technique:old:password_store:get_access

Si vous avez besoin d’accéder à une catégorie d’identifiants, il faut suivre certaines étapes :

  1. Création d’une clé PGP. Vous pouvez nous demander de l’aide si vous ne comprenez pas quelque chose. Votre clé privée doit être protégée par un mot de passe suffisamment fort.
  2. Certification de votre clé. Faites certifier votre clé par le responsable de la catégorie d’identifiants concernée (président, trésorier ou responsable technique).
  3. Chiffrement des identifiants avec votre clé. Le responsable re-chiffre l’ensemble des identifiants concernés avec votre clé puis met à jour le dépôt.
  4. Accès aux identifiants. Il suffit de cloner ce dépôt de suivre la procédure.

Note:

La personne à contacter est le représentant concerné : administratif, technique ou financier. Voir qui c’est dans le règlement intérieur.

L’utilisation de pass suppose que vous avez déjà généré une clé OpenPGP.

A Savoir:

OpenPGP est un format de cryptographie. Il utilise une paire de clés (publique/privée). Une des particularités d’OpenPGP est qu’une clé est associée à une ou plusieurs identités (nom et adresses e-mail). Chaque membre a une clé publique, qui est utilisée pour chiffrer les identifiants. Chaque identifiant est donc chiffré autant de fois que de personnes, ce qui évite une clé ou un mot de passe partagé!

Lien:

Pour apprendre à créer une clé OpenPGP, c’est par ici ! :)

Une fois que votre clé est générée, il faut la pousser sur un serveur de clé, de sorte que tous les membres puissent la récupérer et chiffrer les identifiants pour vous.

snippet.bash
gpg --export <votre adresse mail> | curl -T - https://keys.openpgp.org

Cliquez sur le lien généré et validez vos adresses mail. Votre clé est maintenant utilisable pour chiffrer les identifiants.

Note:

Pour qu’elle soit trouvable grâce à votre adresse mail, suivez cette procédure. Pour comprendre pourquoi nous utilisons ce serveur de clé, regardez ce billet de blog. Ici, on a pas besoin du Web of Trust, mais juste d’un annuaire de clé, dont les fingerprints ont été vérifiés en personne avant d’être ajoutés ici.

Dans le fichier gpg_keys.txt, à la racine du dépôt, ajoutez une ligne avec l’empreinte de votre clé et votre adresse mail (celle utilisée lors de la création de la clé).

Note:

Pour récupérer facilement le fingerprint de votre clé, utiliser la commande suivante :

gpg --with-colons --fingerprint <email> | awk -F: '$1 == "fpr" {print $10;}' | head -1 

Il suffit de spécifier le dossier auquel vous voulez avoir accès et votre fingerprint.

L’ajout ou la suppression d’un accès ne peut se faire que par une personne autorisée à accéder aux mots-de-passe concernés. En effet, pass va demander à gnupg de déchiffrer ceux-ci, pour les re-chiffrer avec la nouvelle liste de clefs. La liste des clefs ayant accès aux mots-de-passe est située dans le fichier .gpg-id du dossier des identifiants. Ensuite, il faut exécuter les commandes suivantes :

snippet.bash
picaimport # importe et signe localement l’ensemble des clefs publiques contenues dans gpg_keys.txt
picapass init -p <Dossier> $(cat <chemin_vers_Dossier>/.gpg-id) # re-chiffre les identifiants

Une fois la dernière commande exécutée, un ou deux commits ont automatiquement été ajoutés au dépôt Git. Ne pas oublier de pousser les modifications sur le serveur GitLab !

  • technique/old/password_store/get_access.txt
  • de gblond