On parle ici des mots de passe, de la politique d'accès à ces mots de passe, et des modalités pratiques.

Attention : cette politique n'a pas été réfléchie collectivement, il s'agit donc de la politique pragmatique telle qu'on constate qu'elle est appliquée dans l'asso, et qui est sans doute difficile à améliorer.

Si l'on souhaite une gestion collective de notre association, il importe de partager les accès.

Sécurité par l'obscurité : notre phrase de passe n'est échangée que verbalement. Il s'agit du mot d'ordre secret de la secte Mycélium.

Bien que cela ait ses limites : pour le reste, il y a le chiffrement asymétrique, qui autorise à ce que l'on expose ces données chiffrées. Sachant que cela revient à fournir une copie chiffrée aux mains d'institutions capables de casser ce chiffrement. Le modèle est donc à améliorer.

Il faut distinguer :

• les données publiques
• les données contenant des informations sensibles (noms, prénoms…) que l'on réserve à un accès restreint aux membres adhérents de l'asso.
• les données secrètes par nature, protégées par une phrase de passe ultime connue des personnes les plus impliquées dans l'asso.

1. Il y a des mots de passe qu'on n'a pas trop peur de compromettre (des comptes sur des réseaux sociaux où on n'a pas demandé de s'inscrire…).
2. Il y a des identifiants utiles aux démarches administratives.
3. Il y a des clés privées/certificats utiles à certaines machines qui sont stockées sur ces machines (et pas ailleurs ? et dont la conservation n'est pas cruciale donc qu'on peut se permettre de perdre ?)
4. Il y a les accès aux machines, via des clés SSH individuelles (chaque membre utilise sa clé SSH).
5. Il y a les phrases de passe pour les disques durs chiffrés.
6. Il y a la phrase de passe ultime (le mot d'ordre de la secte), qui pourrait donner accès à tout le reste, notamment via un trousseau de clés.

La page contenant les secrets de moindre importance est protégée par les ACLs de Dokuwiki.

Elle s'accède donc simplement via : Comptes peu sensibles

La personne doit être renseignée comme «membre de l'association» dans dokuwiki pour accéder à cette page.

La gestion des accès se fait donc depuis l'administration du wiki.

Certains secrets sont stockés dans notre dépot git.

Une copie de cette documentation est disponible dans le readme.md du dit dépot git.

Chiffrer:

gpg -c words.md

Déchiffrer:

gpg -o words.md -d words.md.gpg

(words.md est inclus dans .gitignore)

Les personnes souhaitant déchiffrer doivent posséder la clé privée (ainsi que la clé publique).

Vérifiez si vous la possédez avec :

gpg -K contact@mycelium-fai.org

Cette clé est protégée par notre phrase de passe, et est associée à notre adresse mail contact@mycelium-fai.org.

Empreinte de la clef = DD4E B878 8520 3629 E33B 2645 8B7E 45F1 98FF DB9B

Elle utilise ed25519/cv25519.

Sur l'ordi de la personne qui possède la clé :

Transmettre la clé privée :

gpg --export-secret-keys --armor contact@mycelium-fai.org > mycel_priv.key

Transmettre la clé publique :

gpg --export --armor contact@mycelium-fai.org > mycel_pub.key

Sur l'ordi de la personne qui reçoit la clé :

Importer les clés publique/privée :

gpg --import mycel_*.key

Sous Debian, password-store est disponible via le paquet pass.

Consultez la documentation de pass pour l'intégrer à votre environnement/workflow.

Copiez le répertoire mycelium-store dans votre ${HOME}/.password-store.

C'est prêt.