• # Merci

    Posté par (site web personnel) . En réponse au journal De la gestion des clefs OpenPGP. Évalué à 5. Dernière modification le 17 mai 2015 à 23:12.

    Merci pour le journal, très intéressant.

    Une option intéressante est d’utiliser une méthode de secret réparti pour partager la clef privée en n fragments, dont m sont nécessaires pour reconstituer la clef complète. La clef peut ainsi répartie sur plusieurs supports sans que la perte de l’un d’entre eux ne fasse perdre toute la clef, et sans que le vol de l’un d’entre eux ne compromette toute la clef non plus.
    Chez moi, j’utilise libgfshare, une implémentation de la méthode de secret réparti d’Adi Shamir, pour mettre en œuvre cette dernière option.

    Il y a aussi l'outil ssss en ligne de commande (packagé dans Debian). Malheureusement, il ne permet que de gérer 1024 bits, ce qui est insuffisant (souvent de peu) pour stocker une clé privée. man ssss:

    To protect a secret larger than 1024 bits a hybrid technique has to be applied: encrypt the secret with a block cipher and apply secret sharing to just the key.

    Merci pour paperkey, je ne connaissais pas, minimiser le nombre d'octets nécessaires à la clé peut être bien pratique. Juste un questionnement néanmoins sur le fait de l'imprimer : les imprimantes sont-elles dignes de confiance? Les logiciels qui tournent dedans sont le plus souvent non-libres et opaques, et elles ont parfois un accès Wifi. À l'ère post-Snowden, il ne me paraît pas improbable qu'elles puissent leaker des informations dans le cadre d'une surveillance massive (et pas seulement ciblée).

    blog.rom1v.com