Le mot de passe correspond à une authentification à 1 facteur (ce que je sais). Mais il est aussi possible de renforcer cette authentification en une authentification à 2 facteurs (ce que je possède et ce que je sais). Comment? Et bien tout simplement en utilisant une carte à puce.
Avec une carte à puce pour s'authentifier il est nécessaire d'avoir la carte à puce (ce que je possède) et de connaître le PIN code (ce que je sais). Ce type d'authentification correspond à ce que l'on appelle une authentification forte.
Dans l'article précédent nous avions utilisé TrueCrypt. Eh bien, TrueCrypt permet également d'utiliser une carte à puce à condition que l'on puisse communiquer avec elle en utilisant le protocole PKCS#11.
Qu'est-ce que PKCS#11?
PKCS#11 est une API définissant une interface générique pour périphérique cryptographique. La carte à puce est un périphérique cryptographique et les fabricants de carte ont implémenté cette API pour communiquer avec leurs propres cartes.
C'est la carte à puce de Gemalto (et plus précisément la carte .NET) que nous allons utiliser pour nous authentifier avec TrueCrypt.
Que faire pour communiquer avec la carte à puce Gemalto .NET en PKCS#11?
Il est nécessaire de se procurer une carte à puce (voir le site Web Store Gemalto à l'adresse suivante: http://store.gemalto.com/)
Puis on doit installer la librairie PKCS#11 que l'on peut télécharger à l'adresse suivante:
.NET PKCS#11 Library for Windows OS. Vous trouverez également à l'adresse suivante une documentation qui décrit comment utiliser la carte .NET dans un environnement Windows en utilisant PKCS#11 (Gemalto .NET Smart Cards PKCS#11 Library for Windows User Guide).La librairie PKCS#11 est stockée sur la clef USB. Ce qui nous évite de devoir installer la librairie PKCS#11 sur chaque machine.
Comment paramétrer TrueCrypt pour utiliser une carte à puce ?
Comme dans l'article précédent, le fichier "protégé" est stocké sur la clef USB.
Vous trouverez ci-dessous les différentes étapes à suivre pour configurer TrueCrypt:
- Settings / Security Tokens pour ajouter un accès PKCS#11à la carte à puce. Il est nécessaire de préciser le chemin permettant d'accéder à la librairie PKCS#11 de la carte Gemalto .NET
- Volume password. On doit sélectionner "Keyfiles" pour permettre l'utilisation de la carte à puce. Le choix du mot de passe est alors facultatif.
- Keyfiles... / Generate Random Keyfile... permet de générer un fichier au contenu aléatoire que nous allons ensuite stocker dans la carte à puce. C'est ce fichier qui sera nécessaire pour ouvrir le disque "protégé". L'accès à ce fichier ne sera permis que par la saisie d'un code PIN.
- Keyfiles... / Add token Files permet de stocker le fichier sur la carte à puce. Dans notre cas le nom du fichier est smartcard_keyfile. Ce fichier doit ensuite être sélectionné pour apparaître dans la liste Keyfile sous la forme token://slot/0/file/smartcard_keyfile.
Comment utiliser votre disque "protégé" avec PStart?
Vous trouverez ci-dessous les différentes étapes à suivre pour configurer PStart:
- Ouverture de votre disque "protégé" par carte à puce en utilisant les commandes en ligne de TrueCrypt. Il est nécessaire de configurer PStart pour ouvrir le disque "protégé" en utilisant la commande en ligne de TrueCrypt suivante:
TrueCrypt\TrueCrypt.exe /q /v smartcard_container /e /k token://slot/0/file/smartcard_keyfile /tokenlib \TrueCrypt\PKCS114NET\gtop11dotnet.dll
avec:
/v smartcard_container donne le nom du fichier "protégé" correspondant au disque
/tokenlib indique l'emplacement de la librairie PKCS#11 stockée sur la clef USB
/k indique l'emplacement du keyfile appelé smartcard_keyfile et stocké sur une carte à puce
Pour plus d'informations sur la configuration de PStart vous pouvez vous référer à l'article suivant: Transformer votre clef USB en bureau "mobile"! .
- Saisie du PIN code pour permettre l'accès au disque "protégé"
- Fermeture de votre disque "protégé"
Il est nécessaire de configurer PStart pour fermer le disque "protégé" en utilisant la commande en ligne de TrueCrypt suivante:
TrueCrypt\TrueCrypt.exe /q /d /f /s
Note: TrueCrypt en mode portable nécessite que l'utilisateur ait les droits "administrateur" sur sa machine. L'alternative consiste à installer TrueCrypt directement sur la machine de l'utilisateur.
Source: TrueCrypt Encryption Software est téléchargeable sur http://www.truecrypt.org/downloads. PStart est téléchargeable sur http://www.pegtop.de/start/.
Aucun commentaire:
Enregistrer un commentaire