Il faut bien voir que le démon SSH, en face, ne voit rien d’autre qu’une clef SSH tout ce qu’il y a de plus habituelle. Il n’a aucune prise en charge pour OpenPGP, et les notions de clefs primaires et de sous-clefs (qui sont propres à OpenPGP) lui sont donc totalement étrangères.
Oui ça c'est clair et c'est pour cela que je pense que la solution viendra d'un module PAM. SSH laisse l'authentification à PAM, ce dernier interroge le module qui lui est configuré avec la correspondance clé primaire/utilisateur, et recherche la sous-clé publique d'authentification.
Ça doit sûrement être possible, il ne reste plus qu'à voir comment.
Une autre approche serait d’utiliser des certificats SSH : tu génères une clef SSH servant d’autorité de certification, et tu l’utilises pour signer les clefs d’authentification. Sur le serveur, tu peux dès lors ne mettre dans le fichier ~/.ssh/authorized_keys que la clef publique de l’autorité de certification, et toutes les clefs signées par celle-ci seront acceptées (supprimant ainsi la nécessité de mettre à jour le fichier ~/.ssh/authorized_keys à chaque changement de clef). Idéalement, la clef de signature sera stockée sur un support hors-ligne dont tu ne la sors qu’au moment de signer une nouvelle clef (et tu feras ça sur une machine « air-gappée »).
Ça peut aussi être une solution intéressante que je ne connaissais pas. Je ne savais pas que les certificats SSH offraient cette possibilité. C'est à essayer.
[^] # Re: Compléments
Posté par Spack . En réponse au journal GnuPG et authentification SSH. Évalué à 2. Dernière modification le 27 juillet 2015 à 16:49.
Oui ça c'est clair et c'est pour cela que je pense que la solution viendra d'un module PAM. SSH laisse l'authentification à PAM, ce dernier interroge le module qui lui est configuré avec la correspondance clé primaire/utilisateur, et recherche la sous-clé publique d'authentification.
Ça doit sûrement être possible, il ne reste plus qu'à voir comment.
Ça peut aussi être une solution intéressante que je ne connaissais pas. Je ne savais pas que les certificats SSH offraient cette possibilité. C'est à essayer.