GpgAuth est un sys­tème d’authentification pour les sites Inter­net. Sa par­tic­u­lar­ité est qu’il per­met de faire de l’authentification forte (two-way authen­ti­ca­tion).

L’authentification forte, c’est la com­bi­nai­son de (au moins) deux type d’authentification:

• Ce que je sais (un mot de passe par exemple)
• Ce que je pos­sède (une carte à puce…)
• Ce que je suis (biométrie…)

L’Authentification Forte est la com­bi­nai­son d’au moins deux de ces éléments

GpgAuth per­met de faire de l’authentification forte en com­bi­nant la pos­ses­sion (d’une clef privée) et la con­nais­sance d’un mot de passe (passphrase du cer­ti­fi­cat, éventuelle­ment mot de passe pour le site). Cela per­met de s’affranchir par­tielle­ment des out­ils tels que les key­log­gers (soft­ware ou matériel).

GpgAuth per­met égale­ment de s’assurer que le site web sur lequel vous ten­tez de vous authen­ti­fiez est bien le site sur lequel vous vous êtes inscrit ini­tiale­ment (lim­ite les risques de phish­ing).

Enfin, GpgAuth peut vous per­me­t­tre de faire du SLO par­tiel (Sin­gle Log On); c’est-à-dire que l’ensemble des ser­vices sur lesquelles vous vous con­nectez avec GpgAuth utilisent la même passphrase. Qui plus est, si vous changer votre passphrase, elle change pour tous vos services.

Lorsque vous vous inscrivez sur un site, il suf­fit de ren­seigner un nom d’utilisateurs, d’éventuelles infor­ma­tions per­son­nelles, et vous four­nissez votre clef publique (vous pou­vez générez un cou­ple clef publique/clef privée spé­ci­fique à GpgAuth). Vous récupérez par la même occa­sion la clef publique cor­re­spon­dant au GpgAuth du serveur.

Par la suite, le fonc­tion­nement de GpgAuth est le suivant:

1. Vous générez aléa­toire­ment un con­tenu, que vous chiffrez avec la clef publique du serveur. Ce con­tenu chiffré est envoyé au serveur avec votre nom d’utilisateur. A noter que seul le serveur peut déchiffrer son con­tenu, à l’aide de sa clef privée: il s’agit d’un défi afin de s’assurer de l’identité du serveur.
2. Le serveur reçoit les infor­ma­tions, et véri­fie que vous dis­posez bien d’un compte et que votre cer­ti­fi­cat n’a pas été révoqué.
3. Il déchiffre le con­tenu, et génère à son tour un con­tenu aléa­toire­ment, qu’il chiffre avec votre clef publique qu’il con­naît via votre nom d’utilisateur. Il s’agit d’un défi pour véri­fier que vous êtes bien l’utilisateur que  vous pré­ten­dez être. Ce con­tenu vous est envoyé, avec le con­tenu du pre­mier défi déchiffré.
4. L’utilisateur véri­fie que le con­tenu déchiffré est bien celui qu’il a chiffré. Si c’est le cas, il déchiffre le con­tenu du sec­ond défi, à l’aide de sa clef privée, et envoie le con­tenu ainsi déchiffré au serveur.
5. Le serveur véri­fie qu’il s’agit bien du bon con­tenu; et valide l’authentification.

Déroule­ment d’une authen­tifi­ca­tion avec GpgAuth

Pour pou­voir util­isé GpgAuth, il y a deux conditions:

1. Votre nav­i­ga­teur doit sup­porter GpgAuth. C’est le cas pour Fire­fox grâce à l’extension FireGPG (mod­ule non activé par défaut)
2. Le ser­vice Web doit offrir la pos­si­bil­ité d’utiliser GpgAuth

Un exem­ple d’authentification avec GpgAuth est disponible sur le site Web du sys­tème, et je vous pro­pose quelques cap­tures d’écrans sur com­ment cela se déroule “en vrai” avec FireGPG:

Tout d’abord, le mod­ule GpgAuth doit être activé dans les options de FireGPG

Inscrip­tion sur le ser­vice (pensez à récupérer à ajouter la clef publique du serveur)

For­mu­laire d’authentification

FireGPG demande la passphrase de la clef privée

L’authentification est réussie

• Entrée précédente: AxCrypt: Un autre logiciel pour protéger ses données
• Entrée suivante: Une attaque sur AES-256