Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

Authentification PGP

L'objet key-cert est utilisé pour stocker les clés publiques PGP sur le serveur. Le modèle d'objet possède les attributs suivants:

key-cert: [obligatoire] [unique] [clé primaire / de recherche] méthode: [générée] [unique] [] propriétaire: [généré] [multiple] [] fingerpr: [généré] [unique] [clé inverse] certif: [obligatoire] [multiple] [] org: [facultatif] [multiple] [clé inverse] remarques: [facultatif] [multiple] [] notifier: [facultatif] [multiple] [clé inverse] admin-c: [facultatif ] [multiple] [clé inverse] tech-c: [facultatif] [multiple] [clé inverse] mnt-by: [obligatoire] [multiple] [clé inverse] modifié: [obligatoire] [multiple] [] source: [obligatoire ] [Célibataire] [ ]

L'attribut "key-cert:" est défini comme PGPKEY-XXXXXXXX où XXXXXXXX est l'ID de clé PGP de la clé publique incluse dans l'objet dans le format hexadécimal habituel à huit chiffres sans préfixe "0x".

La clé publique doit être fournie dans les attributs "certif:". Habituellement, cela se fait facilement en exportant la clé de votre trousseau de clés local au format blindé ASCII et en ajoutant chaque ligne de la clé avec une chaîne "certif:". N'oubliez pas d'inclure toutes les lignes de la clé exportée ainsi que les marqueurs "Début" et "Fin" et la ligne vide qui sépare l'en-tête du corps de la clé.

Les attributs marqués comme générés ("méthode:", "propriétaire:" et "fingerpr:") sont générés par le logiciel. Ils peuvent être omis par l'utilisateur lors de la fourniture d'une clé. Le logiciel dérivera alors ces attributs de la clé réelle et un avertissement sera ajouté au message d'accusé de réception informant l'utilisateur que ces attributs ont été ajoutés. S'ils sont inclus, le logiciel les dérivera toujours et comparera les valeurs dérivées avec celles fournies. En cas de différences, les valeurs dérivées remplaceront les valeurs incorrectes fournies. Un autre avertissement sera ajouté à l'accusé de réception concernant le remplacement.

Les autres attributs ont leur signification habituelle telle que définie dans le manuel de référence de la base de données AFRINIC. Voici un exemple d'objet de certificat de clé valide tel qu'il pourrait apparaître dans la base de données:

key-cert: PGPKEY-4B8AE00D méthode: PGP owner: Zola Abalo fingerpr: 9D 82 4B B8 38 56 AE 12 BD 88 73 F7 EF D3 7A 92 certif: --- BEGIN PGP PUBLIC KEY BLOCK --- certif: Version: 2.6.3 .9ia certif: certif: mQA2AzZizeQAAAEBgJsq14YfoInVOWlLxalmR0GlUzEd9WgrUH59iXjZ certif: a / uqWiLnvN4S9rgDQAFEbQeSm2lIFRoZSBVc2VyIDxqb5VAZXhhbXB certif: iQBFAwUQNmLN83ee1n05LiuANAQFOFQGAmowlUYtF + xnWBdMNDKBiOSy certif: YvpKr8Aycn55Rb1E5onZL19981117KhNMYU / GD certif: = nfno certif: --- FIN DU PUBLIC KEY BLOC PGP --- mnt par: Exemple-TMN a changé: zola. abalo@example.net XNUMX source: AFRINIC 

Si vous n'avez pas déjà d'objet mainteneur (mntner) à utiliser dans l'attribut obligatoire "mnt-by:", vous devez créer un nouveau mntner avec une autre méthode d'authentification (par exemple MD5-PW), puis créez la clé -cert objet qui référence le mainteneur qui vient d'être créé. Après cela, vous pouvez changer le responsable pour utiliser l'authentification PGP avec l'objet key-cert comme clé d'authentification. Ces objets key-cert peuvent être interrogés de la manière habituelle en recherchant une clé spécifique telle que définie dans l'attribut "key-cert:" ou en utilisant l'option inverse avec -i fingerpr.

AFRINIC ne garantit pas qu'une clé appartient à une entité spécifique; nous ne sommes pas une autorité de certification. Tout le monde peut fournir à la base de données toutes les clés publiques avec toutes les informations de propriété et ces clés peuvent être utilisées pour protéger d'autres objets en vérifiant que la mise à jour provient de quelqu'un qui connaît la clé secrète correspondante.

Veuillez également noter que les signatures dans les clés sont ignorées. Nous vous prions de bien vouloir limiter le nombre de signatures clés au minimum.

 

Utiliser dans l'objet mainteneur

L'authentification PGP peut être activée en définissant la valeur d'un attribut "auth:" sur PGPKEY - où est l'ID de clé PGP à utiliser pour l'authentification. Cette chaîne est la même que celle utilisée dans l'attribut "key-cert:" de l'objet key-cert correspondant.

N'oubliez pas que si vous avez plusieurs attributs "auth:" dans un mainteneur ou si vous avez plusieurs attributs "mnt-by:" dans un objet, toutes les méthodes d'authentification possibles sont combinées par un OU logique, ce qui signifie que n'importe laquelle des authentifications spécifiées des méthodes peuvent être utilisées. Il n'y a aucun avantage de sécurité à utiliser l'authentification PGP avec un objet qui peut également être mis à jour avec une authentification par mot de passe crypté.

Si vous spécifiez un objet de certificat de clé inexistant ou l'objet de certificat de clé de quelqu'un d'autre, vous aurez verrouillé votre mntner. Vous devrez ensuite contacter afrinic-dbm@afrinic.net pour obtenir de l'aide pour le déverrouiller. De plus, si vous supprimez votre objet key-cert, vous verrouillerez à nouveau votre mntner jusqu'à ce que vous recréiez l'objet key-cert. Voici un exemple d'objet mntner valide qui utilise l'authentification PGP:

mntner: EXAMPLE-MNT descr: Exemple de mainteneur admin-c: ZA4-RIPE upd-to: zola.abalo@example.net auth: PGPKEY-4B8AE00D mnt-by: EXAMPLE-MNT changé: zola.abalo@example.net 19981117 source : AFRINIC 

 

Utilisation de l'authentification lors de l'envoi de mises à jour

Les mises à jour signées PGP peuvent être envoyées à la base de données simplement en signant le corps du message contenant les mises à jour et en l'envoyant au serveur. N'oubliez pas d'utiliser le blindage ASCII.

Plusieurs parties signées et non signées PGP peuvent être fournies dans un seul message de mise à jour, chaque partie est traitée séparément. Vous pouvez fournir plusieurs objets protégés par différentes clés PGP dans un seul message de mise à jour à condition que toutes les signatures requises soient présentes. Les parties PGP avec des signatures non valides sont traitées en texte brut. Si l'objet est protégé par une méthode d'authentification autre que PGP, ou si plusieurs schémas d'authentification sont utilisés et que l'authentification requise est présente, il sera toujours autorisé. Si PGP est la seule forme d'authentification présente, l'authentification échouera.

L'authentification PGP peut être mélangée à n'importe quelle autre forme d'authentification dans le même objet mntner. Chaque méthode d'authentification utilisée peut avoir plusieurs instances présentes. Toutes les authentifications présentes dans un objet mntner sont traitées avec un 'OU' logique pour déterminer si l'authentification est réussie. PGP ne peut être utilisé qu'avec les mises à jour envoyées par e-mail (et non via MyAFRINIC par exemple).

 

Questions juridiques

Veuillez noter que la technologie de cryptage est soumise à des restrictions légales dans certains pays. Les signatures PGP sont basées sur le chiffrement à clé publique. Consultez un avocat si vous n'êtes pas sûr de votre situation locale.

 

En savoir plus :