Outils pour utilisateurs

Outils du site


documentation:gestion:gestion-des-secrets

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
documentation:gestion:gestion-des-secrets [2021/04/16 23:28] – ↷ Liens modifiés en raison d'un déplacement. 207.46.13.7documentation:gestion:gestion-des-secrets [2021/07/15 20:42] (Version actuelle) – à réécrire cacatoes
Ligne 1: Ligne 1:
-====== Gestion des secrets au sein de Mycélium ======+====== Mots de passe de Mycélium ======
  
-On parle ici des mots de passe, de la politique d'accès à ces mots de passe, et des modalités pratiques.+(à réécrireil s'agira de mettre l'accent sur password store qu'on a réellement adopté depuis).
  
-<WRAP> +Modalités pratiques pour partager nos secrets au sein de Mycélium.
-«La sécurité d'une donnée dépend de la sécurité du maillon le plus faible de son canal de transmissionJ'aime bien les bananes» +
-~~ Le sage de la montagne +
-</WRAP> +
-===== Politique des secrets  =====+
  
-Attention : cette politique n'a pas été réfléchie collectivement, il s'agit donc de la politique pragmatique telle qu'on constate qu'elle est appliquée dans l'asso, et qui est sans doute difficile à améliorer. +===== Secrets renseignés sur notre site =====
- +
-Si l'on souhaite une gestion collective de notre association, il importe de partager les accès. +
- +
-Sécurité par l'obscurité : **notre phrase de passe n'est échangée que verbalement**. Il s'agit du mot d'ordre secret de la secte Mycélium. +
- +
-Bien que cela ait ses limites : **pour le reste, il y a le chiffrement asymétrique**, qui autorise à ce que l'on expose ces données chiffrées. Sachant que cela revient à fournir une copie chiffrée aux mains d'institutions capables de casser ce chiffrement. Le modèle est donc à améliorer. +
- +
-==== Partager les secrets avec qui ? ==== +
- +
-Il faut distinguer : +
-  * les données publiques +
-  * les données contenant des informations sensibles (noms, prénoms...) que l'on réserve à un accès restreint aux membres adhérents de l'asso. +
-  * les données secrètes par nature, protégées par une phrase de passe ultime connue des personnes les plus impliquées dans l'asso. +
-==== Sensibilité des secrets ==== +
- +
-  - Il y a des mots de passe qu'on n'a pas trop peur de compromettre (des comptes sur des réseaux sociaux où on n'a pas demandé de s'inscrire...). +
-  - Il y a des identifiants utiles aux démarches administratives. +
-  - Il y a des clés privées/certificats utiles à certaines machines qui sont stockées sur ces machines (et pas ailleurs ? et dont la conservation n'est pas cruciale donc qu'on peut se permettre de perdre ?) +
-  - Il y a les accès aux machines, via des clés SSH individuelles (chaque membre utilise sa clé SSH). +
-  - Il y a les phrases de passe pour les disques durs chiffrés. +
-  - Il y a la phrase de passe ultime (le mot d'ordre de la secte), qui pourrait donner accès à tout le reste, notamment via un trousseau de clés. +
-===== Modalités pratiques ===== +
- +
-==== Secrets renseignés sur notre site ====+
  
 La page contenant les secrets de moindre importance est protégée par les ACLs de Dokuwiki. La page contenant les secrets de moindre importance est protégée par les ACLs de Dokuwiki.
Ligne 43: Ligne 15:
 La gestion des accès se fait donc depuis l'[[this>?do=admin&page=usermanager|administration du wiki]]. La gestion des accès se fait donc depuis l'[[this>?do=admin&page=usermanager|administration du wiki]].
  
-==== Secrets renseignés dans le dépot git ====+===== Secrets renseignés dans le dépot git =====
  
 Certains secrets sont stockés dans [[documentation:technique:git:usage-des-depots-mycelium|notre dépot git]]. Certains secrets sont stockés dans [[documentation:technique:git:usage-des-depots-mycelium|notre dépot git]].
Ligne 49: Ligne 21:
 Une copie de cette documentation est disponible dans le readme.md du dit dépot git. Une copie de cette documentation est disponible dans le readme.md du dit dépot git.
  
-=== (Dé)chiffrement direct via notre phrase de passe ===+==== (Dé)chiffrement direct via notre phrase de passe ====
  
 Chiffrer:  Chiffrer: 
Ligne 61: Ligne 33:
 (words.md est inclus dans .gitignore) (words.md est inclus dans .gitignore)
  
-=== (Dé)chiffrement via une clé GPG ===+==== (Dé)chiffrement via une clé GPG ====
  
 Les personnes souhaitant déchiffrer doivent posséder la clé privée (ainsi que la clé publique). Les personnes souhaitant déchiffrer doivent posséder la clé privée (ainsi que la clé publique).
Ligne 75: Ligne 47:
 Elle utilise ed25519/cv25519. Elle utilise ed25519/cv25519.
  
-== Transmettre la clé GPG à une personne ==+=== Transmettre la clé GPG à une personne ===
  
 Sur l'ordi de la personne qui possède la clé : Sur l'ordi de la personne qui possède la clé :
Ligne 93: Ligne 65:
 <code>gpg --import mycel_*.key</code> <code>gpg --import mycel_*.key</code>
  
-== (facultatif) Intégration de la clé GPG avec password-store ==+==Intégration de la clé GPG avec password-store ===
  
 Sous Debian, password-store est disponible via le paquet [[https://packages.debian.org/sid/pass|pass]]. Sous Debian, password-store est disponible via le paquet [[https://packages.debian.org/sid/pass|pass]].
Ligne 102: Ligne 74:
  
 C'est prêt. C'est prêt.
- 
documentation/gestion/gestion-des-secrets.txt · Dernière modification : 2021/07/15 20:42 de cacatoes

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki