Your IP address is 54.161.192.135

Filters

Base de données – Authentification PGP dans la base de données d’AfriNIC

 

Base de données – Authentification PGP dans la base de données d’AfriNIC

 

L’objet -cert est utilisé pour stocker des clés publiques PGP et certificats X.509 sur le serveur. Le modèle d’objet comporte les attributs suivants :

 

key-cert: [mandatory] [single] [primary/look-up key]

method: [generated] [single] [ ]

owner: [generated] [multiple] [ ]

fingerpr: [generated] [single] [inverse key]

certif: [mandatory] [multiple] [ ]

remarks: [optional] [multiple] [ ]

notify: [optional] [multiple] [inverse key]

admin-c: [optional] [multiple] [inverse key]

tech-c: [optional] [multiple] [inverse key]

mnt-by: [mandatory] [multiple] [inverse key]

changed: [mandatory] [multiple] [ ]

source: [mandatory] [single] [ ]

 

L’attribut « key-cert: » est défini comme PGPKEY- et est l’identifiant de la clé PGP de la clé publique incluse dans l’objet dans le format hexadécimal à huit chiffres habituel sans préfixe « 0x ».

 

La clé publique doit être fournie dans l’attribut « certif: ». En général, cela se fait assez facilement en exportant la clé de votre trousseau de clés local dans le format de blindage ASCII et en préfixant chaque ligne de la clé avec une chaîne « certif: ».

Pensez à inclure toutes les lignes de la clé exportée ainsi que les marqueurs de début et de fin et la ligne vide qui sépare l’en-tête du corps de la clé.

 

Les attributs marqués comme « generated » (« method: », « owner: » et « fingerpr: ») sont générés par le logiciel.

Ils peuvent être omis par l’utilisateur au moment de fournir la clé. Le logiciel extraira alors ces attributs de la clé actuelle et un avertissement sera ajouté à l’accusé de réception informant l’utilisateur que ces attributs ont été ajoutés. S’ils sont inclus, le logiciel les extraira et comparera les valeurs extraites avec celles fournies. Si des différences existent, les valeurs extraites remplaceront les valeurs erronées fournies. Un autre avertissement concernant le remplacement sera ajouté à l’accusé de réception.

 

Les autres attributs ont leur sens courant tel que défini dans le manuel de référence de la base de données d’AfriNIC.

Ci-dessous, un exemple d’un objet key-cert valide tel qu’il peut apparaître dans la base de données :

 

key-cert: PGPKEY-4B8AE00D

method: PGP

owner: Zola Abalo < This e-mail address is being protected from spambots. You need JavaScript enabled to view it >;

fingerpr: 9D 82 4B B8 38 56 AE 12 BD 88 73 F7 EF D3 7A 92

certif: ---BEGIN PGP PUBLIC KEY BLOCK---

certif: Version: 2.6.3ia

certif:

certif: mQA9AzZizeQAAAEBgJsq2YfoInVOWlLxalmR14GlUzEd0WgrUH9iXjZ

certif: a/uqWiLnvN59S4rgDQAFEbQeSm9lIFRoZSBVc2VyIDxqb2VAZXhhbXB

certif: iQBFAwUQNmLN5ee83n1LiuANAQFOFQGAmowlUYtF+xnWBdMNDKBiOSy

certif: YvpKr05Aycn8Rb55E1onZL5KhNMYU/gd

certif: =nfno

certif: ---END PGP PUBLIC KEY BLOCK---

mnt-by: EXAMPLE-MNT

changed: This e-mail address is being protected from spambots. You need JavaScript enabled to view it 19981117

source: TEST

 

si vous n’avez pas déjà un objet maintainer (mntner) à être utilisé dans l’attribut obligatoire « mnt-by: », vous devez créer un nouveau mntner en utilisant une autre méthode d’authentification (CRYPT-PW, par exemple), puis créer l’objet key-cert qui référence le maintainer que vous venez de créer. Vous pouvez ensuite modifier le maintainer pour utiliser l’authentification PGP avec l’objet key-cert comme clé d’authentification. Ces objets key-cert peuvent être recherchés comme d’habitude avec whois en demandant une clé spécifique telle que définie dans l’attribut « key-cert: » ou en utilisant une option inverse avec -i fingerpr .

 

Le RIPE NCC ne garantit pas qu’une clé appartient à une quelconque entité spécifique. Nous ne sommes pas une autorité de certification. N’importe qui peut fournir n’importe quelle clé publique avec n’importe quelle information de propriété à la base de données et ces clés peuvent être utilisées pour protéger d’autres objets en vérifiant que la mise à jour provient d’une personne qui connaît la clé secrète correspondante.

 

Veuillez noter également que les signatures des clés ne sont pas prises en considération. Nous vous prions de limiter au minimum le nombre de signatures de clés.

 

Utilisation dans l’objet maintainer

 

L’authentification PGP peut être activée en assignant la valeur d’un attribut « auth: » à PGPKEY- et est l’identifiant de la clé PGP key à être utilisée pour l’authentification. La chaîne est la même que celle utilisée dans l’attribut « key-cert: » de l’objet key-cert correspondant.

 

Gardez en tête que si vous avez de multiples attributs « auth: » dans un maintainer ou si vous avez de multiples attributs « mnt-by: » dans un objet, toutes les méthodes d’authentification possibles sont combinées en utilisant un OR logique, ce qui signifie que n’importe laquelle des méthodes d’authentification spécifiées peut être utilisée.

Il n’y a pas d’avantage de sécurité à utiliser l’authentification PGP avec un objet qui peut aussi être mis à jour en utilisant l’authentification par mot de passe crypté.

 

Des contrôles d’intégrité référentielle ne sont pas entrepris pour l’instant sur les valeurs d’attribut « auth: ». En cas de changement de votre « auth: » pour le référer à un objet key-cert inexistant, ou à l’objet key-cert d’une autre personne, vous bloquerez votre mntner. Vous devrez alors contacter This e-mail address is being protected from spambots. You need JavaScript enabled to view it pour assistance afin de le déverrouiller. Par ailleurs, si vous supprimez votre objet key-cert, vous bloquerez à nouveau votre mntner jusqu’à ce que vous créiez à nouveau l’objet key-cert. Ci-dessous un exemple d’un objet mntner valide qui utilise l’authentification PGP:

 

mntner: EXAMPLE-MNT

descr: Example maintainer

admin-c: ZA4-RIPE

upd-to: This e-mail address is being protected from spambots. You need JavaScript enabled to view it

auth: PGPKEY-4B8AE00D

mnt-by: EXAMPLE-MNT

changed: This e-mail address is being protected from spambots. You need JavaScript enabled to view it 19981117

source: TEST

 

Utilisation de l’authentification lors de l’envoi de mises à jour

 

Les mises à jours signées PGP peuvent être envoyées à la base de données simplement en signant le corps du message contenant les mises à jour et en envoyant celui-ci au serveur. Pensez à utiliser le blindage ASCII.

 

De multiples parties avec ou sans signature PGP peuvent être fournies dans un seul message de mise à jour et chaque partie est traitée séparément. Vous pouvez fournir plusieurs objets protégés par différentes clés PGP dans un seul message de mise à jour aussi longtemps que toutes les signatures requises sont présentes. Les parties PGP avec des signatures erronées sont traitées comme du texte brut. Si l’objet est protégé par une méthode d’authentification autre que PGP ou que de multiples systèmes d’authentification sont utilisés et que l’authentification requise est présente, il sera tout de même autorisé. Si PGP est la seule forme d’authentification présente, l’authentification échouera.

 

L’authentification PGP peut être combinée avec toute autre forme d’authentification dans un même objet mntner. Chaque méthode d’authentification peut être utilisée à plusieurs reprises. Toutes les authentifications présentes dans un objet mntner sont traitées avec un OR logique pour déterminer si l’authentification a réussi.

 

Les mises à jour envoyées par courriel peuvent utiliser PGP ou la fonction syncupdates. PGP ne peut être utilisé avec l’interface webupdates.

 

Aspects juridiques

 

Veuillez noter que les technologies de cryptage sont sujettes à des restrictions juridiques dans certains pays. Les signatures Les signatures PGP utilisent le cryptage de clés publiques.

Veuillez contacter un avocat si vous avez des doutes sur la situation dans votre pays.

 

Informations supplémentaires :

 

* FAQ, manuel de l’utilisateur et howto de GnuPG

* Etude de Bert-Jaap Koops sur les lois de différents pays en matière de cryptographie