À noter que le modèle Pro n’est pas vraiment nécessaire ; c’est la passerelle GPG qui fait tout. Du coup, il est possible d’utiliser une Nitrokey Start (moins cher) ou meme une GPG card !
En fait, il est possible d’utiliser n’importe quel type de jeton implémentant la spécification OpenPGP Card : la carte OpenPGP de Floss-Shop, les Nitrokey Pro et Start, les Yubikey, les Gnuk…
La plupart de ces jetons ne sont par ailleurs (plus) limités à RSA, l’utilisation de clefs ECC est aussi possible.
Merci à vous deux pour ces compléments d'information ; il se trouve que c'était justement des question que je me posait sans avoir eu le temps de creuser.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
Posté par chimrod (site web personnel) .
Évalué à 4.
Dernière modification le 16 février 2022 à 09:14.
J’ai l’impression que la solo key n’est pas une clef GPG (du moins ça n’est pas spécifié dans les specs). Elle ne serait donc pas compatible du tout.
Je trouve difficile de mettre un pied dans les jetons de sécurité vu la pléthore d’information diffusée sur les différents vendeur : FIDO, U2F, GPG… la plupart des tokens promettant à chaque fois le meilleur de la sécurité, et l’on ne sais pas vraiment à l’avance quel besoin nous avons tant que nous n’avons pas la clef en main pour tester ce que l’on peut faire avec.
Pour ma part, la clef GPG me suffit. Le NFC vient en bonus (afin d’avoir les mots de passes sur le téléphone) et j’attend que le firmware de la Nitrokey3 soit mis à jour pour en profiter pleinement.
It offers the following security features. […]
256 KB of memory to support hardened crypto implementations and, later, additional features such as OpenPGP or SSH.
.
Je trouve difficile de mettre un pied dans les jetons de sécurité vu la pléthore d’information diffusée sur les différents vendeur : FIDO, U2F, GPG… la plupart des tokens promettant à chaque fois le meilleur de la sécurité
Pléthore de phrases marketing à la validité douteuse, tentant de cacher la paucité de vraies informations utiles…
Petit exercice : essayez de trouver sur le site de Nitrokey une mention expliquant que le firmware de la Nitrokey Start n’est autre que le projet libre Gnuk.
Je confirme :) si l’on a pas l’info avant, on ne la trouve pas sur le site.
Ton journal m’a bien aidé aussi pour faire la part des choses. Je n’y avais rien compris sur le moment, mais l’avais relu avant de sauter le pas pour acheter ma 1ère clef !
si l’on a pas l’info avant, on ne la trouve pas sur le site.
Roh, t’exagères, si tu fouilles bien, sur la page Nitrokey Start, Linux, tu peux trouver des liens qui t’amènent discrètos vers la documentation de Gnuk. :D
Ton journal m’a bien aidé aussi pour faire la part des choses.
Merci. Du coup, j’en profite (auto-promotion éhontée, certes, mais je pense que c’est pertinent ici) pour (re)-signaler que le journal mentionné ainsi que ma dépêche de 2014 sur la carte OpenPGP sont aussi disponibles sur mon site perso — c’est globalement les mêmes textes que sur DLFP, sauf que sur mon site je m’efforce de les tenir à jour, alors qu’on ne peut pas mettre à jour une dépêche sur DLFP (à moins d’en publier une nouvelle).
gpg/carte> generate
Faut-il faire une sauvegarde hors carte de la clef de chiffrement ? (O/n) n
Justement je me demandais : comment font les gens d'habitude pour sauvegarder leurs clés privées (pour éviter de perdre tous les accès en perdant le token) ?
Plutôt duplication de token (si ça existe) ? copie numérique chiffrée ? copie sur papier ? autre ?
C’est possible (c’est — entre autres — ce que je fais), mais c’est à faire “manuellement” :
générer la clef sur un PC ;
la sauvegarder quelque part ;
la transférer sur un premier jeton ;
ré-importer la clef depuis la sauvegarde ;
la re-transférer sur un second jeton.
Le point important est qu’il n’est pas possible de copier la clef depuis le jeton, donc toute forme de sauvegarde doit être réalisée avant de transférer la clef sur le jeton.
De mon côté j’ai découpé ma clef en une série de qrcode et imprimé les feuilles. C’est ce qui me semble demander le moins de manipulations pour restaurer le fichier.
# Clef GPG
Posté par chimrod (site web personnel) . Évalué à 6.
À noter que le modèle Pro n’est pas vraiment nécessaire ; c’est la passerelle GPG qui fait tout. Du coup, il est possible d’utiliser une Nitrokey Start (moins cher) ou meme une GPG card !
[^] # Re: Clef GPG
Posté par gouttegd (site web personnel) . Évalué à 5.
En fait, il est possible d’utiliser n’importe quel type de jeton implémentant la spécification OpenPGP Card : la carte OpenPGP de Floss-Shop, les Nitrokey Pro et Start, les Yubikey, les Gnuk…
La plupart de ces jetons ne sont par ailleurs (plus) limités à RSA, l’utilisation de clefs ECC est aussi possible.
[^] # Re: Clef GPG
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Merci à vous deux pour ces compléments d'information ; il se trouve que c'était justement des question que je me posait sans avoir eu le temps de creuser.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Clef GPG
Posté par Pol' uX (site web personnel) . Évalué à 2. Dernière modification le 16 février 2022 à 07:28.
Si quelqu'un connait la recette pour une Solo Key ça m'intéresse.
Adhérer à l'April, ça vous tente ?
[^] # Re: Clef GPG
Posté par chimrod (site web personnel) . Évalué à 4. Dernière modification le 16 février 2022 à 09:14.
J’ai l’impression que la solo key n’est pas une clef GPG (du moins ça n’est pas spécifié dans les specs). Elle ne serait donc pas compatible du tout.
Je trouve difficile de mettre un pied dans les jetons de sécurité vu la pléthore d’information diffusée sur les différents vendeur : FIDO, U2F, GPG… la plupart des tokens promettant à chaque fois le meilleur de la sécurité, et l’on ne sais pas vraiment à l’avance quel besoin nous avons tant que nous n’avons pas la clef en main pour tester ce que l’on peut faire avec.
Pour ma part, la clef GPG me suffit. Le NFC vient en bonus (afin d’avoir les mots de passes sur le téléphone) et j’attend que le firmware de la Nitrokey3 soit mis à jour pour en profiter pleinement.
[^] # Re: Clef GPG
Posté par gouttegd (site web personnel) . Évalué à 4.
On dirait bien en effet :
.
Pléthore de phrases marketing à la validité douteuse, tentant de cacher la paucité de vraies informations utiles…
Petit exercice : essayez de trouver sur le site de Nitrokey une mention expliquant que le firmware de la Nitrokey Start n’est autre que le projet libre Gnuk.
[^] # Re: Clef GPG
Posté par ElVirolo (site web personnel) . Évalué à 2.
Le support de GPG est en (lent) développement.
[^] # Re: Clef GPG
Posté par chimrod (site web personnel) . Évalué à 4.
Je confirme :) si l’on a pas l’info avant, on ne la trouve pas sur le site.
Ton journal m’a bien aidé aussi pour faire la part des choses. Je n’y avais rien compris sur le moment, mais l’avais relu avant de sauter le pas pour acheter ma 1ère clef !
[^] # Re: Clef GPG
Posté par gouttegd (site web personnel) . Évalué à 6.
Roh, t’exagères, si tu fouilles bien, sur la page Nitrokey Start, Linux, tu peux trouver des liens qui t’amènent discrètos vers la documentation de Gnuk. :D
Merci. Du coup, j’en profite (auto-promotion éhontée, certes, mais je pense que c’est pertinent ici) pour (re)-signaler que le journal mentionné ainsi que ma dépêche de 2014 sur la carte OpenPGP sont aussi disponibles sur mon site perso — c’est globalement les mêmes textes que sur DLFP, sauf que sur mon site je m’efforce de les tenir à jour, alors qu’on ne peut pas mettre à jour une dépêche sur DLFP (à moins d’en publier une nouvelle).
[^] # Re: Clef GPG
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 2.
Tu journalises/historises les mises à jour ? Quand le différentiel est assez important, c'est bien de refaire une dépêche je trouve.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
# sauvegarder les clés privées
Posté par goeb . Évalué à 3.
Je vois dans l'article :
Justement je me demandais : comment font les gens d'habitude pour sauvegarder leurs clés privées (pour éviter de perdre tous les accès en perdant le token) ?
Plutôt duplication de token (si ça existe) ? copie numérique chiffrée ? copie sur papier ? autre ?
[^] # Re: sauvegarder les clés privées
Posté par gouttegd (site web personnel) . Évalué à 5.
C’est possible (c’est — entre autres — ce que je fais), mais c’est à faire “manuellement” :
Le point important est qu’il n’est pas possible de copier la clef depuis le jeton, donc toute forme de sauvegarde doit être réalisée avant de transférer la clef sur le jeton.
[^] # Re: sauvegarder les clés privées
Posté par chimrod (site web personnel) . Évalué à 4.
De mon côté j’ai découpé ma clef en une série de qrcode et imprimé les feuilles. C’est ce qui me semble demander le moins de manipulations pour restaurer le fichier.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.