Forum: >>> Magnum BBS <<<

Re: Fwd: Authentification ssh et PAM

From didier gaumet@21:1/5 to All on Wed Jul 19 17:40:01 2023

Pour autant que ça s'applique ici, Wikipedia a une explication d'un
mécanisme d'autentification à clés asymétriques par l'utilisation d'un double chiffrement avec les deux clés publiques (celles de chaque partie): https://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique#M%C3%A9canismes_d'authentification

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From RogerT@21:1/5 to All on Wed Jul 19 17:20:01 2023

--Apple-Mail-98BBA372-7181-443F-8914-16EC10B44A55
Content-Type: text/plain;
charset=utf-8
Content-Transfer-Encoding: quoted-printable

COMPLÉMENT

J’ai approfondi ma vérification.

J’étais parti sur le seul schéma habituel : chiffrer avec la clef publique et déchiffrer avec la clef privée.

Je crois que tu voulais parler de signature numérique, où Alice (ici le client ssh) chiffre avec sa clef privée probablement un message fourni par Bob (ici le serveur ssh). Bob « déchiffre le message d’Alice » avec la clef publique. Il est alors
certain que ça vient d’Alice et lui ouvre la porte.
C’est ça ?

Il m’échappe encore un truc que je vais explorer : je ne comprends pas comment Bob peut déchiffrer avec la clef publique d’Alice un message d’Alice.
J’imagine qu’il s’agit en fait seulement de « vérifier que la signature provient d’Alice ».
Je fouille dans ce sens.
Peux-tu expliquer le procédé ?

Source :
« If Alice encrypts a message using her private key and sends the encrypted message to Bob, then Bob can be sure that the data he receives comes from Alice; if Bob can decrypt the data with Alice's public key, the message must have been encrypted by
Alice with her private key, and only Alice has Alice's private key. The problem is that anybody else can read the message as well because Alice's public key is public. Although this scenario does not allow for secure data communication, it does provide
the basis for digital signatures. »

https://www.ibm.com/docs/en/sdk-java-technology/8?topic=processes-public-key-cryptography

Début du message transféré :

De: RogerT <roger.tarani@free.fr>
Date: 19 juillet 2023 à 16:59:28 UTC+2
À: debian-user-french@lists.debian.org
Objet: Rép. : Authentification ssh et PAM

Le 19 juil. 2023 à 16:32, Michel Verdier <mv524@free.fr> a écrit :
Le 19 juillet 2023 RogerT a écrit :

Pour chiffrer une phrase il suffit de la clef publique.
Pour déchiffrer une phrase il faut la clef privée.

Non c'est l'inverse. C'est pour ça que seul toi a la privée et que tu
diffuses la publique à tous ceux qui doivent déchiffrer

Après vérification, et sauf erreur ou omission de ma part, je regrette mais en cryptographie asymétrique, seule la clef privée permet de DÉchiffrer.
Tandis que la clef publique permet à tout le monde de chiffrer un message.

En cas d’erreur de ma part, je te/vous remercie de m’expliquer en quoi je me tromperais alors que c’est le premier cas de figure ultra connu entre Alice et Bob pour échanger un secret (chiffré avec la clef publique et déchiffré avec la seule

clef privée).

Le serveur a seulement la clef publique.

Oui, tous les serveurs qui doivent te déchiffrer (= tous ceux sur
lesquels tu dois te connecter) ont la publique

Le serveur distant a la clef publique que j’y ai copié. Mais pas pour déchiffrer. Voir plus haut. Sauf erreur ou omission.

Le client a les deux clefs.
Seul le client peut déchiffrer une phrase chiffrée.

Non, seul le client peut chiffrer

Tous ceux qui ont la clef publique peuvent chiffrer.
Et aussi celui qui a seulement la clef privée car elle permet de générer une clef publique (je suppose qu’on peut chiffrer aussi avec la clef privée)

Comment fait le serveur ssh pour savoir que c’est bien le détenteur de >>> la clef privée qui frappe à la porte ?

Parce qu'il décode, avec la clef publique, une phrase chiffrée par le
client avec sa clef privée

Toujours pas d’accord.
Peut-être as-tu un détail de la séquence entre client et serveur ?

L'idée c'est quand même d'y mettre un mot de passe pour avoir les 2
facteurs d'authentification.

Ça enlève l’intérêt d’une authentification rapide.
Ou alors il faut un gestionnaire de pwd pour stocker la phrase de passe… >>

Tout à fait, c'est à ça que sert kwallet ou gnome-agent ou keepassxc

Keepass[xc], etc.ne sont pas sûrs comme la plupart des gestionnaires de pwd qui ont tous déjà été attaqués. Y compris dashlane. Voir divers articles.

sur le client il faut utiliser le paramètre -i pour utiliser le clef adhoc
ou l'indiquer dans ~/.ssh/config du client. Donc il faut monter ta clef >>>> pour qu'elle soit accessible par le client.

Entendu.
Modulo le nom du dev /dev/sdb …
Sauf à utiliser un UUID pour le device (ça se fait, je crois).

oui tu mets ce qui va bien avec uuid ou partuid ou label dans /etc/fstab, avec
l'option user, et le client fait un mount du nom du répertoire que tu
précise. Par exemple chez moi :

#/dev/sdc1: LABEL_FATBOOT="CLEF" LABEL="CLEF" UUID="CC7E-404F" BLOCK_SIZE="512" TYPE="vfat" PARTUUID="f42f95e2-01"
LABEL="CLEF" /media/usb vfat user,noexec,noauto,noatime,lazytime 0 2

PARTUUID="42711922-2694-43bd-bf1f-9d6a7fccebec" /media/backup exfat user,noexec,noauto,noatime,lazytime 0 0

/dev/mmcblk0p1 /media/sd xfs user,noexec,noauto,rw,noatime,inode64,logbufs=8,logbsize=32k,noquota,lazytime 0 0

Ok. Merci.

Je me dis que pour que le HSM se substitue à moi dans la gestion des clefs, et
aller au-delà d’indiquer le chemin de la clef (avec ssh -i) il faut sans doute
utiliser PAM (d’ailleurs, qui sert aussi à interfacer une authentification
LDAP).

A la base les PAM c'est plutôt pour le local, d'ailleurs sshd appelle les >> PAM pour établir la session. Là ce que tu travailles c'est la
sécurisation d'une connexion ssh sur le client, donc à priori aucun
rapport avec les PAM.
Mais peut-être plutôt avec udev qui peut lancer le ssh qui va bien dès
que tu insères une clef USB ?

Je ne sais pas trop.
PAM offre aux applications une interface standard pour l’authentification qui permet de s’affranchir du mécanisme sous-jacent. Je suis en train d’étudier PAM.

--Apple-Mail-98BBA372-7181-443F-8914-16EC10B44A55
Content-Type: text/html;
charset=utf-8
Content-Transfer-Encoding: quoted-printable

<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div dir="ltr"></div><div dir="ltr">COMPLÉMENT</div><div dir="ltr"> </div><div dir="ltr">J’ai approfondi ma vérification. </div><div dir="
ltr"> </div><div dir="ltr">J’étais parti sur le seul schéma habituel : chiffrer avec la clef publique et déchiffrer avec la clef privée. </div><div dir="ltr"> </div><div dir="ltr">Je crois que tu voulais parler de signature numérique<

, où Alice (ici le client ssh) chiffre avec sa clef privée probablement un message fourni par Bob (ici le serveur ssh). Bob « déchiffre le message d’Alice » avec la clef publique. Il est alors certain que ça vient d’Alice et lui ouvre la

porte.</div><div dir="ltr">C’est ça ?</div><div dir="ltr"> </div><div dir="ltr">Il m’échappe encore un truc que je vais explorer : je ne comprends pas comment Bob peut déchiffrer avec la clef publique d’Alice un message d’Alice.</div><div
dir="ltr">J’imagine qu’il s’agit en fait seulement de « vérifier que la signature provient d’Alice ». </div><div dir="ltr">Je fouille dans ce sens.  </div><div dir="ltr">Peux-tu expliquer le procédé ?</div><div dir="ltr"> </div><
div dir="ltr">Source :</div><div dir="ltr"><span style="font-size: 16px; -webkit-text-size-adjust: auto; caret-color: rgb(22, 22, 22); color: rgb(22, 22, 22); font-family: "IBM Plex Sans", "Helvetica Neue", Arial, sans-serif;
background-color: rgb(255, 255, 255);">« If Alice encrypts a message using her private key and sends the encrypted message to Bob, then Bob can be sure that the data he receives comes from Alice; if Bob can decrypt the data with Alice's public key, the
message must have been encrypted by Alice with her private key, and only Alice has Alice's private key. The problem is that anybody else can read the message as well because Alice's public key is public. Although this scenario does not allow for
secure data communication, it does provide the basis for digital signatures. »</div><div dir="ltr"> </div><div dir="ltr"><a href="https://www.ibm.com/docs/en/sdk-java-technology/8?topic=processes-public-key-cryptography">https://www.ibm.
com/docs/en/sdk-java-technology/8?topic=processes-public-key-cryptography</a> Début du message transféré : </div><blockquote type="cite"><div dir="ltr">De: RogerT <roger.tarani@free.fr> Date: 19 juillet
2023 à 16:59:28 UTC+2 À: debian-user-french@lists.debian.org Objet: Rép. : Authentification ssh et PAM </div></blockquote><blockquote type="cite"><div dir="ltr"> <blockquote
type="cite">Le 19 juil. 2023 à 16:32, Michel Verdier <mv524@free.fr> a écrit : </blockquote><blockquote type="cite">Le 19 juillet 2023 RogerT a écrit : </blockquote><blockquote type="cite"> </
blockquote><blockquote type="cite"><blockquote type="cite">Pour chiffrer une phrase il suffit de la clef publique. </blockquote></blockquote><blockquote type="cite"><blockquote type="cite">Pour déchiffrer une phrase il faut la
clef privée. </blockquote></blockquote><blockquote type="cite"> </blockquote><blockquote type="cite">Non c'est l'inverse. C'est pour ça que seul toi a la privée et que tu </blockquote><blockquote type="cite">diffuses la publique à tous ceux qui doivent déchiffrer </blockquote> Après vérification, et sauf erreur ou omission de ma part, je regrette mais en cryptographie asymétrique, seule la clef privée permet de DÉ
chiffrer. Tandis que la clef publique permet à tout le monde de chiffrer un message. En cas d’erreur de ma part, je te/vous remercie de m’expliquer en quoi je me tromperais alors que c’est le
premier cas de figure ultra connu entre Alice et Bob pour échanger un secret (chiffré avec la clef publique et déchiffré avec la seule clef privée). <blockquote type="cite"> </blockquote><blockquote type="
cite"><blockquote type="cite">Le serveur a seulement la clef publique.   </blockquote></blockquote><blockquote type="cite"> </blockquote><blockquote type="cite">Oui, tous les serveurs qui doivent te déchiffrer (
= tous ceux sur </blockquote><blockquote type="cite">lesquels tu dois te connecter) ont la publique </blockquote>Le serveur distant a la clef publique que j’y ai copié. Mais pas pour déchiffrer. Voir plus haut. Sauf
erreur ou omission. <blockquote type="cite"><blockquote type="cite">Le client a les deux clefs. </blockquote></blockquote><blockquote type="cite"><blockquote type="cite">Seul le client
peut déchiffrer une phrase chiffrée. </blockquote></blockquote><blockquote type="cite"> </blockquote><blockquote type="cite">Non, seul le client peut chiffrer </blockquote> Tous ceux qui
ont la clef publique peuvent chiffrer. Et aussi celui qui a seulement la clef privée car elle permet de générer une clef publique (je suppose qu’on peut chiffrer aussi avec la clef privée) <blockquote
type="cite"> </blockquote><blockquote type="cite"><blockquote type="cite">Comment fait le serveur ssh pour savoir que c’est bien le détenteur de </blockquote></blockquote><blockquote type="cite"><blockquote type="cite">la clef privée qui frappe à la porte ? </blockquote></blockquote><blockquote type="cite"> </blockquote><blockquote type="cite">Parce qu'il décode, avec la clef publique, une phrase chiffrée par le </
blockquote><blockquote type="cite">client avec sa clef privée </blockquote>Toujours pas d’accord. Peut-être as-tu un détail de la séquence entre client et serveur ? <
blockquote type="cite"><blockquote type="cite"><blockquote type="cite">L'idée c'est quand même d'y mettre un mot de passe pour avoir les 2 </blockquote></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><
blockquote type="cite">facteurs d'authentification. </blockquote></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">Ça enlève l’intérêt d’une authentification rapide. </blockquote></
blockquote><blockquote type="cite"><blockquote type="cite">Ou alors il faut un gestionnaire de pwd pour stocker la phrase de passe… </blockquote></blockquote><blockquote type="cite"> </blockquote><blockquote type="cite">Tout à fait, c'est à ça que sert kwallet ou gnome-agent ou keepassxc </blockquote>Keepass[xc], etc.ne sont pas sûrs comme la plupart des gestionnaires de pwd qui ont tous déjà été attaqués. Y compris dashlane. Voir divers
articles. <blockquote type="cite"> </blockquote><blockquote type="cite"><blockquote type="cite"><blockquote type="cite">sur le client il faut utiliser le paramètre -i pour utiliser le clef adhoc<

</blockquote></blockquote></blockquote><blockquote type="cite"><blockquote type="cite"><blockquote type="cite">ou l'indiquer dans ~/.ssh/config du client. Donc il faut monter ta clef </blockquote></blockquote></blockquote><blockquote

type="cite"><blockquote type="cite"><blockquote type="cite">pour qu'elle soit accessible par le client. </blockquote></blockquote></blockquote><blockquote type="cite"><blockquote type="cite">Entendu. </blockquote></
blockquote><blockquote type="cite"><blockquote type="cite">Modulo le nom du dev /dev/sdb … </blockquote></blockquote><blockquote type="cite"><blockquote type="cite">Sauf à utiliser un UUID pour le device (ça se fait, je crois). </blockquote></blockquote><blockquote type="cite"> </blockquote><blockquote type="cite">oui tu mets ce qui va bien avec uuid ou partuid ou label dans /etc/fstab, avec </blockquote><blockquote type="cite">l'
option user, et le client fait un mount du nom du répertoire que tu </blockquote><blockquote type="cite">précise. Par exemple chez moi : </blockquote><blockquote type="cite"> </blockquote><blockquote type="cite"

#/dev/sdc1: LABEL_FATBOOT="CLEF" LABEL="CLEF" UUID="CC7E-404F" BLOCK_SIZE="512" TYPE="vfat" PARTUUID="f42f95e2-01" </blockquote><blockquote type="cite">LABEL="CLEF"        /media/usb   

vfat user,noexec,noauto,noatime,lazytime     0       2 </blockquote><blockquote type="cite"> </blockquote><blockquote type="cite">PARTUUID="42711922-2694-43bd-bf1f-
9d6a7fccebec" /media/backup exfat user,noexec,noauto,noatime,lazytime     0       0 </blockquote><blockquote type="cite"> </blockquote><blockquote type="cite">/dev/
mmcblk0p1 /media/sd  xfs user,noexec,noauto,rw,noatime,inode64,logbufs=8,logbsize=32k,noquota,lazytime     0 0 </blockquote>Ok. Merci. <blockquote type="cite"><
blockquote type="cite">Je me dis que pour que le HSM se substitue à moi dans la gestion des clefs, et </blockquote></blockquote><blockquote type="cite"><blockquote type="cite">aller au-delà d’indiquer le chemin de la clef (avec
ssh -i) il faut sans doute </blockquote></blockquote><blockquote type="cite"><blockquote type="cite">utiliser PAM (d’ailleurs, qui sert aussi à interfacer une authentification </blockquote></blockquote><blockquote type="cite">
<blockquote type="cite">LDAP). </blockquote></blockquote><blockquote type="cite"> </blockquote><blockquote type="cite">A la base les PAM c'est plutôt pour le local, d'ailleurs sshd appelle les </blockquote>
<blockquote type="cite">PAM pour établir la session. Là ce que tu travailles c'est la </blockquote><blockquote type="cite">sécurisation d'une connexion ssh sur le client, donc à priori aucun </blockquote><blockquote
type="cite">rapport avec les PAM. </blockquote><blockquote type="cite">Mais peut-être plutôt avec udev qui peut lancer le ssh qui va bien dès </blockquote><blockquote type="cite">que tu insères une clef USB ? </blockquote> Je ne sais pas trop. PAM offre aux applications une interface standard pour l’authentification qui permet de s’affranchir du mécanisme sous-jacent. Je suis en train d’étudier PAM. </div></blockquote></body></html> --Apple-Mail-98BBA372-7181-443F-8914-16EC10B44A55--

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From Michel Verdier@21:1/5 to All on Thu Jul 20 09:30:02 2023

Le 19 juillet 2023 didier gaumet a écrit :

Pour autant que ça s'applique ici, Wikipedia a une explication d'un mécanisme
d'autentification à clés asymétriques par l'utilisation d'un double chiffrement avec les deux clés publiques (celles de chaque partie): https://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique#M%C3%A9canismes_d'authentification

En français c'est mieux :)
On retrouve Alice et Bob. Et effectivement le dernier truc sur lequel je travaillais c'est de l'authentification qui crypte avec la clef privée,
d'où mon inversion pour ssh.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

From didier gaumet@21:1/5 to All on Thu Jul 20 10:20:01 2023

Le 20/07/2023 à 09:25, Michel Verdier a écrit :

Le 19 juillet 2023 didier gaumet a écrit :

Pour autant que ça s'applique ici, Wikipedia a une explication d'un mécanisme
d'autentification à clés asymétriques par l'utilisation d'un double
chiffrement avec les deux clés publiques (celles de chaque partie):
https://fr.wikipedia.org/wiki/Cryptographie_asym%C3%A9trique#M%C3%A9canismes_d'authentification

En français c'est mieux :)
On retrouve Alice et Bob. Et effectivement le dernier truc sur lequel je travaillais c'est de l'authentification qui crypte avec la clef privée, d'où mon inversion pour ssh.

Ah, c'est pas à moi que ça arriverait, ça: je ne me trompe jamais, qu'on
se le dise ;-)

D'ailleurs c'est à se demander quel phénomène occulte et maléfique est intervenu pour corrompre et distordre mon message précédent, puisque à
le lire soigneusement ainsi que le lien qu'il cite, on s'aperçoit que je
me suis encore planté (c'est pas un double chiffrement par les deux clés publiques, c'est un double chiffrement par la clé privée de l'émetteur
puis la clé publique du destinataire ;-)

Encore une preuve qu'il ne faut pas faire aveuglément confiance à un contributeur mais valider l'exactitude et la pertinence de ses propos :-)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Who's Online

System Info

Sysop:	Keyop
Location:	Huddersfield, West Yorkshire, UK
Users:	299
Nodes:	16 (2 / 14)
Uptime:	31:05:49
Calls:	6,682
Files:	12,222
Messages:	5,342,702

Re: Fwd: Authentification ssh et PAM

Who's Online

System Info