Nitrokey, clefs USB opensource comme 2nd facteurs d’authentification
Cet article parlera donc de double Authentification (je referai un ou plusieurs articles sur le sujet, et plus particulièrement axé sur Nextcloud) mais avant tout des deux fonctionnalités de deux modèles de clefs Nitrokey.
Remerciement
Article sponsorisé - Je remercie Nitrokey pour l’envoi / don des deux modèles de clefs testés dans cet article.
Le but dans cet article ne sera pas de paraphraser le site de Nitrokey mais d’en présenter les éléments les plus pertinents à mes yeux.
La genèse et Un lien étroit avec Nextcloud
En septembre 2019, je suis allé à l’événement Nextcloud à Berlin. Il y avait une zone stand partenaires au sein duquel j’ai pu découvrir l’existence de la société Nitrokey et de leurs gammes de produits. J’ai suivi de loin l’aventure Nitrokey mais de prêt l’actualité Nextcloud. Sur le blog de Nextclod, j’avais donc lu l’article Nitrokey and Nextcloud collaborate on securing private clouds publié le 15 mai 2019 ; et récemment Nextcloud Hub brings productivity to home office publié le 3 juin 2020 dans la section Easy logging in with biometrics or a hardware key du billet.
C’est à la lecture de ce dernier que je me suis penché à nouveau sur Nitrokey et que j’ai fait ma demande de produits pour des tests à Nitrokey.
Tout une gamme de clefs et de fonctionnalités
Le site de Nitrokey propose toute une gamme de clefs (6) destinée à des usages différents, certaines ayant des fonctionnalités précises.
Par exemple, la Nitrokey Storage apporte comme fonctionnalité en plus de la Nitrokey Pro 2 celle d’avoir un espace de stockage chiffré et la possibilité de l’avoir en volume caché (voir Volumes cachés - Stockage NitrokeyLe concept est similaire au volume caché de VeraCrypt/TrueCrypt, mais avec Nitrokey Storage, la fonctionnalité complète des volumes cachés est implémentée dans le matériel., . Connaissant assez bien Veracrypt, cette fonctionnalité ne m’intéressait guère plus que ça, d’où mon choix de la Nitrokey Pro 2, qui présente un certain nombre de fonctionnalités que j’évoquerai par la suite. La Nitrokey Start est uniquement dédiée au chiffrement GPG (fonction proposée aussi par la Nitrokey Pro 2). La Nitrokey HSM 2 est spécifique pour les PKI/CA, un domaine que je ne connais pas.
Enfin, les deux derniers modèles sont le Nitrokey FIDO2 et Nitrokey FIDO U2F. FIDO2 permet une connexion sans mot de passe et même sans nom d’utilisateur pour une sécurité élevée et une utilisation facile. FIDO U2F est la nouvelle génération de solution d’authentification à 2 facteurs, hautement sécurisée et très facile à utiliser.. La NitrokeyFIDO U2F ne permettant que la fonctionnalité FIDO U2F, la Nitrokey FIDO2 proposant le FIDO2 et le FIDO U2F, c’est ce modèle que j’ai demandé pour tests.
J’ai donc reçu et testé deux modèles qui pour moi sont donc complémentaires : la Nitrokey Pro 2 (NK-Pro-2) et la Nitrokey FIDO2 (NK-FI2).
Une clef Opensource ?
Présenté sur le site ainsi, Le matériel et les logiciels sont des logiciels libres et à code source ouvert qui permettent des évaluations indépendantes de la sécurité. Personnalisable, pas de verrouillage du fournisseur, pas de sécurité par obscurcissement, pas de problèmes de sécurité cachés !
On retrouve quelques dépôts de code sur https://github.com/nitrokey dont celui du code des firmwares. A voir si on peut recompiler facilement ce code.
Et un dédié à des fichiers PCB. https://github.com/Nitrokey/nitrokey-storage-hardware/tree/master/V1.3 Nitrokey Storage hardware Hi hardware freaks, to use this layout you need the designtool Designspark PCB (free) N’y connaissant pas grand chose en électronique, il faudra que je télécharge le logiciel indiqué et regarde de quoi il en retourne.
Documentation des fonctionnalités
Chose appréciable, l’usage des différentes fonctionnalités des clefs sont bien documentés et en français https://www.nitrokey.com/fr.
Le logiciel
Deux clefs (Nitrokey Pro et Nitrokey Storage) dépendent d’un logiciel qui est facilement installable. Ci dessous quelques captures d’écrans. Ce logiciel est lié à l’usage de certaines fonctionnalités
Pour stocker des données, le logiciel demande un mot de passe, il faut donc aller creuser un peu la documentation et la FAQ.
What is the default PIN/password?
User PIN: "123456"
Administrator PIN: "12345678"
Firmware Password (Nitrokey Storage only): "12345678"
SO-PIN (Nitrokey HSM only): "3537363231383830"
We strongly recommend to change these PINs/password to user-chosen values before using the Nitrokey.
La Nitrokey Pro
La Nitrokey Pro présente les fonctionnalités suivantes (je n’ai pas encore tout testé, j’ai écrit cet article dans les quelques jours qui ont suivi la réception de mes clefs Nitrokey).
Chiffrement du courrier électronique et du disque dur par S/MIME (X.509, PKCS#11) : à tester. Il y a un tutoriel / projet sur le Déverrouillage d’un disque dur chiffré avec Luks. Je dois approfondir le sujet.
Chiffrement des courriels par OpenPGP/ GnuPG : à tester
Les tutoriels : https://www.nitrokey.com/documentation/openpgp-email-encryption et https://www.nitrokey.com/fr/documentation/openpgp-create-backup
Connexion sécurisée (mots de passe à usage unique : testé, cela donne un code à usage unique (comme le ferait une application Tiers, je ferai un billet de blog sur le sujet). Le code généré est en mémoire et il faut faire un "coller" (du copier-coller) pour que le code apparaisse dans le champ où il est demandé.
Gestionnaire de mots de passe / Stockage de Mot de passe : testé rapidement, une sorte de Keepass simple, avec une possibilité de générer des mots de passe.
La clef Nitrokey FIDO
FIDO ? U2F ? Universal Second Factor ou U2F (Second Facteur Universel) est une norme d’authentification libre qui vise à renforcer et à simplifier l’authentification à deux facteurs en utilisant des périphériques USB(...) la norme est désormais gérée par la FIDO Alliance. Source
Cette clef fonctionne indépendamment de l’application Nitrokey. Sur le site https://www.dongleauth.info/
Il existe une liste des applications compatibles permettant d’utiliser une clef de ce type en 2nd Facteur d’authentification est disponible en ligne List of websites and whether or not they support One Time Passwords (OTP) or Web Authentication (WebAuthn) respectively FIDO2, U2F.
On active cette fonctionnalité dans le paramétrage du service (tester pour Twitter, Nextcloud) et quand le service demande le deuxième facteur d’authentification, il faut brancher la clef et appuyer légèrement dessus. La clef est alors enregistrée comme 2nd facteur et sera demandée lors des connexions suivantes.
C’est assez simple. Mais cela nécessite d’avoir l’objet physique pour se connecter (ou de passer par un code de secours ou un autre facteur).
Pour activer (tester et ça marche) le U2F et utiliser cette Nitrokey FIDO
– Pour Nextcloud https://apps.nextcloud.com/apps/twofactor_u2f
– Pour Bitwarden https://bitwarden.com/help/article/setup-two-step-login-u2f/
Conclusion
Je connaissais et avais déjà vu des Yubikey, sans jamais vraiment ressentir le besoin d’en avoir une (tout en comprenant l’intérêt). Comme le montre ce premier article, l’usage type de clef est destiné à un usage professionnel (pour de la sécurité un peu avancé) ou très geek. Autant la clef FIDO2 est simple d’usage, autant la clef Nitrokey Pro 2, nécessitant l’usage d’un logiciel tiers, complique un peu plus les choses. Dans un prochain article, je ferai un focus spécial sur l’usage d’une clef Nitrokey (Nitrokey FIDO2 et Nitrokey FIDO U2F) comme second facteur d’authentification au sein d’un article plus général sur le 2nd facteur dans le cadre de la sécurisation des accès à Nextcloud.
Comme je le disais dans la section sur les fonctionnalités, j’ai écrit cet article dans les quelques jours qui ont suivi la réception de mes clefs Nitrokey. Je dois voir avec le temps, les usages et les tests plus avancés pour me prononcer si ces clefs sont des simples gadgets ou sont vraiment utiles.
Série de liens connexes
– La double authentification par clé : comment ca marche ?
– Découverte de la Nitrokey Pro Février 2019
– Gnuk, NeuG, FST-01 : entre cryptographie et matériel libre
– OpenPGP - Exporter les clefs secrètes sur une Yubikey Octobre 2017