Interopérabilité des systèmes crypto

HugoTrentesaux · 26 January 2024 10:19

Pour les membres de Axiom-Team ou les admins, vous avez peut-être vu que je bosse sur un dossier de financement auprès de NGI0 : https://forum.duniter.org/t/financement-ngi0-commons-fund/11884.

Le but est de présenter un projet qui serve Duniter et corresponde au genre de projets que NGI finance : les standards (mail, XMPP, ActivityPub…), la sécurité sur plein d’aspects (signatures des paquets logiciels, reproductibilité des builds, PGP…), l’identité numérique et l’authentification (Keyoxide, IRMA, LDAP…) souvent sous l’axe de la vie privée.

J’essaye de me faire une idée de l’interopérabilité des systèmes crypto. L’idée étant : si on a une clé (mettons ed25519, algo assez répandu), pourquoi ne pas l’utiliser pour plus d’applications.

Exemple, j’ai une clé GPG ed25519 et je souhaite l’utiliser pour SSH, je n’ai qu’à faire :

gpg --export-ssh-key

Je sais que @Frederic_Renault et @aya vous avez déjà bossé là dessus. Où en êtes-vous par rapport aux clés Ğ1 ? Avez-vous réussi à les intégrer au format GPG ou SSH ? À signer vos mails et vous connecter à votre serveur avec votre clé Ğ1 ?

Idée générale : parfois ça peut être pertinent d’utiliser la clé Ğ1 elle-même pour certaines applications, parfois il faudrait plutôt utiliser une autre clé avec un mécanisme de délégation.

Exemples :

Un plugin thunderbird qui affiche un signe type “ ” quand un message est signé par une clé appartenant à la toile de confiance Ğ1. Dans ce cas ça nécessite de pouvoir utiliser directement la clé Ğ1 pour signer ses mails, de préférence directement dans l’application, donc en utilisant le standard PGP déjà en place.

Mais ce n’est pas forcément une bonne idée d’étaler sa clé Ğ1 partout car ça augmente les risques qu’elle soit interceptée par un attaquant. Donc dans d’autre cas, il faudrait plutôt avoir un mécanisme de délégation. Par exemple, signer un message avec sa clé Ǧ1 disant “cette clé GPG m’appartient, si vous recevez un mail signé par elle, vous pouvez considérer que c’est moi”. Et évidemment ça va avec une durée de validité maximum et un document de révocation en cas de vol.

Autre cas d’application, les systèmes qui n’utilisent pas de cryptographie en interne, mais qui pourraient bénéficier d’un plugin pour réaliser une tâche spécifique impliquant des clés Ğ1.

Par exemple : j’ai une instance Nextcloud que je souhaite ouvrir à toute personne ayant une identité Ğ1, avec un certain quota par identité. Il me faut un middleware qui autorise l’ouverture d’un compte sous condition de fournir un challenge signé. Et ça peut s’appliquer à tout autre outil (serveur mail, compte fediverse…). L’intérêt pour l’adminsys est qu’il n’aura pas à valider les comptes à la main et qu’il sera protégé contre le spam d’ouverture de compte. Et si jamais une identité se comporte mal (par ex publie du contenu hors de la charte de la plateforme), il pourra blacklister l’identité et sera protégé par la wot Ğ1 contre une ré-ouverture.

[pas le temps de détailler ici, je pars avec @gerard94 à cryptoxr, mais je reviens plus tard

srosset81 · 30 January 2024 11:09

Salut Hugo

Puisque tu mentionnes ActivityPub, j’en profite pour dire que j’ai l’intention de réaliser une application monnaie libre avec le framework ActivtiyPods (dont je suis le développeur principal). L’idée est de générer un hot wallet (type G1nko), et ensuite d’utiliser ActivityPub pour les différents type de transfert qu’on peut imaginer (p.ex. demande de paiement, etc).

Mon idée serait surtout que les échanges en monnaie libre puissent s’intégrer facilement avec d’autres applications. Par exemple, avec l’application Bienvenue chez moi, on pourrait imaginer que le créateur de la rencontre puisse demander un prix en June. Mais on pourrait aussi imaginer de l’intégration avec d’autres apps compatible ActivityPub type Mastodon…

(Pour info j’ai un projet similaire autour des OpenBadges: utiliser ActivityPub pour que le partage des Open Badges soit plus facile et interopérable. Voir activitybadges.org)

En ce moment je suis en plein dans la finalisation de la v2.0 (prévue ce printemps), mais je me dis que ça pourrait être intéressant de creuser le sujet à plusieurs, s’il y a de l’intérêt ? Et puis peut-être faire une demande de subvention ? ActivityPods est financé depuis cet automne par NLNet/NGI0, et en général ils aiment bien les projets qui s’appuient sur d’autres projets qu’ils financent.

Ping @1000i100 que j’ai croisé récemment et qui avait été bien intéressé par ActivityPods

PS: Désolé c’est un peu off-topic, n’hésites pas à splitter le sujet si besoin.

HugoTrentesaux · 30 January 2024 11:28

Très intéressant et tout à fait dans le sujet pour NGI0 !! Il faut que je creuse ton framework ActivityPods que je ne connaissais pas et qui pourrait effectivement être l’outil idéal pour développer les applications sociales autour de la Ǧ1 connectées avec le reste du fediverse. Reste la question des signatures crypto. Est-ce qu’on pourrait s’appeler cet aprem ? (mon numéro est dispo sur ma page web trentesaux.fr).

srosset81 · 6 April 2024 15:57

Hello @HugoTrentesaux

Comme signalé par SMS, je suis désolé de n’avoir vu ta réponse que deux mois plus tard. Je ne viens pas souvent sur le forum duniter et bizarrement je n’ai pas reçu de notif…

Je ne sais pas si tu as finalement soumis quelque chose à NLnet pour le 1er avril… en tout cas je reste à disposition pour parler de ces sujets un de ces jours. Je vais certainement créer une appli monnaie libre avec ActivityPods dans le courant de l’année.

Sébastien

HugoTrentesaux · 8 April 2024 17:16

Ah zut, désolé, je regarde pas trop les SMS. Pour avoir les notifs par mail sur le forum il faut configurer le sujet en “watching” (cf capture, par défaut quand on a répondu normalement) et activer les notification par mail dans ses paramètres.

Oui, j’ai bien soumis une proposition pour le NGI commons. Le suivi de ce projet se passe dans le cadre de l’association Axiom-Team (en privé sur ce forum, il suffit d’adhérer pour participer, c’est 1 € + 1 DU_Ğ1 par mois).

Pour l’instant je suis parti sur une solution généraliste à base d’IPFS/IPLD, je garde en tête les ActivityPods pour regarder de plus près quand je serai amené à penser l’interopérabilité ActivityPub !

On en discute au téléphone avec plaisir

srosset81 · 12 April 2024 15:21

Ah les difficultés de la communication ! Surtout entre développeurs !

Je viens d’adhérer

Oui n’hésites pas à me relancer quand ce sera pertinent pour toi. On a aussi un espace Matrix si tu utilises cet outil. Moi aussi je penserais à toi lorsque je me mettrai plus sérieusement à ce projet (lorsque j’aurais un peu de temps cerveau disponible, peut-être cet été). L’idéal serait sans doute que je vienne une fois à une RML, j’ai failli me joindre à la dernière !