À quoi sert un GPG doté de la fonction «authentifier»?

13

Les sous-clés GnuPG peuvent être signalées avec trois types de capacités: signer, crypter et authentifier .

Bien que les deux premières actions soient largement utilisées et documentées, l'action d'authentification est en quelque sorte mystérieuse. Vous ne pouvez créer une telle clé qu'en utilisant la modification d'une clé primaire avec l' --expertoption:

$ gpg --expert --edit-key 889C36B7
gpg (GnuPG/MacGPG2) 2.0.17; Copyright (C) 2011 Free Software Foundation, Inc.
gpg> addkey    
...                  
Possible actions for a RSA key: Sign Encrypt Authenticate 
Current allowed actions: Sign Encrypt 
   (S) Toggle the sign capability
   (E) Toggle the encrypt capability
   (A) Toggle the authenticate capability
   (Q) Finished
...

Il y a des rumeurs sur les clés GPG utilisées pour faire l'authentification SSH, mais je n'ai pas lu ou trouvé un moyen de le faire fonctionner. Il y a aussi quelques questions sans réponse concernant l' interaction [gpg] et [ssh] :

Les clés GPG et SSH sont-elles interchangeables?

Comment utiliser gpg et SSH ensemble?

En dehors de cela, je ne trouve pas d'autres utilisations pour les sous-clés "d'authentification".

Claudio Floreani
la source

Réponses:

11

Les clés OpenPGP peuvent être utilisées pour l'authentification dans différents protocoles:

  • SSH, en tant que clés ssh-rsa nues ( monkeysphere subkey-to-ssh-agentou cartes à puce)

  • SSH, en tant que certificats pgp-sign-rsa (aucune implémentation connue)

  • TLS selon RFC 5081 (pris en charge par GnuTLS)

  • bien sûr, des protocoles et des logiciels moins connus tels que gpgauth.org, Enigform, etc. ils font trouver le drapeau « d'authentification » appropriée.

user1686
la source
Oui "L'utilisation des clés OpenPGP pour l'authentification TLS (Transport Layer Security)" est un brouillon intéressant. Mais en partie, il semble que la fonction d'authentification a été ajoutée en tant que "bonus", mais dépend entièrement des implémentations de tiers. J'attendrai un certain temps pour recueillir d'autres réponses avant d'accepter votre bonne réponse. Merci
Claudio Floreani