{{indexmenu_n>10}}
## Demander l'accès à des identifiants

Si vous avez besoin d'accéder à une catégorie d'identifiants, il faut suivre certaines étapes :

1. Création d'une clé PGP. Vous pouvez nous demander de l'aide si vous ne comprenez pas quelque chose. Votre clé privée doit être protégée par un mot de passe suffisamment fort.
2. Certification de votre clé. Faites certifier votre clé par le responsable de la catégorie d'identifiants concernée (président, trésorier ou responsable technique).
3. Chiffrement des identifiants avec votre clé. Le responsable re-chiffre l'ensemble des identifiants concernés avec votre clé puis met à jour le dépôt.
4. Accès aux identifiants. Il suffit de cloner ce dépôt de suivre [[technique:adminsys:secu:password_store:usage|la procédure]].

<bootnote>La personne à contacter est le représentant concerné : administratif, technique ou financier. Voir qui c'est dans le [[asso:administratif:registre|règlement intérieur]].</bootnote>

### Avez-vous une clé ?

L'utilisation de `pass` suppose que vous avez déjà généré une clé OpenPGP.

<bootnote learn>OpenPGP est un format de cryptographie. Il utilise une paire de clés (publique/privée). Une des particularités d'OpenPGP est qu'une clé est associée à une ou plusieurs identités (nom et adresses e-mail). Chaque membre a une clé publique, qui est utilisée pour chiffrer les identifiants. Chaque identifiant est donc chiffré autant de fois que de personnes, ce qui évite une clé ou un mot de passe partagé!</bootnote>

<bootnote web>Pour apprendre à créer une clé OpenPGP, c'est [par ici](https://www.redhat.com/sysadmin/creating-gpg-keypairs) ! :)</bootnote>

### Pousser votre clé

Une fois que votre clé est générée, il faut la pousser sur un **serveur de clé**, de sorte que tous les membres puissent la récupérer et chiffrer les identifiants pour vous.

```bash
gpg --export <votre adresse mail> | curl -T - https://keys.openpgp.org
```

Cliquez sur le lien généré et validez vos adresses mail.
Votre clé est maintenant utilisable pour chiffrer les identifiants.

<bootnote>Pour qu'elle soit trouvable grâce à votre adresse mail, suivez [cette procédure](https://keys.openpgp.org/about/usage#gnupg-upload). Pour comprendre pourquoi nous utilisons ce serveur de clé, regardez [ce billet de blog](https://tails.boum.org/doc/encryption_and_privacy/openpgp_keyserver/index.fr.html). Ici, on a pas besoin du Web of Trust, mais juste d'un annuaire de clé, dont les fingerprints ont été vérifiés en personne avant d'être ajoutés ici.</bootnote>

### Vous répertorier sur le dépôt

Dans le fichier `gpg_keys.txt`, à la racine du dépôt, ajoutez une ligne avec l'empreinte de votre clé et votre adresse mail (celle utilisée lors de la création de la clé).

<bootnote>Pour récupérer facilement le fingerprint de votre clé, utiliser la commande suivante :

```
gpg --with-colons --fingerprint <email> | awk -F: '$1 == "fpr" {print $10;}' | head -1 
```
</bootnote>

### Demander au représentant

Il suffit de spécifier le dossier auquel vous voulez avoir accès et votre fingerprint.

### Ajout ou suppression d’un accès

L’ajout ou la suppression d’un accès ne peut se faire que par une personne autorisée à accéder aux mots-de-passe concernés. En effet, `pass` va demander à `gnupg` de déchiffrer ceux-ci, pour les re-chiffrer avec la nouvelle liste de clefs. La liste des clefs ayant accès aux mots-de-passe est située dans le fichier `.gpg-id` du dossier des identifiants. Ensuite, il faut exécuter les commandes suivantes :

```bash
picaimport # importe et signe localement l’ensemble des clefs publiques contenues dans gpg_keys.txt
picapass init -p <Dossier> $(cat <chemin_vers_Dossier>/.gpg-id) # re-chiffre les identifiants
```

Une fois la dernière commande exécutée, un ou deux commits ont automatiquement été ajoutés au dépôt Git. Ne pas oublier de pousser les modifications sur le serveur GitLab !