Re: Authentification par clé USB: pam_usb

• [^]Re: Authentification par clé USB: pam_usb

  Posté par fasthm () le 23/01/2004 à 09:04. (lien). Évalué à 3.

  hum... un OS pour mettre dans une jayce-a-card ?
  
  mouais, je demande à voir...
  
  :-)

• [^]Re: Authentification par clé USB: pam_usb

  Posté par Djax () le 23/01/2004 à 14:00. (lien). Évalué à 1.

  C'est pas
  http://www.javacard.org(...) plutôt?
  
  www.jayacard.org ne marche pas.

  • [^]Re: Authentification par clé USB: pam_usb

    Posté par TSelek () le 23/01/2004 à 15:20. (lien). Évalué à 1.

    Mwawawwawa... nan pas du tout.... snif.
    
    javacard c'est java porté sur la smartcard, enfin porté=IS réduit+JVM réduite+API réduites.
    
    il marche là sinon : http://www.jayacard.org/(...) (et ça me rapelle le défunt GCOS (Gnu Card Operating System) de Markus Khun, paix à son âme ;).

    • [^]Re: Authentification par clé USB: pam_usb

      Posté par Gilles Dumortier (page perso, ) le 29/01/2004 à 21:45. (lien). Évalué à 1.

      Bonsoir,
      
      Dommage pour le défunt GCOS ... d'ailleurs, ou se trouvent les sources de ce projet ?

Intéressant

• [^]Re: Intéressant

  Posté par EppO (page perso, ) le 23/01/2004 à 09:03. (lien). Évalué à 1.

  C'est vrai que c'est vachement pratique pour trimbaler ses clés ssh avec soi ;).
  Mais au vu, de la baisse des prix des clés USB (surtout 16Mo < 30€), ca se répand comme des petits pains tellement c'est utile.
  Bon, pour les échanges de gros fichiers, mieux vaut choisir un HD externe portable, les clés USB de 128Mo c'est encore très cher et pas assez gros.

  • [^]Re: Intéressant

    Posté par littlebreizhman () le 23/01/2004 à 10:04. (lien). Évalué à 1.

    Heu, j'ai acheté une clé usb 1.0 128 Mo en juin dernier pour 33 euros et c'était pas le premier prix.
    A moins que la mémoire usb 1.0 ne se fait plus, ça a encore dû baisser, non ?

    --
    O, D, I, L... Qu'est ce que ça peut bien vouloir dire ? -- La Cité de la peur (1994)

  • [^]Re: Intéressant

    Posté par Olivier Jeannet () le 23/01/2004 à 11:08. (lien). Évalué à 3.

    (surtout 16Mo < 30€) [...] les clés USB de 128Mo c'est encore très cher et pas assez gros.
    
    Tu ne dois pas regarder les bons magasins, 128 Mo ça se trouvait pour 32-39 € fin décembre. Quant aux clés 16 Mo, je me demande si ça se vend encore.
    Tu auras une idée de prix ici par exemple : http://www.monsieurprix.com/hardwareprix/140195.html(...) .

• [^]Re: Intéressant

  Posté par Christophe Nowicki (Jabber id, page perso, ) le 23/01/2004 à 09:04. (lien). Évalué à 1.

  Il suffit de chiffrer le support usb avec la crypto api :
  http://www.andesi.org/article.php?id=crypto-home(...)

• [^]Re: Intéressant

  Posté par Vanhu () le 23/01/2004 à 09:27. (lien). Évalué à 4.

  Le problème suivant est souvent de sécuriser les données de la clé USB
  
  C'est la qu'interviennent d'autres tokens USB, spécifiques crypto, qui font eux memes les opérations de chiffrement, donc qui gardent la clé privée, et ne la filent pas a l'OS.
  
  Ca permet d'avoir un niveau supplémentaire de sécurité, puisque la clé privée ne sort plus du token USB, mais....... mais j'ai trouvé de support Linux / BSD pour aucun des tokens du marché, et vu le prix de ces trucs (et le fait qu'ils font QUE ca), ca se limite au marché pro....

  • [^]Re: Intéressant

    Posté par Denis Bodor (page perso, ) le 23/01/2004 à 09:46. (lien). Évalué à 2.

    A priori, les eToken d'Aladdin semble beneficier d'un support Linux mais je ne sais pas exactement dans quelle mesure.
    
    Sinon, pour rendre ce type d'authentification vraiment populaire, à mon avis, la bonne idée serait de se servire de quelque chose que tout le monde (ou presque) possède et qui donne déjà une impression de sécurité (ou du moins dans laquelle les gens on confiance : la bonne vieille carte bancaire.
    
    Une auhtentification par CB catapulterait n'import quel utilisateur à une échelle supérieur d'authentification asseza rapidement, il possède déjà la clef...
    
    En plus, il ne la laisserai pas trainer partout comme certain le font avec des mots de passe, des token ou autre badge et carte magnetique.

    • [^]Re: Intéressant

      Posté par . Takhi () le 23/01/2004 à 12:08. (lien). Évalué à 1.

      Tiens je me demande si une yes-card fonctionnerait :-/

      • [^]Re: Intéressant

        Posté par TSelek () le 23/01/2004 à 12:18. (lien). Évalué à 1.

        Oui.
        
        La seule chose que n'a pas la yescard c'est les clés DES de la banque, or même si on monte un shéma avec une carte CB, je doute qu'il y ai une banque qui file les clés DES pour les mettre dans Linux... mwawawa...
        
        Donc la yescard ferait le même boulot.... :)

    • [^]Re: Intéressant

      Posté par TSelek () le 23/01/2004 à 12:21. (lien). Évalué à 1.

      NON !
      
      la CB B0' (française) a une SDA (Statique Data Authent). Donc clonable (cf yescard).
      Le futur, en EMV (International, enfin américain quoi, les US attendaient juste l'expiration des brevets français ;) dispose soit d'une SDA soit d'une DDA (Dynamique D...), mais les banques ont choisi la SDA pour des raisons de couts !
      
      Il faut de la DDA !

    • [^]Support Token Crypto USB sur Linux

      Posté par Foxy (page perso, ) le 23/01/2004 à 13:39. (lien). Évalué à 1.

      J'ai regardé le support de Token USB de ce type sous Linux il y a pas longtemps pour un token USB Raibow.
      
      Le projet OpenSC/OpenCT http://www.opensc.org/(...) fournit une librairie et des outils pour utiliser ces tokens (et aussi les équivalents en carte à puces). Il y a des patchs pour utiliser un token de ce type avec SSH.
      
      Perso, je voudrais m'en servir pour stocker des certificats X509 de manière sûre et monter des VPN avec.
      
      Ces tokens USB sont bien plus sécurisés qu'un simple clé USB pour cela car il possède un "vrai" container pour gérer des certificats avec la norme PKCS#15.

  • [^]Re: Intéressant

    Posté par Frédéric Péters (page perso, ) le 23/01/2004 à 09:55. (lien). Évalué à 1.

    Cryptoflex e-gate http://www.axalto.com/infosec/cryptoflex_egate.html(...)
    
    8$ pour le token; 110$ pour la puce (32Ko); support via OpenSC http://www.opensc.org(...) et OpenCT (même site); ça marche bien.

• [^]Re: Intéressant

  Posté par Serbianudo () le 23/01/2004 à 09:46. (lien). Évalué à 1.

  clair, je trouve ca super pratique également. Faut vraiment que je m'en procure une rapidement, de plus le stockage/prix commence a devenir motivant... et aux vues des fonctionnalités qui se développent...

Re: Authentification par clé USB: pam_usb

Attention ! Confusions !

• [^]Re: Attention ! Confusions !

  Posté par Julien Borrel () le 23/01/2004 à 10:28. (lien). Évalué à 1.

  Et bien sur, une carte a puce (ou n'importe quoi d'equivalent) ne suffit pas pour une authentification. Il faut aussi savoir qui possede la-dite carte a puce (en gros, un mot de passe. Et mieux, un mot de passe plus un peu de biometrie)

  • [^]Re: Attention ! Confusions !

    Posté par TSelek () le 23/01/2004 à 12:06. (lien). Évalué à 1.

    Autrement dit un PIN (à 6 chiffres ;), ainsi que la possibilité de générer une paire de clés symétriques...
    Plus complet, un certificat mais alors il faut une CA (Certification Authority...), or par exemple certains pays (africains) n'ont toujours pas de CA domestiques (donc pas de système bancaire basé sur les cartes à puces) en place...

• [^]Re: Attention ! Confusions !

  Posté par rdg (Jabber id, ) le 23/01/2004 à 10:56. (lien). Évalué à 1.

  Tu peux developper sur les tokens rainbow (genre ikey2000) ?
  
  Pourquoi dis-tu qu'ils ne sont pas secure ?

  • [^]Re: Attention ! Confusions !

    Posté par TSelek () le 23/01/2004 à 12:06. (lien). Évalué à 2.

    Les premiers tokens Rainbow/Alladin étaient "composés" d'un CPU et d'une mémoire séparée reliés en I²C... Suffisait de taper le bus I²C et hop ! Faut bien comprendre que justement le brevet de Michel Ugon (et non pas Moreno->carte à mémoire) est le SPOM : Self Programmable O? M? à savoir la mémoire est sur le même die que le CPU, d'ou impossibilité de taper un bus externe inexistant.
    Ensuite, conscient du pb, ces boites se sont tournés vers les fabriquants de cartes à puces pour acheter un peu de compétences en la matière... Si aujourd'hui ils ont des produits plus secure (j'ignore le statut de leur gammme actuelle) c'est probablement basé sur des technos en OEM. Donc autant mater directement vers les cartes à puce USB. Axalto a pour sa part breveté le combo ISO/USB, mais le pb actuel est au niveau de la prod : pas facile d'integrer l'analogique de l'USB dans les process Flash ou EEPROM. USB 1.1 en cours, USB 2.0 toujours en beta...

  • [^]Re: Attention ! Confusions !

    Posté par TSelek () le 23/01/2004 à 12:25. (lien). Évalué à 1.

    J'ajoute que ces tokens étaient basés sur du Atmel il me semble, mais des composants "general purpose". Or Atmel a aussi racheté l'activité cartes à puce de Motorola...

• [^]Re: Attention ! Confusions !

  Posté par Vanhu () le 23/01/2004 à 15:50. (lien). Évalué à 1.

  Pour info, il y a au moins Rainbow qui a des tokens "bien" (avec du matos crypto et une "carte a puce" dedans), qui sont censes etre geres par opensc, mais opensc marche pas (encore ?) avec les cles USB sous FreeBSD, alors je retesterai plus tard sous un Linux :-)
  
  Mais effectivement, ca ne concerne pas toute leur gamme.

  • [^]Re: Attention ! Confusions !

    Posté par TSelek () le 23/01/2004 à 17:29. (lien). Évalué à 1.

    C'est vrai....
    ... je ne dois pas aimer rainbow...
    ... leur bizness c'était les dongles anti-copie, je dois être un pirate dans l'âme...
    ... alladin eux au moins ils m'ont offert des bonbons au salon cartes, pas rainbow....

apres le login ...

• [^]Re: apres le login ...

  Posté par rdg (Jabber id, ) le 23/01/2004 à 11:15. (lien). Évalué à 1.

  Ptet qu'a grand coup de hotplug ca doit pouvoir se faire..

• [^]Re: apres le login ...

  Posté par TSelek () le 23/01/2004 à 12:12. (lien). Évalué à 1.

  Windows le fait avec des cartes USB, login sur token/card, tu saisis ton PIN et hop ! Sauf que la session est localisée il me semble (enfin du windows quoi).

• [^]Re: apres le login ...

  Posté par Anthony F. () le 23/01/2004 à 12:33. (lien). Évalué à 3.

  > le fait que debrancher le token a chaud PUISSE delogger serait pas mal
  
  Ou mieux :
  - Insertion de la clef/carte => Login
  - Retrait de la clef => Vérouillage session
  - Clef absente pendant "durée X" => Fermeture session
  - Réinsertion de la clef => Dévérouillage
  - Clef identique dans un autre PC => Transfert de session
  
  Utile pour les pauses cafés ! ;-)
  
  Par conter je vois pas comment transférer une session d'un PC à l'autre si un travail local est démarré (OOo lancé sur machine A avec fichier ouvert à tranférer "tel que" sur machine B, c'est possible ?!). Mais bon, je ne suis qu'un petit Windowsien qui n'apprend pas vite... ;-)

  • [^]Re: apres le login ...

    Posté par Nicolas Boulay () le 23/01/2004 à 14:46. (lien). Évalué à 0.

    le home en nfs et basta... Si tu as oublier de sauver en partant tanpis pour toi.

    --
    "Tout ce que les être humains font pour contrôler les réseaux informatiques facilite, dans le même temps, le contrôle des êtres humains par les réseaux informatiques."

• [^]Re: apres le login ...

  Posté par Misc (page perso, ) le 23/01/2004 à 22:59. (lien). Évalué à 1.

  > Dans un premier temps, le fait que debrancher le token a chaud
  > PUISSE delogger serait pas mal
  
  Disons que tu peut le faire avec ta prise de courant.
  Quand tu debranche, tu est délogué.
  Avec une batterie, c'est bon, tu peut avoir le choix :)
  
  Ok, je sais, pom pom ===>[]

• [^]Re: apres le login ...

  Posté par Andrea Luzzardi (page perso, ) le 24/01/2004 à 03:11. (lien). Évalué à 1.

  En fait je suis en train de travailler sur quelque chose de similaire:
  
  - tu retires la clé USB, un screensaver (genre xscreensaver) se met en place, de même pour xlock, et la machine reste vérouillée
  - tu re-pluggues la clé USB, et le screensaver/xlock se dévérouillent