9594
Comment: Sync with English master
|
9593
typo
|
Deletions are marked like this. | Additions are marked like this. |
Line 50: | Line 50: |
||Gemalto (anciennement Schlumberger/Axalto)||Cryptopflex (et eGate)|| || | ||Gemalto (anciennement Schlumberger/Axalto)||Cryptoflex (et eGate)|| || |
Translation(s): English - Français - Italiano
Cette page explique comment utiliser une Smartcard (plutôt connue en France sous le nom de "carte à puce" ou carte à circuit intégré (ICC)) avec Debian.
Contents
Présentation
- L'architecture des cartes à puce est plutôt complexe et, actuellement, il n'est pas possible de mélanger à volonté n'importe quelle combinaison aléatoire de cartes et de lecteurs à la façon de périphériques "plug-and-play". Les cartes, lecteurs et logiciels ne sont pas interchangeable.
- Mais si on fait très attention en choisissant la bonne combinaison de cartes et de lecteurs, on peut mettre en oeuvre un système complètement fonctionnel avec Debian.
Il y a essentiellement deux types de solution sur les systèmes Debian, les cartes basées sur OpenPGP ou bien les cartes type PKCS#11. Cette page est consacrée au cartes type PKCS#11.
Les cartes OpenPGP sont un type spécial de cartes conçues pour être utilisées avec GnuPG. Pour les cas d'utilisation GnuPG (signature de courriel), elles sont d'usage facile et donc plutôt appréciées - cependant pour un usage plus polyvalent tel que l'authentication web, un VPN ou le chiffrement d'un disque, elles peuvent ne pas donner satisfaction.
Néanmoins, GnuPG peut être utilisé avec des cartes PKCS#11 normales avec l'aide de OpenSC et du projet GnuPG PKCS#11
Les cartes à puces ont leur propre programme et système d'exploitation interne. Ces programmes sont rarement des logiciels libres au sens des principes du contrat social Debian - En revanche, les logiciels d'un système Debian sont complètement libres. Par définition, une carte à puce est un périphérique sécurisé dont le programme ne peut pas être modifié à volonté. Certains fournisseurs fournissent des pilotes binaires (à code source fermé) pour Linux,mais il n'est pas toujours obligatoire d'utiliser ces pilotes. Dans les meilleurs cas, on peut bâtir des solutions fonctionnelles sans utiliser de logiciels non-libres ou binaires fournis par le fabricants, à l'exception de ceux internes à la carte elle-même.
Choisir un algorithme et la taille des clefs
- L'algorithme traditionnel est RSA
- Les clefs d'une taille inférieure à 2048 bits sont considérée comme non sûres
- La plupart des cartes prennent en charge un maximum de 2048 bits
- Certains pensent que c'est insuffisant
- Elliptic Curve Cryptography (ECC) est un algorithme plus récent
- La taille des clefs est plus petite (par exemple une clef de 256 bits ECC a une résistance équivalente à une clef 3072 bits RSA)
- il consomme moins de CPU que RSA
- néanmoins,certains clients anciens (par exemple Windows XP, 30% d'internet) ne le prend pas en charge
- et même des applications plus récentes ont de la peine à le contrôler, il n'y a pas par exemple de version stable de GnuPG ou GnuPG v2.0 dans Debian.
- Les vendeurs de carte à puce montrent une préférence pour la prise en charge de ECC dans leurs projets futurs :
- en raison de la plus petite taille des clefs (il utilise moins de mémoire)
- consomme moins de CPU / permet des opérations plus rapides sur la puce de la carte
- ECC est considéré comme plus sûr
- US NIST soutien ECC
- Par conséquent, pour ceux qui veulent RSA 4096 bits sur des cartes à puce, il est conseiller d'examiner aussi la possibilité d'utiliser ECC
Pour ceux qui préfèrent RSA, Quelques commentaires sur le débats sur l'utilisation de clefs 2048 ou 4096 bits
Quelques cartes courantes
- Voici quelques cartes courantes disponibles à la vente en ligne.
Toutes ont des petits pièges à l'usage - voir le wiki OpenSC (liste du matériel pris en charge) pour plus de détails.
- Pour trouver des vendeurs de cartes à puce sur le web, les mots à rechercher sont les suivants : "7816" "4096" "rsa" "smartcard"
Fournisseur |
Cartes |
Nombre de bits (RSA) |
Système d'exploitation de la carte |
Initialisable avec OpenSC |
Boutique en ligne |
Aventra |
MyEID |
2048 |
JavaCard |
oui |
|
Feitian |
FTCOS / PK-01C |
2048 |
|
oui |
http://www.gooze.eu/feitian-pki-free-software-developer-card Offre de cartes libres |
Aladdin |
eToken PRO |
2048 |
JavaCard |
? |
|
Athena SCS |
IDProtect Laser |
4096 |
|
|
|
ACS |
ACOS5-64 |
4096 |
|
|
|
Gemalto (anciennement Schlumberger/Axalto) |
Cryptoflex (et eGate) |
|
|||
Gemalto |
PIV card |
2048 |
|
|
|
Gemalto |
IDcore |
2048 |
JavaCard |
|
|
Yubico |
YubiKey NEO |
2048 |
JavaCard |
|
|
ZeitControl |
BasicCard |
4096 |
BasicCard |
|
Applications
- Authentification
- Cryptage de données
- Signature électronique
Voir cette liste d'exemple d'applications pour Linux.
Périphériques pris en charge
Cette liste n'est pas exhaustive. Il y a ici essentiellement ce qu'on a pu trouver : il n'y a pas de modules pour ces périphériques... seulement des librairies dans l'espace utilisateur.
Interface |
ID |
Description |
Driver |
USB |
03F0:0824 |
HP USB Smartcard Reader |
|
USB |
03F0:1024 |
HP USB Smart Card Keyboard |
|
USB |
0416:3815 |
Winbond |
|
USB |
046a:0005 |
Cherry XX33 |
|
USB |
046a:0010 |
Cherry XX44 |
|
USB |
046a:002D |
Cherry ST1044U |
|
USB |
046a:003E |
Cherry SmartTerminal ST-2XXX |
|
USB |
046A:005B |
Cherry SmartBoard XX1X |
|
USB |
0471:040F |
Philips JCOP41V221 |
|
USB |
047B:020B |
Silitek SK-3105 |
|
USB |
04B9:1206 |
SafeNet IKey4000 |
|
USB |
04B9:1400 |
SafeNet IKey4000 |
|
USB |
04E6:5111 |
SCM SCR 331-DI |
|
USB |
04E6:5113 |
SCM SCR 333 |
|
USB |
04E6:5115 |
SCM SCR 335 |
|
USB |
04E6:5116 |
SCM SCR 3310 |
|
USB |
04E6:5117 |
SCM SCR 3320 |
|
USB |
04E6:5119 |
SCM SCR 3340 ExpressCard54 |
|
USB |
04E6:511A |
SCM SCR 3310 NTTCom |
|
USB |
04E6:511C |
Axalto Reflex USB v3 |
|
USB |
04E6:511D |
SCM SCR 3311 |
|
USB |
04E6:5120 |
SCM SCR 331-DI NTTCom |
|
USB |
04E6:5121 |
SCM SDI 010 |
|
USB |
04E6:5410 |
SCM SCR 355 |
|
USB |
04E6:E001 |
SCM SCR 331 |
|
USB |
04E6:E003 |
SCM SPR 532 |
|
USB |
0529:030b |
Aladdin Pro, eToken R1 v3.1.3.x |
|
USB |
0529:050c |
Aladdin Pro, eToken Pro v4.1.5.x |
|
USB |
0529:0514 |
Aladdin Pro, eToken Pro v4.2.5.4 |
|
USB |
058F:9520 |
Alcor Micro AU9520 |
|
USB |
067b:2303 |
Towitoko Chipdrive USB |
#libtowitoko2 broken in Debian and Ubuntu |
USB |
072F:9000 |
ACS ACR38U or ACR38T |
|
USB |
072f:90cc |
ACS ACR 38U-CCID |
|
USB |
073D:0007 |
Eutron CryptoIdentity |
|
USB |
073D:0008 |
Eutron CryptoIdentity |
|
USB |
073D:0B00 |
Eutron Digipass 860 |
|
USB |
073D:0C00 |
Eutron SIM Pocket Combo |
|
USB |
073D:0C01 |
Eutron Smart Pocket |
|
USB |
076B:1021 |
OmniKey CardMan 1021 |
|
USB |
076B:3021 |
OmniKey CardMan 3121 |
|
USB |
076B:3621 |
OmniKey CardMan 3621 |
|
USB |
076B:3821 |
OmniKey CardMan 3821 |
|
USB |
076B:4321 |
OmniKey CardMan 4321 |
|
USB |
076B:5121 |
OmniKey CardMan 5121 |
|
USB |
076B:5125 |
OmniKey CardMan 5125 |
|
USB |
076B:5321 |
OmniKey CardMan 5321 |
|
USB |
076B:6622 |
OmniKey CardMan 6121 |
|
USB |
076B:A022 |
Teo by Xiring |
|
USB |
0783:0003 |
C3PO LTC31 |
|
USB |
0783:0006 |
C3PO LTC31 |
|
USB |
0783:0007 |
C3PO TLTC2USB |
|
USB |
0783:0008 |
C3PO LTC32 USBv2 with keyboard support |
|
USB |
0783:0009 |
C3PO KBR36 |
|
USB |
0783:0010 |
C3PO LTC32 |
|
USB |
0783:9002 |
C3PO TLTC2USB |
|
USB |
08E6:0430 |
GemPC430 |
|
USB |
08E6:0432 |
GemPC432 |
|
USB |
08E6:0435 |
GemPC435 |
|
USB |
08E6:1359 |
VeriSign Secure Storage Token |
|
USB |
08E6:2202 |
Gemplus Gem e-Seal Pro |
|
USB |
08E6:3437 |
Gemplus GemPC Twin |
|
USB |
08E6:3438 |
Gemplus GemPC Key |
|
USB |
08E6:3478 |
Gemplus GemPC Pinpad |
|
USB |
08E6:3479 |
Gemplus GemCore POS Pro |
|
USB |
08E6:3480 |
Gemplus GemCore SIM Pro |
|
USB |
08E6:34EC |
Gemplus GemPC Express |
|
USB |
08E6:4433 |
Gemplus GemPC433 SL |
|
USB |
08E6:8000 |
Smart Enterprise Guardian |
|
USB |
08E6:ACE0 |
Verisign Secure Token |
|
USB |
0973:0003 |
SchlumbergerSema Cyberflex Access |
|
USB |
0982:0007 |
Covadis Alya |
|
USB |
0982:0008 |
Covadis Vega |
|
USB |
09BE:0002 |
SmartEpad |
|
USB |
09C3:0008 |
ActivCard USB Reader 2.0 |
|
USB |
09C3:0013 |
ActivCard USB Reader 3.0 |
|
USB |
09C3:0014 |
Activkey Sim |
|
USB |
0B81:0200 |
id3 CL1356D |
|
USB |
0B81:0220 |
id3 CL1356A HID |
|
USB |
0b97:7762 |
O2 Micro Oz776 |
|
USB |
0b97:7772 |
O2 Micro Oz776 |
|
USB |
0BDA:0169 |
Generic USB2.0-CRW |
|
USB |
0BDA:0161 |
MSI StarReader SMART |
|
USB |
0BDA:0165 |
Generic Smart Card Reader Interface |
|
USB |
0BDA:0169 |
Generic USB2.0-CRW |
|
USB |
0BDA:0161 |
MSI StarReader SMART |
|
USB |
0BDA:0165 |
Generic Smart Card Reader Interface |
|
USB |
0BF8:1005 |
Fujitsu Siemens SmartCard Keyboard USB 2A |
|
USB |
0BF8:1006 |
Fujitsu Siemens SmartCard USB 2A |
|
USB |
0C4B:0300 |
Reiner-SCT cyberJack pinpad(a) |
|
USB |
0D46:3001 |
KOBIL KAAN Base |
|
USB |
0D46:3002 |
KOBIL KAAN Advanced |
|
USB |
0d46:3003 |
KOBIL KAAN SIM III |
|
USB |
0d46:3010 |
KOBIL EMV CAP - SecOVID Reader III |
|
USB |
0d46:4000 |
KOBIL mIDentity |
|
USB |
0d46:4001 |
KOBIL mIDentity |
|
USB |
0DC3:1004 |
Athena ASE IIIe |
|
USB |
0DC3:1102 |
Athena ASEDrive IIIe KB |
|
USB |
0DF6:800A |
Sitecom USB simcard reader MD-010 |
|
USB |
1059:000C |
GnD CardToken 350 |
|
USB |
1059:000D |
GnD CardToken 550 |
|
USB |
15E1:2007 |
RSA SecurID |
|
USB |
17EF:1003 |
Lenovo Integrated Smart Card Reader |
|
USB |
19E7:0002 |
Charismathics token |
|
USB |
1A44:0001 |
Vasco DP905 |
|
USB |
1A74:6354 |
OCS ID-One Cosmo Card |
|
USB |
1B0E:1078 |
Blutronics Bludrive II CCID |
|
USB |
1C34:7124 |
Pro-Active CSB6 Ultimate |
|
USB |
1CF0:0001 |
Validy TokenA sl vt |
|
USB |
413c:2100 |
Dell keyboard SK-3106 |
|
USB |
413c:2101 |
Dell smart card reader keyboard |
Pilotes
libccid
Un pilote générique pour pilote USB CCID (Chip/Smart Card Interface Devices) et ICCD (Integrated Circuit(s) Card Devices). Voir les spécifications CCID et ICCD pour l'USB du groupe de travail USB.
gnupg-ccid
GnuPG a son propre pilote CCID qui communique directement avec le lecteur à travers libusb. Il prend en charge seulement les lecteurs qui ont la capacité d'auto-configuration.
Voir le pilote CCID de GnuPG pour plus de détails.
Notez bien que GnuPG prend aussi en charge les lecteurs avec PC/SC-lite.
Advanced Card Systems
Paquet : libacr38u
Lecteurs de carte à puce USB CCID d'ACS
Paquet : libacsccid1
Athena SCS (Smartcard Solutions)
Paquet : libasedrive-usb
AKS - Aladdin Knowledge Systems
Paquet : libetoken
Gemplus SA
Paquet : libgempc430
Towitoko GMBH
Paquet : libtowitoko2
MuscleCard Applet PlugIn
Aladdin eToken PRO
Périphériques non pris en charge
Seuls les périphériques pris en charge sont listés ci-dessus (dans la mesure où leur statut peut changer rapidement).
Exception : Certains vendeurs vendent des périphériques avec une plate-forme matérielle différente sous le même nom (!)... Dans ce cas, nous tentons de lister les versions non prises en charge avec l'étiquette #not-supported.