(An english version of this post is available.)

Le 6 Juin 2015, je me suis généré une nouvelle clé PGP, dont l’empreinte est D4B08488 03E7D7AF F9DB90E2 4EB88CD9 57312C28.

J’utilise encore à ce jour ma clé historique, à savoir celle dont l’empreinte est E05CDFED D9B6DC33 6B23B510 27FFC627 78A363DF, mais je prévois de la révoquer d’ici environ un an.

J’ai resigné avec ma nouvelle clé toutes les clés que j’avais signé auparavant.
Pour faciliter l’authentification de ma nouvelle clé, mes deux clés sont signées mutuellement. Vous bénéficierez de la toile de confiance via ma clé actuelle, en attendant de signer ma nouvelle clé.

Voici les raison qui expliquent pourquoi j’ai décidé de me lancer:

Ma clé actuelle est vieille

Elle a 4 ans et demi, et je ne souhaite pas utiliser des clés qui ont plus de 6 ans, ce qui représente déjà une durée de vie importante pour une clé cryptographique.

Le risque associé à l’utilisation de vieilles clés tient au risque croissant avec le temps qu’un adversaire arrive à trouver la partie privée de votre clé.

Je voulais disposer d’une clé plus solide depuis un moment

Ma clé actuelle est une clé RSA de 2048 bits, et je souhaitais me générer une clé plus solide depuis un moment.

Je n’ai pas basculé vers la cryptographie sur courbes elliptiques, car les versions de gnupg 2.1 ne sont pas encore suffisament diffusées pour avoir un support correct, les cartes openpgp ne supportent pas les clés ECC, et je ne veux pas monter une configuration pour utiliser une carte PKCS#11 avec gnupg.

J’ai renouvellé ma carte à puce

Afin d’assurer une sécurité optimale, le stockage de clés privées ne devrait jamais se faire à l’extérieur d’une carte à puce. Ci-dessous, une photo du matériel que j’ai utilisé jusqu’à maintenant (carte à puce format ISO 7816 et un lecteur expresscard54).

De nos jours, d’une part, les slots Expresscard 54 se font de plus en plus rares sur les PC portables, à cause des contraintes de poids, et de volume des nouvelles gammes de matériel. Conserver une carte à puce au format ISO 7816 devient contraignant, car je devrais transporter un lecteur de cartes externe en permanence avec ma carte à puce.

D’autre part, j’utilise fréquemment ma carte à puce à la fois pour les opérations communes avec GPG, et pour l’authentification SSH, et je souhaitais remplacer mon matériel avant d’être victime d’une panne par usure de la mémoire interne.

En prenant en compte les deux points en supra, repartir sur de la carte à puce au format classique n’était pas envisageable, et je me suis donc tourné vers un format type « clé USB ».

Le format « dongle USB » est meilleur

J’ai rentenu le lecteur Gemalto Usb shell token V2 (cf. image en infra), pour sa légèreté, ses dimensions compactes, sa solidité, et parce qu’il est supporté nativement par une gamme large d’OS, avec le support des APDUs étendues (configuration plus simple).

A l’intérieur de dongle, j’ai installé une carte OpenPGP version 2.1, que mon fournisseur vend prédécoupée au format mini-SIM (si vous souhaitez vous équiper, n’hésitez pas à consulter sa boutique en ligne).

Depuis que Feitian a arrêté son contrat de revente avec gooze, c’est la meilleure solution que j’ai trouvé. A ce propos, j’ai constaté que gooze a mis la clé sous la porte.

Le résultat est assez propre une fois assemblé comme en témoigne la photo ci-dessus. J’ai ajouté un petit logo « GnuPG » entre la puce et la paroi du pour ne pas confondre ce dongle avec un autre que j’utilise déjà.

Pour les gens paranos qui souhaiterais authentifier la source de cet article, vous pouvez télécharger cette archive qui contient une version texte de cet article, et signé avec mes deux clés PGP. N’hésitez pas à poser vos questions en commentaire.

Publicités