Suivre

C'est l'histoire du mec qui a ses clefs SSH et PGP dans un HSM. (celui de Nitrokey pour les curieux.)
Il se dit, tiens, si j'ajoutais une seconde clef SSH et que je la sauvegardais.
Comme il a initialisé le HSM avec une DKEK, il peut exporter les clefs.
Du coup, il exporte tout propre, et il se dit, si je chiffrais ça avec ma clef PGP,

La connerie qu'il est en train de faire, vous l'avez ?

@mat813 Je tente ma chance: quand tu envoie une clé GPG dans un machin (dans mon cas une Yubikey), la clé est effacée du trousseau d'où elle part (bref, elle est "déplacée", pas "copiée").

Quand tu fais l'opération inverse, on pourrait imaginer qu'il se passe la même chose, et donc que ton HSM a plus ta clé GPG dedans ?

Et si c'est la même opération qui exporte et qui chiffre, tu as maintenant besoin de ta clé privée pour déchiffrer ta clé privée… Si tu n'as pas de backup, ça va être triste…

@smortex En fait, c'est mon backup, et j'allais le chiffrer avec un truc disponible uniquement dedans.
Il y a, cela dit, une petite différence avec une Yubikey ou une cartes OpenPGP.
Le HSM génère lui même la clef privée et elle n'a jamais existé ailleurs que dans sa mémoire interne.
Comme un HSM n'est pas une smartcard OpenPGP, il faut ruser un peu pour l'utiliser dans GnuPG, c'est décrit ici : blogs.gnome.org/danni/2017/07/
L'avantage du HSM est que je ne suis pas limité a une seule paire de clefs.

@mat813 Bien, donc tu n'as pas perdu ta clé PGP \o/ Ouf, sain et sauf 😋

Mais c'est bien de s'en rendre compte avant d'avoir besoin du backup… Du coup, y'a pas eu "connerie" vu que tu as testé la récupération des données depuis ton backup

@smortex Alors, non, j'ai pas testé la restauration, si j'en ai besoin, j'aurais besoin d'un autre hsm, et du coup, j'aurais une semaine de battement...

Inscrivez-vous pour prendre part à la conversation
Mastodon - Gougère Network

Le réseau social de l'avenir : Pas d'annonces, pas de surveillance institutionnelle, conception éthique et décentralisation ! Possédez vos données avec Mastodon !