANSSI-FR/SmartPGP)
Encore félicitations pour votre travail.
[^] # Re: Excellent article. Quelques précisions et ajouts
Posté par yokosano . En réponse à la dépêche Gnuk, NeuG, FST-01 : entre cryptographie et matériel libre. Évalué à 6.
Bonjour,
En fait, mon commentaire concernait l'utilisation des options présentées avec Gnuk.
S'il est facile, avec GnuPG 2.2.x de choisir facilement la génération de clefs RSA ou EC sur les clefs Gnuk, ce n'est pas le cas avec GnuPG 2.1.x (nécessité de forcer au préalable la génération de clefs elliptiques comme expliqué ici https://www.nitrokey.com/news/2017/nitrokey-start-supports-elliptic-curves-ecc)
De plus, GPG 2.1.11 (ex LinuxMint 18 LTS/Debian Stretch, Ubuntu 17.10 LTS maintenu -> 2022) ne connaît pas les clefs x25519 (chiffrement).
Une commande gpg2 --card-status sur une clef GNUK contenant des clefs Curve 25519 donne :
Mon observation portait sur le fait que la courbe Curve25519 fait l'objet de choix plutôt expliqués et documentés, ce qui n'est pas le cas des courbes du NIST comme des courbes ANSSI (https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024668816), pourtant assez récentes : 2011.
Courbes dont le choix des paramètres est "obscure" et laisse à penser qu'il peut y avoir "manipulation" comme expliqué ici §4.1.1 : https://connect.ed-diamond.com/MISC/MISCHS-013/Standardisation-des-courbes-elliptiques-a-qui-faire-confiance
Je comprends parfaitement votre position de ne parler que de la version récente et maintenue de GnuPG (2.2.x) mais ayant été confronté au problème GnuPG 2.1.x par défaut sur ma distribution, je pense qu'il est préférable d'insister sur le fait que l'article n'est valable qu'à partir de GnuPG 2.2.x minimum,pour toutes personnes commençant à s'intéresser au sujet.
Bien cordialement
[^] # Re: Plus qu'à en commander
Posté par yokosano . En réponse à la dépêche Gnuk, NeuG, FST-01 : entre cryptographie et matériel libre. Évalué à 10.
Bonjour,
Tout dépend de ce que vous appelez de l'Open Hardware. Si c'est de n'avoir que des composants conçus et publié en "Open Hardware" ce n'est effectivement pas OpenHardware.
Pour ce qui est du FST-01 ou de clef comme les ST-LINK-V2, le matériel se limite à un processeur STM32F1.x dont les spécifications et la documentation sont disponibles. Ce n'est pas forcément le cas de clefs comme certaines Yubikey qui utilisent des composants dont les spécifications sont uniquement disponible après une clause de non divulgation (NDA); c'est le cas pour certains compsant de sécurité.
# Excellent article. Quelques précisions et ajouts
Posté par yokosano . En réponse à la dépêche Gnuk, NeuG, FST-01 : entre cryptographie et matériel libre. Évalué à 10.
Bonjour,
Excellent article qui m'a encore appris de nouvelles choses.
Je vous propose quelques modestes ajouts et précisions :
ajoutez dans les circuits STM32 les clones ST-LINK V2, plus particulièrement ceux de type MX-LINK-V2 version 2018-02-18 qui sont construits autour d'un STM32F103VBU6 (72Mhz) au lieu d'un STM32F101CBT6 (36 Mhz) pour les autres. Leur protection en aluminium est particulièrement appréciable pour un usage quotidien (Option ST-DONGLE de Gnuk ou Neug). https://wiki.cuvoodoo.info/doku.php?id=jtag
précisez que plusieurs de options proposées comme les courbes Curve25519, l'option KDF-DO, l'option enable-factory-reset nécessitent une version très récente de GnuPG comme la 2.2.6.
Le README de Gnuk 1.2.10 précise : "It has supports of EdDSA, ECDSA (with NIST P256 and secp256k1), and ECDH (with X25519, NIST P256 and secp256k1), but this ECC feature is somehow experimental, and it requires modern GnuPG 2.2 with libgcrypt 1.7.0 or later. It supports new KDF-DO feature. Please note that this is experimental. To use the feature, you need to use newer GnuPG (2.2.6 or later)"
Or, plusieurs distributions Linux dont les plus célèbres (Debian stable, LinuxMint..) ne sont pas encore en version 2.2.x.
précisez pour les nouveaux venus que la courbe Curve25519 bénéficie d'une "confiance" accrue sur P-256 dans la mesure ou elle n'a pas été conçu par le NIST américain et que c'est cet aspect qui la rend si populaire et demandée bien qu'elle soit de "même résistance" : clefs elliptique de 256 bits.
dans les manques de GNuk, on a aussi le support d'un bouton de validation qui fait partie de la spécification OpenPGP card 3.3.1 : https://gnupg.org/ftp/specs/OpenPGP-smart-card-application-3.3.pdf § 4.1.3 :"If the card supports additional hardware like buttons or fingerprint sensors for special user interaction EF.ATR/INFO should contain the
General feature management DO ('7F74')"
Enfin, le projet SmartPGP (OpenPGP pour JavaCard) de l'ANSSI a une "issue" ouverte pour le support de Curve25519.
Bien cordialement.
[^] # Re: Facile ? Neutre ?
Posté par yokosano . En réponse à la dépêche État de l’espéranto sous GNU/Linux. Évalué à 2.
Bonjour,
Je cites :
"Dès les débuts de l'histoire de l'espéranto, le besoin de fixer les locutions et les proverbes s'est fait sentir. C'est pourquoi le Proverbaro a été publié dès 1910, soit 23 ans après l'apparition de la langue. Il contient la version espéranto de la plupart des proverbes et locutions idiomatiques du monde, dont on a retenu les plus répandues au-delà des barrières linguistiques et les plus claires, dans leurs allusions. Quiconque apprend une nouvelle langue doit aussi apprivoiser ces expressions. L'espéranto n'est pas une exception, mais le choix de ses «idiotismes» a été dicté par un soucis d'internationalité. "
Tu trouveras quelques exemples ici : http://www.esperanto.qc.ca/html/faq-linguistes-fr.htm et ici : http://www.esperanto.qc.ca/html/esperantismes-fr.htm
[^] # Re: Facile ? Neutre ?
Posté par yokosano . En réponse à la dépêche État de l’espéranto sous GNU/Linux. Évalué à 7.
Bonjour,
Je ne suis pas entièrement d'accord avec l'affirmation que pour exprimer des choses complexes, il faut disposer d'un langage complexe. À ce titre l'espéranto est une langue simple mais non simpliste et permet d'exprimer énormément de choses que je ne peut par exemple pas exprimer en français sans recourir à des périphrases. voir l'analyse suivante : http://claudepiron.free.fr/articlesenfrancais/simple.htm
Ni avec le fait que "L’espéranto n'est “facile” que pour quelqu'un de langue maternelle indo-européenne.". Je cites pour cela Claude Piron dont l'expertise en langue ne peut être mise en doute :
"Sur quelle langue se rabat-on, en pratique, quand on n’a pas de langue commune? Sur l’anglais ! Or, celui-ci est une langue beaucoup plus occidentale que l’espéranto et beaucoup plus difficile à acquérir et à manier pour la grande majorité des habitants de notre planète. Aucune langue ne pourrait mettre tous les peuples à égalité. Mais de toutes celles qui existent et qui sont utilisées en pratique, l’espéranto est celle qui s’approche le plus de cet idéal. Au bout de 2000 heures d’anglais (5 heures par semaine pendant 10 ans), le Japonais et le Chinois moyens sont incapables de s’exprimer de façon réellement opérationnelle dans la langue de Shakespeare ou du Wall Street Journal, ils n’en sont qu’au stade du balbutiement. Après 220 heures d’espéranto, en moyenne, ils peuvent réellement communiquer avec aisance. Cette différence n’a rien d’étonnant pour qui étudie les structures linguistiques des diverses langues."
Source : http://claudepiron.free.fr/articlesenfrancais/langueoccidentale.htm
Pour ce qui est de langues construites ou artificielles, il y en plus que l'on ne veut bien le croire : italien, russe, hébreu moderne, indonésien, faut-il pour autant refuser de s'intéresser à ces langues. Source : http://vortareto.free.fr/argumentaire/artificielle.htm
Pour conclure, voire l'excellent article Asie : anglais ou espéranto de Clause Piron : http://claudepiron.free.fr/articlesenfrancais/easie.htm
[^] # Re: Pas si internationale
Posté par yokosano . En réponse à la dépêche État de l’espéranto sous GNU/Linux. Évalué à 1.
Bonjour,
Pour ce qui est du côté occidentale de la langue, je vous invites à consulter l'article de Claude Piron évoqué plus bas.
Enfin, pour le côté "pas plus simple à apprendre pour les chinois", on peut se demander pourquoi dans ce cas on assiste à un engouement relatif pour l'espéranto en asie : "L'aisance des Asiatiques face à l'espéranto a pu être constatée depuis les débuts du mouvement espérantiste, puisque les associations asiatiques comptent parmi les plus anciennes. La Chine, où les associations d'espéranto profitent du support de l'État, figure parmi les locomotives de l'espéranto, aujourd'hui. La Chine et le Japon sont aussi parmi pays où le Pasporta Servo compte le plus d'inscrits. Aussi, les Asiatiques ont depuis longtemps l'habitude de rafler les prix des concours internationaux de poésie en espéranto…" . Sources :
http://www.esperanto.qc.ca/html/faq-linguistes-fr.htm#L%27esp%C3%A9ranto%20est%20trop%20occidental%20pour%20%C3%AAtre%20accept%C3%A9%20par%20les%20Asiatiques,%20par%20exemple.
ou : http://www.agoravox.fr/tribune-libre/article/l-esperanto-ou-tard-nous-reviendra-87993
L'espéranto dans la vie quotidienne en chine :
- http://esperanto.cri.cn/
- http://esperanto.cri.cn/radio/china.htm