Logs du chan #afpy pour le

14:33 <debnet> @mdk T'as besoin de ma clé publique pour le repo pass ?
14:33 <debnet> Il me semble que tu l'as.
14:34 <mdk> debnet: clef GPG publique, pour te chiffrer les mots de passe pour toi
14:34 <debnet> GPG ?
14:34 <debnet> Fuck. :D
14:34 <debnet> Pourquoi pas RSA ? x)
14:35 <mdk> debnet: t'as pas voté pour pass ? :D
14:35 <debnet> Si si. :D
14:35 <asyd> ahahah
14:35 <mdk> https://www.passwordstore.org/ > Password management should be simple and follow Unix philosophy. With pass, each password lives inside of a gpg encrypted file
14:35 <mdk> C'est pas de la politique ici qu'on fait, faut lire avant de voter :D
14:36 <debnet> Nan mais ça va aller. :D
14:36 <debnet> J'ai juste des poussée d'urticaire quand GPG intervient dans ma vie. :D
14:36 <mdk> debnet: donc, tu sort ton raspi, tu le met a jour, tu le débranche du résal, tu génère ta paire de clefs, tu crée une sous-clef, tu exporte ta sous clef, tu la met sur une clef USB pour la rammener sur ton laptop, tu backup ta clef principale sur un CD-ROM-RW, tu ...
14:37 <debnet> Mon raspi est pas à jour en plus...
14:37 <mdk> ... tu met le CD-ROM dans une enveloppe scélée, tu l'ammène à la banque, tu la range dans un coffre, ...
14:37 <debnet> Je vais sortir la Yubikey.
14:38 <mdk> Ah oui ça marche aussi \o/ Mais les yubikey ne savent pas faire du PIV et du GPG en même temps ☹
14:38 <debnet> Oh ?
14:38 <asyd> mdk: tu as une nitrokey ?
14:38 <mdk> Et j'ai pris l'abitude d'utiliser l'applet PIV... donc j'ai 2 yubikey, aucune qui peut faire du GPG, j'enrage
14:38 <mdk> asyd: non j'ai une yubikey 4 et une yubikey 5
14:38 <mdk> de chez yubico
14:39 <asyd> regarde les nitrokey
14:39 <asyd> c'est full opensource, pour de vrai
14:39 <mdk> je regarderai pour ma prochaine ^^
14:39 <mdk> Tant que ces deux là fonctionnent ça me va
14:40 <debnet> Personnellement je m'en sers plus pour la double auth.
14:40 <asyd> debnet: fido ?
14:40 <mdk> debnet: FIDO + PIV oui ça fonctionne ensemble, j'utilise le FIDO-U2F beaucoup aussi
14:40 <debnet> FIDO-U2F pour moi.
14:40 <asyd> mais comment vous utilisez fido ?
14:40 <asyd> vous etes sous linux non ?
14:40 <debnet> Yep.
14:41 <asyd> elle est branchée en usb et vous appuyez dessus ?
14:41 <debnet> Ouep.
14:41 <mdk> asyd: tu vas sur un site, tu clique sur le gros bouton "J'ai une clef", la clef clignotte, tu appuies dessus, it works.
14:41 <mdk> Ouep.
14:41 <mdk> Ça marche même sur pypi \o/
14:41 <debnet> J'ai du toucher un peu le authd pour que ça soit smooth.
14:41 <asyd> ah oui je voulais la même mais en rfcid
14:41 <mdk> rfcid ?
14:41 <asyd> rfid
14:41 <asyd> nfc
14:41 <mdk> ahh :D
14:42 <mdk> J'ai aucune confiance au NFC ☹
14:42 <asyd> mais c'est possible sous linux, en gros
14:42 <mdk> J'ai vu des gens dumper des passeport à 15m de distnace en NFC, ça m'fait peur :D
14:42 <debnet> Ah j'utilise le NFC de la Yubikey moi.
14:42 <asyd> debnet: avec ton tel ?
14:42 <debnet> Ouep.
14:43 <debnet> Je l'utilisais avant pour déverouiller mon Linux, mais je m'en sers plus.
14:43 <debnet> déverrouiller*
14:43 <debnet> Du coup elle me sert exclusivement de double auth.
14:45 <mdk> debnet: tu ne fais pas de PIV avec ? Bah go faire du GPG dessus alors. Tu peux même ouvrir des connexions SSH avec une clef GPG, depuis ta yubikey, si tu n'as pas peur d'y passer l'après-midi à tout configurer.
14:46 <debnet> J'ai déjà passé une journée à configurer l'auth de mon PC. :D
14:46 <debnet> Mais je crois que j'ai déjà configuré la Yubikey en PIV lorsque je l'ai reçue.
14:46 <debnet> Juste je m'en suis pas servi je crois.
14:46 <debnet> Je ne sais pas dans quel cas de figure m'en servir. :D
14:47 <mdk> Si tu ne l'utilise pas, tu peux désactiver le PIV et activer le GPG
14:47 <mdk> debnet: moi j'utilise le PIV pour stocker une clef SSH privée, et signer les challenges SSH sur ma clef via opensc-pkcs11
14:47 <misc> pareil que mdk
14:48 <mdk> debnet: donc ma clef ssh privée ne sort pas de ma yubikey (c'est du write-only d'ailleurs, on ne peut pas la sauvegarder) je trouve ça propre.
14:48 <mdk> misc: et toi alors comment tu fais du GPG ?
14:48 <misc> mdk: je fiat pas
14:48 <misc> j'ai juste la clé ssh sur 2 yubikeys
14:49 <mdk> misc: La même ? Moi je les ai générées depuis la yubikey, donc j'ai 2 clef publiques différentes :,-( (Mais on peut pas venir me voler le backup \o/ you-pi)
14:50 <misc> mdk: alors j'ai fait ça au début, et pis: https://www.yubico.com/support/security-advisories/ysa-2017-01/
14:51 <misc> donc du coup, aprés avoir passé tout l'aprés midi à changer ma clé partout, j'ai 1) décidé de ne pas faire confiance à des puces moisis
14:52 <misc> 2) prevoir le cas ou je perds ma clé (car j'ai deja perdu une yubikey en marchant dans la rue)
14:52 <mdk> t'as peut être raison ... moi j'avais généré ma clef un tout petit peu après, j'était pas dedans, mais bon ...
14:52 <misc> bah, je suis content parce que j'ai eu un upgrade gratos
14:52 <misc> sur 6 yubikey, j'ai du en payé que la moitié
14:53 <mdk> ça fait 3 fois plus de clefs que moi (donc une payée par le taff :D)
14:55 <misc> j'avais aussi la clé dans le TPM, mais quand j'ai eu un souci sur le portable, j'ai pigé que c'etait pas une riche idée..
14:56 <debnet> Vous êtes chauds. :D
14:57 <misc> vraiment, je pense que les distros linux devraient avoir un assistant quand tu branches une yubikey pour la premiére fois pour dire "voulez vous faire une clé ssh"
14:57 <debnet> On peut injecter sa clé ssh privée sur sa Yubikey facilement ?
14:57 <misc> ouais
14:57 <debnet> Y a une procédure ? Je suis en train de la chercher mais je trouve rien de probant.
14:57 <mdk> debnet: en PIV donc ?
14:58 <debnet> Bah c'est le plus "utile" dans mon cas je pense.
14:58 <mdk> debnet: https://developers.yubico.com/PIV/Guides/SSH_with_PIV_and_PKCS11.html
14:58 <misc> voila
14:59 <mdk> jette un oeil a https://developers.yubico.com/PIV/Guides/Device_setup.html aussi, n'oublie pas de bien changer le pin, le puk, et la managment key
14:59 <debnet> @mdk Ca ne va pas me pourrir mon OTP ?
14:59 <mdk> Et choisis la touch policy, tu n'as pas le droit de la changer après
14:59 <misc> sinon https://marc.info/?l=openssh-unix-dev&m=157259802529972&w=2
14:59 <mdk> (mais vu que tu as ta clef tu pourras toujours la ré-uploader et donc changer la touch policy)
15:00 <mdk> debnet: non, c'est géré par une autre partie de la clef l'OTP, mais je préfère ne rien garantir, je ne suis pas dev chez Yubico, si ils ont merdé c'pas ma faute
15:07 <debnet> J'essaye de comprendre mais c'est abscond pour moi. xD
15:56 <mdk> DAMNED pgp.mit.edu c'est lennnnnnnnnnnnnnnnnnnnnnt
16:04 <entwanne> Très lent, quand ça charge
16:08 <debnet> En plus le certificat est aux fraises.
16:30 <olasd> le réseau des serveurs de clés est mort; il vaut mieux utiliser https://keys.openpgp.org/ si possible
17:13 <afpy_user|41009> salut à tous =D paladice est de retour, ça fait un moment que je suis pas passé mais j'espère que la communauté va toujours bien :)
17:13 <afpy_user|41009> je ré-entame un chantier en python donc je venais refaire les salutations au besoin =D
17:16 <afpy_user|41009> je reconnais aucun noms dans la liste à droite xD
17:51 <debnet> Bonjour ! :D
18:04 <debnet> @mdk J'ai généré mes paires GPG pour pass.
18:04 <debnet> Je dois faire une action spécifique ?
18:05 <asyd> lui donné ta partie publique
18:06 <debnet> https://keys.openpgp.org/search?q=95F6A7DE2DAA06BD7AC4920314778F7F564782B9
18:51 <mdk> paladice ? jamais entendu parler oO
18:51 <mdk> grep -c paladice ~weechat/.weechat/logs/irc.freenode.#afpy.weechatlog
18:51 <mdk> 1
18:51 <mdk> (sur 142394 lignes de log)
19:06 <mdk> debnet: tu as mis quel mail pour ta clef ? je ne la trouve pas via `gpg --auto-key-locate keyserver --locate-keys`, et si je télécharge le fichier donné par keys.opengpg.org il ne me donne pas l'identité :,-(
19:15 <entwanne> mdk: Du coup re-voici la mienne : https://keys.openpgp.org/search?q=C35CF14AAF613D6B7C09F86D26B3BE93086F3EE8
19:15 <mdk> entwanne: merci :)
19:15 <misc> alain_afpy: et toi, ta clé gpg, c'est quoi ?
19:15 <alain_afpy> misc: vilain
19:15 <misc> ce bot est un peu salty
19:16 <mdk> alain_afpy: alain_afpy: bonjour Alain.
19:16 <alain_afpy> mdk: tu peux pas comprendre
21:19 <HS-157> C'est quoi le PIV ?
21:20 <asyd> HS-157: https://developers.yubico.com/yubico-piv-tool/YubiKey_PIV_introduction.html
21:21 <misc> c'est pas le meilleur acronyme pour éviter les incomprehensions...
21:35 <HS-157> asyd: Merci
22:46 <asyd> HS-157: ah tiens tu m'avais découvrir fzf
22:51 <asyd> s/avais/as fais/
23:26 <HS-157> :)
23:27 <HS-157> C'est cool pour les scripts je trouve.
23:27 <HS-157> Je l'utilise un peu pour cd aussi
23:28 <HS-157> Moi, là, je suis en train de faire une partie de Terraria :)
23:30 <asyd> ahah
23:36 <mdk> entwanne: pour tester je ne t'ai que donné le droit sur le dossier Mastodon@Mamot (qui à mon avis contient un vieux mot de passe qui ne marche même plus, j'ai pas testé)
23:36 <mdk> debnet: je t'ai donné accès à tout
23:36 <debnet> OH MON DIEU.
23:36 <mdk> entwanne, debnet: j'ai documenté ça dans le README du repo
23:36 <debnet> T'es un amour.
23:37 <mdk> debnet: je pense qu'il faudra faire un peu de rangement. On peut donner des accès par dossiers, donc par exemple on peut faire un dossier "social" avec les rézossocios
23:37 <mdk> un dossier "infra" avec online.net et tout ça, etc ...
23:38 <mdk> j'ai pour le moment rien rangé, c'est un import brut du passbolt
23:38 <mdk> debnet, entwanne: vous me confirmerez que ça fonctionne pour vous, que je shoot le passbolt aussi
23:39 <debnet> OK, je regarde ça.
23:40 <asyd> mdk: euh j'ai raté un truc, avec pass tu peux gérer des accès par path ?
23:40 <mdk> asyd: oui, `pass init --path=... key1 key2 key3` rechiffre le dossier path pour les clefs données
23:41 <asyd> comme quoi on en apprends tous les jours
23:41 <mdk> asyd: je viens de faire le test, https://github.com/AFPy/pass/
23:41 <mdk> asyd: > Mastodon@Mamot/contact@afpy.org: reencrypting to 17F50123535E296D 40E58A58D007D7A5 B343C121A7C4576F
23:41 <asyd> mdk: et le .gpg-id ressemble a quoi ?
23:41 <mdk> asyd: et il n'a pas touché aux autres fichiers
23:42 <mdk> asyd: $ wc -l **/.gpg-id
23:42 <mdk> 2 .gpg-id
23:42 <mdk> 3 Mastodon@Mamot/.gpg-id
23:42 <asyd> dans le PASSWORD_STORE_DIR
23:42 <asyd> hmm ok
23:42 <mdk> 2 personnes ont accès à tout, et 3 personnes ont accès à Mastodon@Mamot/
23:42 <asyd> pigé
23:43 <mdk> il prend, àla git, le premier .gpg-id qu'il croise en partant du fichier
23:43 <mdk> asyd: d'ailleurs je n'ai pas ta clé ?
23:44 <asyd> euh non
23:44 <asyd> je te la donne si tu me harceles pour la migration mail
23:44 <mdk> asyd: ça en est où cette migration mail ?
23:45 <asyd> la quoi >
23:45 <debnet> @mdk On doit faire un pass init ?
23:45 <asyd> hmm j'ai une clé bruno@afpy.org tiens
23:46 <mdk> debnet: `pass init` sert à ajouter ou enlever quelqu'un. Si tu veux juste y accéder : `pass` tout court pour lister, et `pass show` pour voir
23:46 <debnet> $ pass
23:46 <debnet> Error: password store is empty. Try "pass init".
23:46 <debnet> :'(
23:46 <mdk> debnet: tu as peut être besoin d'une variable d'environnement PASSWORD_STORE_DIR si tu ne clone pas directement dans ~/.password-store/
23:47 <debnet> Ah.
23:47 <debnet> C'est mieux !
23:53 <debnet> Ca marche du feu de dieu @mdk. ;)
23:54 <asyd> ouais faut juste.. renouveller les mots de passe de temps en temps quoi ;p
23:55 <asyd> mais bon c'est mieux qu'un truc web
23:55 <asyd> qui marche pas
23:58 <debnet> Agreed.