• [^] # Re: Compléments

    Posté par . En réponse au journal GnuPG et authentification SSH. Évalué à 2. Dernière modification le 27 juillet 2015 à 16:49.

    Il faut bien voir que le démon SSH, en face, ne voit rien d’autre qu’une clef SSH tout ce qu’il y a de plus habituelle. Il n’a aucune prise en charge pour OpenPGP, et les notions de clefs primaires et de sous-clefs (qui sont propres à OpenPGP) lui sont donc totalement étrangères.

    Oui ça c'est clair et c'est pour cela que je pense que la solution viendra d'un module PAM. SSH laisse l'authentification à PAM, ce dernier interroge le module qui lui est configuré avec la correspondance clé primaire/utilisateur, et recherche la sous-clé publique d'authentification.

    Ça doit sûrement être possible, il ne reste plus qu'à voir comment.

    Une autre approche serait d’utiliser des certificats SSH : tu génères une clef SSH servant d’autorité de certification, et tu l’utilises pour signer les clefs d’authentification. Sur le serveur, tu peux dès lors ne mettre dans le fichier ~/.ssh/authorized_keys que la clef publique de l’autorité de certification, et toutes les clefs signées par celle-ci seront acceptées (supprimant ainsi la nécessité de mettre à jour le fichier ~/.ssh/authorized_keys à chaque changement de clef). Idéalement, la clef de signature sera stockée sur un support hors-ligne dont tu ne la sors qu’au moment de signer une nouvelle clef (et tu feras ça sur une machine « air-gappée »).

    Ça peut aussi être une solution intéressante que je ne connaissais pas. Je ne savais pas que les certificats SSH offraient cette possibilité. C'est à essayer.