Cryptographic ID Application
Cette application a trois cas d'utilisation :
-
Attester l'état d'un ordinateur Linux
Lorsque votre ordinateur est dans un état de confiance, vous pouvez générer une clé privée cachée dans le TPM2 de votre ordinateur. Cette clé privée peut être scellée avec l'état actuel de l'ordinateur (PCRs). Ensuite, l'ordinateur ne peut signer un message avec cette clé que lorsqu'il est dans l'état correct selon les PCRs. Par exemple, vous pouvez sceller la clé contre l'état de démarrage sécurisé (PCR7). Si votre ordinateur démarre un système d'exploitation signé par un autre fournisseur, le TPM2 ne peut pas déverrouiller la clé privée. Donc, si votre ordinateur peut générer une signature correcte, il est dans cet état connu.
Vous pouvez créer une clé privée scellée et générer une telle signature avec cryptographic-id-rs. Cela est similaire à tpm2-totp mais utilise la cryptographie asymétrique. Cela signifie que vous n'avez pas besoin de garder le code de vérification secret, mais vous pouvez le partager en toute sécurité avec le monde.
-
Vérifier l'identité d'un téléphone
Vous pouvez générer une clé privée lorsque votre téléphone est dans un état de confiance. Si votre téléphone peut créer une signature correcte, vous savez qu'il s'agit du même téléphone. Étant donné que le système d'exploitation peut accéder à la clé privée, les garanties de sécurité sont beaucoup plus faibles qu'avec un TPM2. Donc, la vérification est aussi sécurisée que votre téléphone.
Si vous utilisez Graphene OS, je recommande Auditor à la place.
-
Vérifier qu'une personne possède une clé privée
Cela fonctionne comme la section ci-dessus et présente les mêmes limites. Cela peut être utilisé pour vérifier quelqu'un en personne lorsqu'il vous envoie sa clé publique à l'avance via un canal sécurisé.
