SSH Key PassCypher HSM PGP fournit une chaîne souveraine : génération locale, encapsulation OpenPGP (AES-256 + KDF durci) et passphrase injectée via PassCypher NFC HSM ou saisie clavier. Cette méthode zéro-clé-en-clair permet des passphrases longues (≥256 bits) injectées via BLE-HID pour éliminer les risques de keyloggers lors d’accès à VPS Debian, macOS ou Windows.
Résumé express — Une authentification SSH souveraine pour tous les OS
⮞ En bref
Lecture rapide (≈ 4 minutes) : générez votre paire SSH dans PassCypher HSM PGP, exportez la seule clé publique vers le serveur, conservez la privée dans un conteneur OpenPGP chiffré (*.key.gpg) et déchiffrez-la éphémèrement via une passphrase fournie soit manuellement soit injectée par PassCypher NFC (émulateur BLE-HID). Avantage concret : zéro clé privée en clair sur disque, copies chiffrées sûres et protection contre les keyloggers.
⚙ Concept clé
Génération dans HSM → encapsulation OpenPGP (AES-256 + KDF durci) → export publique (OpenSSH .pub) → stockage/duplication sûrs de la privée chiffrée (*.key.gpg) → déchiffrement éphémère local par passphrase injectée (NFC / BLE-HID) → connexion SSH.
Interopérabilité
Compatible : Debian / Ubuntu / Fedora / FreeBSD / macOS / Windows (WSL, PuTTY) / Android (Termux, clients SSH) / iOS (Blink, etc.). Format OpenSSH natif = portabilité maximale.
Paramètres de lecture
Temps de lecture résumé express : ≈ 4 minutes
Temps de lecture résumé avancé : ≈ 6 minutes
Temps de lecture chronique complète : ≈ 25 minutes
Dernière mise à jour : 2025-10-02
Niveau de complexité : Avancé / Expert
Densité technique : ≈ 73 %
Langues disponibles : CAT · EN · ES · FR
Spécificité linguistique : Lexique souverain — densité technique élevée
Ordre de lecture : Résumé → Architecture → Sécurité → Flux → Rotation → EviSSH → Ressources
Accessibilité : Optimisé pour lecteurs d’écran — ancres sémantiques incluses
Type éditorial : Chronique stratégique — Sécurité numérique ·Actualités techniques
À propos de l’auteur : Jacques Gascuel, inventeur et fondateur de Freemindtronic Andorra, spécialiste des technologies HSM NFC, de la cryptographie embarquée et des architectures zero trust. Ses travaux visent la souveraineté numérique et la préparation aux ruptures post-quantiques.
Résumé avancé — Architecture et flux SSH sécurisé via PassCypher HSM PGP
⮞ En détail
Flux opérationnel : Génération (PassCypher HSM PGP — recommandation ed25519) → Encapsulation (OpenPGP container : AES-256 + MDC, KDF durci) → Export publique (.pub OpenSSH) → Stockage de la privée chiffrée (*.key.gpg) — duplications sûres possibles → Usage (décryptage éphémère local déclenché par passphrase fournie par le HSM ou saisie) → Connexion SSH (ssh -i ~/.ssh/id_* -p [port]).
Pourquoi sécuriser SSH avec un HSM
Les clés SSH non chiffrées sont exposées au vol, aux copies et aux sauvegardes non souhaitées. PassCypher change le paradigme : la clé privée est encapsulée dans un conteneur chiffré et ne peut être utilisée qu’après déchiffrement contrôlé. L’injection matérielle de la passphrase (NFC / BLE-HID) supprime le besoin de taper la passphrase sur un clavier exposé aux keyloggers.
Architecture HSM PGP — éléments techniques
- Conteneur OpenPGP : AES-256 (CBC ou GCM selon implémentation) + MDC pour intégrité ;
- KDF durci : PBKDF2 (200k+) ou Argon2id (préféré si disponible) ;
- Passphrase : génération aléatoire dans le HSM (recommandation ≥ 256 bits pour posture « PQ-aware ») ;
- Injection : NFC pour déclenchement + émulateur BLE-HID pour saisie automatique et anti-keylogger ;
- Duplication sûre : fichiers
*.key.gpg
copiables (EviKey, NAS, QR imprimé) — sécurisés tant que la passphrase/KDF restent protégés.
Alerte opérationnelle — Appairage HID BLE :
Ne jamais utiliser le mode d’appairage « Just Works » en Bluetooth Low Energy.
Privilégier impérativement le mode Secure Connections avec chiffrement AES-128 CBC et **authentification par code numérique** (comparaison ou saisie PIN).
Ce paramètre verrouille l’appairage non authentifié et neutralise tout risque d’attaque MITM lors de l’échange initial.
In sovereign cybersecurity ↑ Chronique appartenant aux rubriques Digital Security et Tech Fixes & Security Solutions. Voir les dossiers connexes : EviSSH — gestion SSH HSM, EviKey NFC HSM, SSH VPS Sécurisé — PassCypher HSM, PassCypher HSM PGP — note technique.
Utiliser SSH Key PassCypher HSM PGP sur un VPS Debian et au-delà
⮞ TL;DR
Cette section détaille la mise en œuvre concrète : génération d’une paire SSH via PassCypher HSM PGP, exporte dans dossier comprenant la clé privé sécurisée (*.key.gpg) avec un mot de passe et sa clé publique. Lors de l’utilisation de la clé privé depuis un support de stockage même non sécurisé, le déchiffrement est réalisé de manière éphémère en mémoire volatile (RAM). La passphrase/mot de passe de la clé priver est obligatoire. Elle peut etre saisie au clavier ou avantageusement injecte depuis PassCypher NFC HSM via son émulateur de clavier Bluetooth sécurisé via un chiffrement AES-128 CBC (BLE-HID). Cette méthode, fluide et sans rien saisir au clavier, permet une authentification SSH totalement souveraine sur VPS Debian (OVH) et autres environnements Linux, macOS ou Windows. Elle inclut également les bonnes pratiques de durcissement serveur (sshd_config, iptables, Fail2ban) et d’audit (journaux, rotations de clés, ledger).
EviSSH — Moteur embarqué dans PassCypher HSM PGP
EviSSH est la technologie embarquée dans PassCypher HSM PGP dédiée à la génération, la gestion et le stockage souverain des clés SSH.
Elle s’appuie sur le moteur EviEngine pour exécuter localement les opérations cryptographiques nécessaires à la création d’une paire de clés SSH et à son encapsulation chiffrée.
Aucune donnée, clé ni métadonnée n’est transmise à un serveur ou service cloud : toutes les opérations sont réalisées localement, côté client.
Rôle et fonctionnement
- Interface intégrée — EviSSH est accessible directement depuis l’extension web PassCypher HSM PGP.
- Génération locale — Les paires de clés SSH sont générées à l’aide de Git for Windows (ou de l’équivalent natif sous Linux/macOS) via l’orchestration d’EviEngine.
- Encapsulation — La clé privée est automatiquement encapsulée dans un conteneur OpenPGP chiffré (AES-256 + KDF durci) par PassCypher HSM PGP.
- Stockage souverain — L’utilisateur choisit librement l’emplacement d’enregistrement : local (dossier .ssh), EviKey NFC HSM, NAS ou support externe.
- Interopérabilité — Les clés publiques sont exportées au format OpenSSH standard, pleinement compatibles avec Debian, Ubuntu, macOS, Windows, Android et iOS.
EviEngine — cœur d’orchestration
EviEngine assure la communication entre le navigateur, le système et les composants matériels HSM.
Il orchestre la génération de clés via Git, gère les licences d’extension PassCypher et assure l’exécution locale sans serveur.
Chaque action est réalisée directement sur la machine de l’utilisateur, garantissant la souveraineté totale du processus.
Intégration HSM
- PassCypher NFC HSM — Injection matérielle de la passphrase via canal BLE-HID chiffré (AES-128 CBC).
- EviKey NFC HSM — Stockage matériel sécurisé des fichiers de clés encapsulées (
*.key.gpg
), protégés par la passphrase définie dans PassCypher.
Note : EviSSH n’est pas un outil séparé ; c’est une brique native de PassCypher HSM PGP reposant sur EviEngine.
Son rôle est d’unifier la génération, la gestion et la souveraineté du cycle de vie des clés SSH dans un environnement 100 % local et auditable.
Génération d’une clé SSH souveraine avec PassCypher HSM PGP
La génération d’une clé SSH est effectuée par le module EviSSH intégré à PassCypher HSM PGP, via le moteur EviEngine. Cette opération repose sur Git pour la création native de la paire de clés SSH, immédiatement encapsulée et chiffrée par PassCypher HSM PGP. Aucune donnée n’est transmise à un service tiers : tout le processus est exécuté localement.
Sélection d’algorithme — Choix cryptographique dans l’extension PassCypher
L’utilisateur sélectionne l’algorithme et la taille de clé directement depuis l’interface de l’extension web PassCypher HSM PGP. Les options disponibles sont regroupées par famille :
- RSA : 2048 bits · 3072 bits · 4096 bits
- ECDSA : 256 bits (p-256) · 384 bits (p-384) · 521 bits (p-521)
- EdDSA : ed25519 — recommandé pour sa robustesse, sa compacité et sa compatibilité native avec OpenSSH
Étapes de génération — Processus transparent via l’extension web
- Ouvrir le module SSH dans PassCypher HSM PGP.
- Choisir un nom de clé (label) unique, par ex.
pc-hsm-pgp-ssh-key
. - Sélectionner l’algorithme souhaité (
ed25519
oursa-4096
selon le cas). - Définir la passphrase : saisie manuellement par l’utilisateur ou injectée via PassCypher NFC HSM avec son émulateur BLE-HID sécurisé AES-128 CBC). Cette passphrase est celle utilisée pour chiffrer la clé privée encapsulée par PassCypher HSM PGP.
- Valider : EviSSH génère la paire SSH via Git, puis PassCypher HSM PGP chiffre la clé privée. Les fichiers sont automatiquement enregistrés dans le dossier défini par l’utilisateur (par défaut :
~/.ssh/
ou sur un support matériel tel qu’un EviKey NFC HSM).
Résultat — Artefacts exportés
id_ed25519.pub
— la clé publique, à copier sur le serveur distant.id_ed25519.key.gpg
— la clé privée SSH chiffrée par PassCypher HSM PGP (conteneur OpenPGP AES-256 + KDF Argon2id/PBKDF2).
La passphrase, de préférence ≥256 bits d’entropie, peut être saisie depuis la mémoire humaine ou injectée automatiquement depuis le HSM via BLE-HID — évitant toute saisie sur un clavier exposé aux keyloggers.
Exemple réel — Clé privée RSA 4096 bits protégée par passphrase
Même une clé RSA 4096 bits, si stockée en clair, reste vulnérable. Dans PassCypher HSM PGP, elle est encapsulée et protégée par une passphrase de 141 bits d’entropie par défaut, rendant toute exfiltration ou brute-force mathématiquement irréaliste.
Voici à quoi ressemble une clé privée SSH RSA 4096 bits encapsulée au format OpenSSH, chiffrée par passphrase :
-----BEGIN OPENSSH PRIVATE KEY-----
b3BlbnNzaC1rZXktdjEAAAAACmFlczI1Ni1jdHIAAAAGYmNyeXB0AAAAGAAAABA+ghFLmp
Oiw0Z3A4NKn2gHAAAAGAAAAAEAAAIXAAAAB3NzaC1yc2EAAAADAQABAAACAQDK4d0ntIeb
... (contenu tronqué pour lisibilité) ...
55XA==
-----END OPENSSH PRIVATE KEY-----
BEGIN OPENSSH PRIVATE KEY
, suivie d’un bloc base64 chiffré. Le champ b3BlbnNzaC1rZXktdjE=
indique une version OpenSSH v1 avec chiffrement activé. Le mot-clé aes256-ctr
ou aes256-cbc
est implicite selon la configuration du moteur.Intégration sur VPS (ex. OVH Debian 12)
L’intégration d’une clé SSH PassCypher HSM PGP à un VPS s’effectue en insérant
la clé publique (.pub
) dans le fichier authorized_keys
du serveur.
OVH permet de le faire directement lors de la création du VPS via son tableau de bord.
Insertion manuelle post-déploiement
ssh -p 49152 debian@IPVPS "mkdir -p ~/.ssh && chmod 700 ~/.ssh && cat >> ~/.ssh/authorized_keys" < id_ed25519.pub
Ensuite, déchiffrez localement la clé privée depuis son conteneur chiffré :
gpg --decrypt --output ~/.ssh/id_ed25519 ~/.ssh/id_ed25519.key.gpg
chmod 600 ~/.ssh/id_ed25519
ssh -i ~/.ssh/id_ed25519 -p 49152 debian@IPVPS
Le fichier déchiffré n’existe que temporairement : il peut être auto-effacé à la fin de la session SSH,
ou conservé dans la RAM si l’environnement est chiffré (tmpfs). Cette approche « zero-clear-text » garantit
qu’aucune donnée sensible ne subsiste sur disque.
aucune frappe n’est capturable. Même sur une machine compromise, la clé privée reste inutilisable sans l’accès physique
au HSM et à la session d’appairage sécurisée.
Compatibilité multi-OS — Authentification universelle
Le format OpenSSH
utilisé par PassCypher HSM PGP assure une compatibilité complète
avec les principaux systèmes d’exploitation. L’approche souveraine repose sur des standards ouverts
sans dépendance cloud ni service tiers.
OS | Client SSH | Particularités |
---|---|---|
Debian / Ubuntu | OpenSSH | Support natif de la clé privée chiffrée. |
macOS | OpenSSH intégré | Gestion par ssh-add ou injection BLE-HID. |
Windows 10/11 | PuTTY / OpenSSH | Conversion facultative via PuTTYgen . |
Android | Termux / JuiceSSH | Support injection HID (smartphone couplé NFC). |
iOS | Blink Shell | Injection BLE-HID automatique (si appairage valide). |
Durcissement et bonnes pratiques SSH
Même avec une clé SSH PassCypher HSM PGP, la sécurité globale dépend du durcissement serveur.
Voici les recommandations clés pour une posture souveraine :
- Désactiver l’accès root :
PermitRootLogin no
- Interdire les connexions par mot de passe :
PasswordAuthentication no
- Limiter les utilisateurs SSH :
AllowUsers admin
- Changer le port SSH : (ex.
49152
) et bloquer le 22 par firewall - Configurer UFW/iptables : politique
DROP
par défaut + exceptions ciblées - Installer Fail2ban : (maxretry=3, bantime=30m) pour bloquer le brute-force
- Activer les journaux d’audit :
journalctl -u ssh
, rotation et ledger des connexions
garantissant une traçabilité totale des accès et un contrôle des identités machine.
FIDO vs SSH — Deux paradigmes, deux postures
Dans le paysage actuel de la cybersécurité, la confusion entre FIDO2/WebAuthn et SSH persiste, alors que ces technologies reposent sur des modèles d’authentification et de confiance fondamentalement différents.
FIDO sécurise une identité humaine dans le navigateur. SSH, lui, sécurise une identité machine dans le réseau.
Leur finalité, leur surface d’exposition et leur posture souveraine s’opposent dans la conception même.
FIDO2 / WebAuthn — Authentification centrée sur l’humain
- ↳ Conçu pour authentifier un utilisateur auprès d’un service Web (navigateur ↔ serveur via WebAuthn) ;
- ↳ La clé privée reste enfermée dans un authenticator matériel (YubiKey, TPM, Secure Enclave, etc.) ;
- ↳ Chaque site ou domaine crée une paire de clés unique — isolation des identités ;
- ↳ Dépendance à un serveur d’authentification (RP) et à l’écosystème navigateur ;
- ↳ Présence humaine obligatoire (biométrie, geste, contact) ;
- ↳ Clé non exportable : excellente sécurité, mais portabilité quasi nulle ;
- ↳ Pas de journal d’audit local ni de rotation autonome.
SSH — Authentification centrée sur la machine
- ↳ Conçu pour authentifier un système client auprès d’un hôte distant (VPS, serveur, cluster) ;
- ↳ Utilise une clé persistante, réutilisable sur plusieurs hôtes selon la politique de confiance ;
- ↳ Fonctionne sans navigateur : protocole SSH natif, échanges chiffrés machine ↔ machine ;
- ↳ Permet la duplication et la sauvegarde des clés (si chiffrées correctement) ;
- ↳ L’authentification repose sur une passphrase ou sur un HSM matériel (injection ou saisie locale) ;
- ↳ Journalisation native possible (logs SSH), rotation et révocation maîtrisées ;
- ↳ Indépendant du cloud, sans serveur d’identité tiers.
⮞ Ce que fait PassCypher HSM PGP avec EviSSH
La solution SSH Key PassCypher HSM PGP étend le modèle SSH classique en y intégrant des éléments de
sécurisation matérielle et de traçabilité analogue à FIDO, mais dans une approche souveraine et sans cloud :
- → Génération locale de la paire SSH via PassCypher Engine / EviSSH ;
- → Clé privée encapsulée dans un conteneur OpenPGP (AES-256 + KDF Argon2id/PBKDF2) ;
- → Clé toujours chiffrée sur disque, jamais en clair : le déchiffrement est éphémère, en mémoire volatile uniquement ;
- → Injection matérielle de la passphrase via PassCypher NFC HSM ou émulateur BLE-HID (canal AES-128 CBC sécurisé) ;
- → Présence physique facultative mais possible : le NFC HSM devient l’équivalent d’un “geste FIDO” souverain ;
- → Compatibilité totale multi-OS : Linux, macOS, Windows, Android, iOS ;
- → Aucune dépendance à un navigateur, un serveur WebAuthn, ou un compte cloud ;
- → Orchestration, rotation et sauvegarde via EviSSH pour usage industriel et défense.
Synthèse stratégique
- FIDO2 : modèle cloud-centré et non-exportable — pour les services Web, mais limité hors navigateur ;
- SSH PassCypher : modèle souverain et portable — idéal pour les accès serveurs, VPS, ou environnements critiques ;
- PassCypher combine la sécurité matérielle d’un authenticator et la souplesse du SSH natif ;
- Les passphrases (≥ 256 bits) injectées via BLE-HID assurent une résistance post-quantique symétrique ;
- Les journaux d’audit et la rotation de clés offrent une traçabilité locale — hors des clouds FIDO ;
- Une même finalité : la confiance numérique, mais deux chemins : dépendance vs souveraineté.
Note comparative :
Le canal BLE-HID chiffré AES-128 CBC de PassCypher HSM PGP offre un niveau d’assurance équivalent à un authenticator FIDO2 niveau L2, mais sans dépendance au navigateur ni serveur d’identité. Cette approche hybride, matérielle et logicielle, fait de PassCypher une solution SSH véritablement post-WebAuthn.
Modèle de menace ⇢ comprendre les risques liés à SSH
Les connexions SSH classiques reposent sur des fichiers locaux contenant des clés privées.
Sans protection matérielle, ces fichiers peuvent être copiés, exfiltrés ou utilisés à distance.
Le modèle souverain mis en œuvre par SSH Key PassCypher HSM PGP vise à neutraliser
ces risques par une approche dite zéro-clé-en-clair et une segmentation stricte des secrets.
Menaces identifiées
- ▪ Vol de clé privée → exfiltration du fichier
~/.ssh/id_*
ou de ses copies cloud. - ▪ Dump mémoire → récupération en RAM d’une clé temporairement déchiffrée.
- ▪ Keylogger → capture de la passphrase lors d’une saisie clavier classique.
- ▪ MITM BLE → interception du signal lors d’un appairage “Just Works”.
- ▪ Sauvegarde non chiffrée → duplication accidentelle du conteneur sans contrôle d’accès.
- ▪ Erreur humaine → réutilisation ou diffusion non intentionnelle d’une clé.
⮞ Observation : la plupart des attaques réussies exploitent un seul facteur :
la présence d’une clé privée en clair sur disque, en mémoire ou pendant la saisie.
Mécanismes de protection techniques — OpenPGP, KDF et BLE-HID
Le modèle SSH Key PassCypher HSM PGP repose sur une défense en profondeur articulée autour de trois piliers : chiffrement asymétrique robuste, dérivation de clé renforcée et injection physique sécurisée. Ces mécanismes agissent conjointement pour garantir qu’aucune clé privée ne puisse être exfiltrée, même sur un poste compromis.
Conteneur OpenPGP et intégrité
Le fichier .key.gpg
encapsule la clé privée OpenSSH dans un conteneur OpenPGP chiffré :
- Chiffrement : AES-256 (CBC ou GCM selon implémentation) ;
- Intégrité : MDC (Modification Detection Code) actif ;
- Salt unique : généré par le moteur lors du chiffrement initial ;
- Compression : optionnelle, pour réduire les empreintes mémoire.
Dérivation de clé (KDF) et résistance symétrique
La clé de session OpenPGP découle d’une passphrase issue du HSM via :
- Argon2id : configuration par défaut (m=512 MB, t=3, p=4), résistant aux attaques GPU ;
- Fallback PBKDF2 : 250 000 itérations SHA-512 si Argon2id indisponible ;
- Posture PQ-aware : entropie ≥ 256 bits → résistance symétrique équivalente à 2¹²⁸ (Grover).
⚠ Cette protection ne rend pas le système « post-quantum proof » : seules les primitives asymétriques PQC (CRYSTALS-Dilithium, Kyber) le permettront à terme.
Canal d’injection BLE-HID — Sécurisation de la passphrase
La passphrase est transmise via un canal Bluetooth Low Energy HID, émulant un clavier sécurisé.
- Appairage sécurisé : mode Secure Connections avec code PIN ou authentification par code numérique obligatoire, et bonding activé pour verrouiller l’association.
- Chiffrement des communications BLE : AES-128 CBC, appliqué au niveau de l’application HID.
- Stockage de la première clé AES-128 CBC : conservée dans une enclave électronique sécurisée intégrée à l’émulateur de clavier Bluetooth USB.
- Stockage de la seconde clé AES-128 CBC : protégée dans le Keystore Android (Android ≥ 10), via l’application PassCypher NFC HSM embarquée dans l’application Android Freemindtronic.
- Risque résiduel : une vulnérabilité MITM subsiste si le mode d’appairage « Just-Works » est autorisé — ce mode est strictement interdit dans la posture souveraine.
Toujours forcer le mode Secure Connections, exiger le bonding, vérifier le hash de clé BLE, et purger les appareils appairés après usage en environnement critique.
⮞ Summary : La combinaison OpenPGP + Argon2id + BLE-HID AES-128 constitue un écosystème cohérent : les secrets ne quittent jamais le périmètre chiffré, et le vecteur d’injection reste matériellement contrôlé.
Rotation et révocation — cycle de vie des clés SSH souveraines
La rotation d’une clé SSH Key PassCypher HSM PGP ne repose pas sur une commande de rotation de PassCypher Engine. Elle s’effectue selon un processus opératoire en quatre temps : régénérer, déployer, valider, retirer. Le tout en maintenant l’approche zero-clear-key (clé privée toujours chiffrée au repos, déverrouillage éphémère en RAM).
1) Régénération (nouvelle paire)
Depuis l’interface EviSSH intégrée à PassCypher HSM PGP, l’utilisateur régénère une paire de clés SSH via Git, encapsulée et chiffrée automatiquement par le moteur PassCypher. Voici comment :
- Sélectionner l’algorithme souhaité (recommandé :
ed25519
pour robustesse et compatibilité ;rsa-4096
en cas de contrainte spécifique). - Définir un label distinctif pour la paire (ex. :
pc-hsm-ssh-2025-10
) afin de faciliter la traçabilité et la révocation future. - La clé privée est encapsulée automatiquement dans un conteneur OpenPGP chiffré (
*.key.gpg
) via AES-256 CBC et KDF durci (Argon2id ou PBKDF2 selon configuration). - La clé publique (
*.pub
) est générée séparément et annotée avec un commentaire unique (ex. :pc-hsm-ssh-2025-10
) pour identification dansauthorized_keys
.
2) Déploiement contrôlé (ajout sans coupure)
Ajouter la nouvelle .pub
dans ~/.ssh/authorized_keys
sur chaque serveur, sans supprimer l’ancienne (phase de chevauchement).
# Exemple de déploiement “append-only” (port 49152, utilisateur debian)
scp -P 49152 ~/.ssh/id_ed25519_2025-10.pub debian@IPVPS:/tmp/newkey.pub
ssh -p 49152 debian@IPVPS 'umask 077; mkdir -p ~/.ssh; touch ~/.ssh/authorized_keys \
&& grep -qxF -f /tmp/newkey.pub ~/.ssh/authorized_keys || cat /tmp/newkey.pub >> ~/.ssh/authorized_keys \
&& rm -f /tmp/newkey.pub && chmod 600 ~/.ssh/authorized_keys'
3) Validation (canary)
Tester la connexion avec la nouvelle clé (passphrase injectée via BLE-HID) :
ssh -o IdentitiesOnly=yes -i ~/.ssh/id_ed25519_2025-10 -p 49152 debian@IPVPS
Conserver les deux clés en parallèle sur une période courte (T + 24–72 h) pour absorber les aléas opérationnels.
4) Retrait de l’ancienne clé (révocation effective)
Retirer l’ancienne ligne d’authorized_keys
par commentaire/label :
# Exemple : suppression par label de fin de ligne
ssh -p 49152 debian@IPVPS "sed -i.bak '/ pc-hsm-ssh-2025-04$/d' ~/.ssh/authorized_keys"
Répéter sur l’ensemble des hôtes cibles (bastion / nœuds). Archiver les fichiers authorized_keys.bak
pour traçabilité.
Journal d’audit (append-only, côté admin)
Tenir un registre horodaté des opérations (empreintes, labels, hôtes) — simple, lisible, diff-able.
mkdir -p ~/audit && touch ~/audit/ssh-keys-ledger.tsv
printf "%s\tNEW\t%s\t%s\n" "$(date -Iseconds)" \
"$(ssh-keygen -lf ~/.ssh/id_ed25519_2025-10.pub | awk '{print $2}')" "pc-hsm-ssh-2025-10" \
>> ~/audit/ssh-keys-ledger.tsv
printf "%s\tREVOKE\t%s\t%s\n" "$(date -Iseconds)" \
"$(ssh-keygen -lf ~/.ssh/id_ed25519_2025-04.pub | awk '{print $2}')" "pc-hsm-ssh-2025-04" \
>> ~/audit/ssh-keys-ledger.tsv
La rotation est procédurale : on ne “rotate” pas dans PassCypher Engine par commande, on régénère une nouvelle paire, on déploie la clé publique, on valide l’accès, puis on retire l’ancienne — le tout tracé dans un journal d’audit local. L’utilisateur n’a jamais à interagir avec le moteur : tout est piloté via l’extension web PassCypher HSM PGP.
Script d’orchestration (multi-hôtes, sans outil tiers)
#!/usr/bin/env bash
set -euo pipefail
PORT=49152
USER=debian
NEWPUB="$HOME/.ssh/id_ed25519_2025-10.pub"
OLD_LABEL="pc-hsm-ssh-2025-04"
while read -r HOST; do
echo "[*] $HOST :: install new key"
scp -P "$PORT" "$NEWPUB" "$USER@$HOST:/tmp/newkey.pub"
ssh -p "$PORT" "$USER@$HOST" '
umask 077
mkdir -p ~/.ssh
touch ~/.ssh/authorized_keys
grep -qxF -f /tmp/newkey.pub ~/.ssh/authorized_keys || cat /tmp/newkey.pub >> ~/.ssh/authorized_keys
rm -f /tmp/newkey.pub
chmod 600 ~/.ssh/authorized_keys
'
done < hosts.txt
echo "[] Validate the new key on all hosts, then retire the old key:"
while read -r HOST; do
echo "[] $HOST :: remove old key by label"
ssh -p "$PORT" "$USER@$HOST" "sed -i.bak '/ ${OLD_LABEL}$/d' ~/.ssh/authorized_keys"
done < hosts.txt
Flux opérationnel — de la génération à l’authentification (SSH Key PassCypher HSM PGP)
On entend par flux opérationnel l’étape et la façon opérationnelle, de réaliser le flux réel utilisé par PassCypher Engine + PassCypher HSM PGP et éventuelement PassCypher NFC HSM et son l’émulateur de clavier bluetooth (BLE-HID) pour produire, protéger, transporter et utiliser une clé SSH dont la clé privée reste chiffrée et n’est déverrouillée qu’éphémèrement en RAM.
⮞ Résumé en une ligne
Génération → clé privée OpenSSH protégée par passphrase → export .pub → stockage de la clé privée chiffrée sur le support souhaité → injection sécurisée de la passphrase (PassCypher NFC HSM via BLE-HID ou saisie) → déverrouillage éphémère en mémoire → connexion SSH → purge immédiate.
Étapes détaillées (flow)
Génération (EviSSH intégré à PassCypher HSM PGP, orchestré par PassCypher Engine)
▸ L’utilisateur lance PassCypher Engine / extension → « SSH Key Generator ».
▸ Choix de l’algorithme (recommandé : ed25519
).
▸ Définit un label et la méthode de passphrase (générée aléatoirement par le HSM ou fournie par l’utilisateur).
▸ Résultat : une paire → id_ed25519
(clé privée OpenSSH chiffrée par passphrase) + id_ed25519.pub
(clé publique OpenSSH).
▸ EviSSH, via PassCypher Engine, propose l’emplacement d’enregistrement (dossier local, EviKey, NAS). Il n’effectue aucun déverrouillage automatique.
Export & stockage
▸ Exportez uniquement la clé publique (.pub) vers le serveur (ex. : OVH cloud panel ou copie manuelle dans ~/.ssh/authorized_keys
).
▸ Stockez la clé privée chiffrée (bloc PEM OpenSSH protégé par passphrase) où vous voulez : EviKey NFC, NAS chiffré, clé USB chiffrée. Le fichier reste chiffré au repos.
Préparation client avant usage
▸ Copier (si nécessaire) la clé privée chiffrée sur la machine client dans un dossier contrôlé : ex. ~/secure/id_ed25519
.
▸ Créer un tmpfs pour réduire la persistance sur disque si un déchiffrement temporaire est nécessaire :
sudo mkdir -p /mnt/ssh-tmp && sudo mount -t tmpfs -o mode=700 tmpfs /mnt/ssh-tmp
▸ S’assurer que le swap est chiffré ou désactivé si possible : sudo swapoff -a
.
Injection de la passphrase (PassCypher NFC HSM → BLE-HID)
▸ L’utilisateur déclenche l’injection : rapprocher le PassCypher NFC HSM du smartphone/appairer le BLE HID si non déjà apparié.
▸ IMPORTANT — sécurité BLE : n’autorisez pas le pairing « Just-Works ». Exiger Secure Connections (Numeric Comparison / authentification par code numérique) ou pairing par PIN ; forcer bonding et stockage sécurisé de la clé d’appairage. Le canal BLE transporte des paquets chiffrés (AES-128 CBC dans l’implémentation actuelle du HID) : le dispositif présente la passphrase au système client comme une saisie clavier virtuelle, sans frappe physique.
Déverrouillage éphémère en RAM
▸ L’invite OpenSSH demande la passphrase ; PassCypher BLE-HID injecte la passphrase dans la boîte de dialogue (ou dans pinentry).
▸ Le client OpenSSH déchiffre la clé privée en mémoire volatile (RAM) uniquement pour l’utilisation immédiate. Le fichier de clé privée encapsulé (*.key.gpg
) reste inchangé et chiffré ; seul son contenu est déchiffré en mémoire volatile (RAM) pour la session SSH.
▸ Vérifier permissions : chmod 600 /mnt/ssh-tmp/id_ed25519
si un fichier temporaire est créé. Préférer rester en RAM (pinentry/ssh prompt) plutôt que d’écrire sur disque.
Authentification SSH
▸ L’appel SSH utilise la clé déverrouillée en RAM :
ssh -i /chemin/vers/id_ed25519 -p 49152 user@IPVPS
▸ Après l’authentification, la clé en mémoire doit être purgée immédiatement (cf. point suivant).
Purge & post-usage
▸ Si une copie temporaire (chiffrée) de la clé privée a été montée sur un volume RAM (tmpfs) pour un usage isolé, la supprimer et démonter après utilisation. Aucune version déchiffrée ne doit être écrite sur disque. :
shred -u /mnt/ssh-tmp/id_ed25519 || rm -f /mnt/ssh-tmp/id_ed25519 sudo umount /mnt/ssh-tmp
▸ Effacer l’agent si utilisé : ssh-add -D
et arrêter l’agent : eval "$(ssh-agent -k)"
.
▸ Réactiver swap si nécessaire : sudo swapon -a
.
Points de sécurité critiques et recommandations
- Jamais utiliser BLE pairing en « Just-Works ». Forcer Secure Connections / authentification par code numérique / PIN et bonding.
- La clé privée reste chiffrée sur le support ; seul le déchiffrement éphémère en RAM est utilisé. Ceci réduit fortement le risque mais n’annule pas l’exposition si la machine cliente est déjà compromise (dump mémoire, rootkit).
- ssh-agent augmente la fenêtre d’exposition (clé en mémoire plus longtemps). Si confort nécessaire → limiter la durée (-t) et purger systématiquement.
- Protéger swap et empêcher core dumps :
sudo swapoff -a
,ulimit -c 0
, vérifier politique de dump système. - Journalisation & audit : journaliser les opérations de rotation et les injections (rotation.log, known_hosts.audit). Note : PassCypher Engine orchestre la génération et l’enregistrement des fichiers privés chiffrés ; l’audit applicatif doit rester côté serveur/administration (journalisation SSH / Fail2ban / rotation).
- Cryptographie : utiliser un KDF durci (Argon2id si disponible, sinon PBKDF2 avec paramètres élevés) et AES-256 pour le conteneur OpenSSH. Une passphrase aléatoire ≥ 256 bits augmente la résistance symétrique (Grover) mais n’élimine pas la nécessité de primitives asymétriques post-quantiques pour la couche signature à terme.
Exemples rapides de commandes utiles
# Exemple : monter tmpfs pour déchiffrement temporaire sudo mkdir -p /mnt/ssh-tmp && sudo mount -t tmpfs -o mode=700 tmpfs /mnt/ssh-tmp # Copier la clé chiffrée sur tmpfs (si besoin) cp /media/evikey/id_ed25519 /mnt/ssh-tmp/id_ed25519 # Connexion (PassCypher injecte la passphrase dans l'invite) ssh -i /mnt/ssh-tmp/id_ed25519 -p 49152 user@vps.example.com # Après usage : purge et démontage shred -u /mnt/ssh-tmp/id_ed25519 || rm -f /mnt/ssh-tmp/id_ed25519 sudo umount /mnt/ssh-tmp
Note finale — Ce flow place la protection de la clé privée au centre : la clé reste chiffrée au repos, l’accès passe par une passphrase matérielle injectée, et le déchiffrement est temporaire et limité. La sécurité globale dépend cependant toujours de l’intégrité du poste client et de la qualité du pairing BLE (éviter « Just-Works »).
EviSSH — Gestion et orchestration intégrée
EviSSH n’est pas un outil externe ; il fait partie intégrante de PassCypher HSM PGP. Sa fonction est d’automatiser la génération, la gestion et la rotation des clés SSH locales, tout en assurant leur compatibilité universelle avec les environnements Linux, macOS et Windows. Il repose sur EviEngine pour orchestrer les actions du navigateur et du système, sans dépendance cloud ni service centralisé.
Fonctions principales
- Génération de clés SSH via Git, directement depuis l’interface PassCypher HSM PGP.
- Encapsulation automatique de la clé privée dans un conteneur chiffré OpenPGP (AES-256 + Argon2id/PBKDF2).
- Stockage souverain sur le support choisi : disque local, EviKey NFC HSM, NAS chiffré, etc.
- Rotation simplifiée : création, déploiement et révocation manuelle sans manipulation de fichier sensible.
- Interopérabilité totale : clés compatibles OpenSSH pour toutes plateformes majeures.
Sécurité et intégrations matérielles
- Injection de passphrase via PassCypher NFC HSM et canal BLE-HID chiffré (AES-128 CBC).
- Stockage matériel optionnel sur EviKey NFC HSM : les conteneurs chiffrés y sont inaccessibles sans la passphrase définie dans PassCypher.
Note : Contrairement à une solution serveur, EviSSH n’exécute ni déchiffrement distant ni gestion centralisée des clés.
Tout est local, auditable et compatible avec une posture de souveraineté numérique complète.
Cas d’usage souverain — PassCypher HSM PGP · PassCypher NFC HSM & HID BLE
Ce scénario illustre un usage souverain complet de PassCypher HSM PGP dans un environnement multi-OS et multi-site :
- ✓ PassCypher HSM PGP génère et encapsule la paire SSH dans un conteneur OpenPGP (
*.key.gpg
) chiffré AES-256 avec KDF Argon2id. - ✓ PassCypher NFC HSM stocke et protège la passphrase souveraine, permettant son injection sécurisée sur tout système compatible via son émulateur BLE-HID.
- ✓ L’émulateur Bluetooth HID agit comme un clavier virtuel chiffré (AES-128 CBC) injectant la passphrase localement sans frappe physique, éliminant tout risque de keylogger.
- ✓ Usage concret : un administrateur se connecte à un VPS Debian depuis macOS ou Android en approchant simplement son PassCypher NFC HSM — la passphrase est transmise via le lien BLE-HID sécurisé et le déchiffrement s’effectue en RAM uniquement.
- ✓ Bénéfice opérationnel : authentification SSH souveraine, portable et sans saisie, fonctionnant sur Linux, Windows, macOS, Android et iOS, sans dépendance cloud.
Cette intégration PassCypher HSM PGP × PassCypher NFC HSM & BLE-HID constitue la base du modèle “zero-clear-key” de Freemindtronic : aucune clé privée n’existe jamais en clair sur disque ou réseau, et l’accès est conditionné à la possession physique du HSM et à l’appairage BLE sécurisé.
Points clés
- PassCypher HSM PGP → zéro clé privée en clair sur disque, même temporairement.
- Injection BLE-HID AES-128 → neutralise les keyloggers et les scripts d’injection clavier.
- OpenPGP AES-256 + KDF Argon2id → défense symétrique robuste, posture PQ-aware.
- Rotation, audit et registre horodaté → traçabilité complète des identités machine.
- EviSSH → orchestration multi-HSM souveraine sans dépendance cloud ni serveur tiers.
Signaux faibles — tendances à surveiller
– Adoption croissante de BLE-HID dans les workflows DevSecOps multi-OS ;
– Expérimentations d’Argon2id matériellement accéléré dans certains HSM ;
– Émergence de projets OpenPGP v6 intégrant des modules PQC hybrides ;
– Pression normative croissante autour de NIS2/DORA → journalisation obligatoire des accès machine ;
– Vers une convergence SSH / FIDO2 / PQC dans les architectures souveraines d’accès distant.
Ce que nous n’avons pas couvert
⧉ Ce que nous n’avons pas couvert
Cette chronique s’est concentrée sur l’usage de SSH Key PassCypher HSM PGP pour la sécurisation des connexions VPS et la gestion de la clé privée. Nous n’avons pas abordé :
- l’intégration directe dans des pipelines CI/CD ;
- les extensions FIDO2 ou post-quantum en préparation ;
- l’audit automatisé de la chaîne BLE sur systèmes mobiles ;
- les mécanismes de synchronisation inter-HSM en temps réel.
Ces aspects feront l’objet d’une étude complémentaire dans la série Tech Fixes & Security Solutions.
FAQ — SSH Key PassCypher HSM PGP
Un HSM hybride pour une sécurité souveraine
PassCypher HSM PGP est un module de sécurité matériel/logiciel développé par Freemindtronic. Il permet de générer, chiffrer et protéger des clés SSH et OpenPGP via AES-256 et KDF mémoire-dur (PBKDF2 ou Argon2id). Grâce à ses interfaces NFC et BLE-HID, il injecte les passphrases sans jamais exposer la clé privée en clair. Cette approche garantit une posture zero-trust et une souveraineté numérique totale.
Duplication sécurisée sans perte de souveraineté
Oui. Le fichier chiffré *.key.gpg
peut être copié sur plusieurs supports souverains (EviKey NFC, NAS chiffré, QR code imprimé). Toutefois, il reste inutilisable sans la passphrase et le KDF, ce qui garantit une sécurité forte même en cas de fuite physique ou de compromission matérielle.
Résilience cryptographique face aux menaces quantiques
Une passphrase aléatoire ≥ 256 bits, combinée à un KDF mémoire-dur et à un chiffrement AES-256, offre une résistance élevée aux attaques symétriques, y compris celles basées sur l’algorithme de Grover. Cela dit, elle ne remplace pas les futurs algorithmes asymétriques post-quantiques nécessaires pour contrer les attaques de type Shor. En somme, c’est une protection robuste mais non exhaustive.
Récupération souveraine sans dépendance cloud
Si vous avez sauvegardé le fichier *.key.gpg
(via QR imprimé, EviKey ou autre support sécurisé), vous pouvez restaurer la clé en injectant la passphrase via PassCypher HSM. Cette architecture permet une récupération sans perte, à condition que les backups aient été correctement gérés et conservés hors ligne.
Usage local recommandé pour préserver la posture souveraine
Bien que `ssh-agent` puisse améliorer le confort d’usage, il augmente la surface d’exposition en mémoire. Il est donc préférable de privilégier l’injection directe via PassCypher HSM PGP (BLE-HID), garantissant un déchiffrement éphémère, local et conforme à la logique zéro-clé-en-clair.
Opérations locales, zéro export
Oui. Comme tout HSM souverain, PassCypher HSM PGP ne transmet jamais la clé privée au client. Les opérations sensibles (signature, déchiffrement partiel) sont exécutées localement dans le moteur ou l’extension. Le client ne reçoit que le résultat chiffré, à l’image des HSM utilisés pour TLS ou PKI.
Incompatibilité avec la logique zéro-clé-en-clair
Le forwarding SSH-agent est incompatible avec la posture souveraine de PassCypher. La passphrase et la clé privée ne doivent jamais quitter le client ni transiter vers un hôte distant. Dans cette architecture, l’agent SSH reste strictement local à la session. Il est donc recommandé d’éviter le forwarding et de privilégier l’injection directe via BLE-HID sécurisé.
Appairage BLE sécurisé : bonnes pratiques
Même si PassCypher impose le mode Secure Connections Only, certaines plateformes (Android, iOS) ou piles Bluetooth peuvent être vulnérables à des attaques de rétrogradation vers un mode moins sûr comme Just Works.
Il est donc essentiel de :
- exiger une authentification par code numérique (saisie ou comparaison) ;
- forcer le bonding et stocker la clé d’appairage dans un coffre sécurisé (Secure Enclave / Android Keystore) ;
- vérifier que le canal BLE-HID utilise bien le chiffrement AES-128 CBC ;
- surveiller la liste des périphériques appairés et supprimer tout appareil inconnu ou inactif.
Comparez toujours les codes affichés avant validation. Cette étape garantit un canal chiffré de bout en bout.
Sauvegarde multi-supports sans compromis
Oui, à condition que la passphrase et le KDF restent confidentiels. Le fichier *.key.gpg
peut être stocké sur EviKey NFC, NAS chiffré, USB ou QR code imprimé. Cette approche permet un “cold backup” souverain, sans aucune dépendance à un service cloud.
Vérification d’empreinte et confiance croisée
Avant d’insérer une clé publique dans authorized_keys
, comparez son empreinte SHA-256 à celle affichée dans l’interface PassCypher. Pour renforcer la confiance, vous pouvez également vérifier le label/commentaire ou utiliser le ledger d’audit local.
Fonctionnement 100 % hors ligne
Oui. PassCypher HSM PGP est conçu pour fonctionner en environnement totalement déconnecté. Toutes les opérations (génération, chiffrement, injection, rotation) sont locales, garantissant une posture zero-trust et une souveraineté absolue.
Compatibilité universelle avec les VPS SSH
Oui. La clé publique est copiée sur le serveur distant (authorized_keys
), tandis que la clé privée reste chiffrée localement. L’authentification s’effectue via injection BLE-HID, sans jamais exposer le secret.
Comparatif souverain : FIDO vs PassCypher
FIDO est adapté à l’authentification web sans mot de passe, mais ne permet ni usage SSH natif ni duplication. PassCypher HSM PGP, en revanche, offre une authentification SSH souveraine, avec clé exportable chiffrée, injection matérielle, et audit local. C’est la solution idéale pour les environnements critiques et multi-OS.
Rotation souveraine en 4 étapes
La rotation s’effectue en quatre étapes :
- Générer une nouvelle paire via PassCypher HSM PGP
- Déployer la nouvelle clé publique sur les serveurs
- Valider l’accès avec la nouvelle clé
- Retirer l’ancienne clé de
authorized_keys
Chaque action est consignée dans un ledger d’audit local, assurant une traçabilité complète.
Automatisation sécurisée dans les workflows DevOps
Oui. Grâce à l’orchestration par EviSSH, il est possible d’intégrer PassCypher HSM PGP dans un pipeline CI/CD sans compromettre la sécurité. La clé privée reste encapsulée dans son conteneur OpenPGP, et seule la passphrase est injectée via BLE-HID ou NFC. Cette méthode permet d’exécuter des actions cryptographiques à distance, tout en respectant la logique zéro-clé-en-clair et en maintenant une traçabilité locale.
Gestion des identités et cloisonnement des accès
Oui. PassCypher HSM PGP permet de gérer plusieurs identités cryptographiques sur un même terminal, chacune encapsulée dans son propre conteneur chiffré. Cela facilite le cloisonnement des accès SSH, la rotation des clés par utilisateur, et la journalisation indépendante des opérations. Cette modularité est particulièrement utile dans les environnements partagés ou administrés à distance.
Journalisation locale et vérification manuelle
Oui. Chaque opération (génération, rotation, révocation) peut être consignée dans un journal d’audit local, sous forme de fichier append-only. Ce fichier contient les empreintes, labels, horodatages et hôtes cibles. Il peut être vérifié manuellement ou intégré dans un système de supervision souverain. Cette approche garantit une traçabilité sans dépendance à un service tiers.
Transmission sécurisée sans clavier physique
L’injection BLE-HID simule une saisie clavier, mais via un canal Bluetooth sécurisé. La passphrase est transmise depuis le HSM vers le terminal, sans passer par le clavier physique ni par le système d’exploitation. Cela permet d’éviter les keyloggers, les hooks système et les interceptions réseau. Le canal est chiffré en AES-128 CBC, et l’appairage est validé par code numérique.
Fonctionnement hors ligne et autonomie complète
Oui. PassCypher HSM PGP est entièrement fonctionnel dans un environnement isolé du réseau. Toutes les opérations (génération, injection, rotation, sauvegarde) sont locales et ne nécessitent aucune connexion Internet. Cela en fait une solution idéale pour les infrastructures critiques, les serveurs sensibles ou les environnements militaires.
Rotation périodique et stratégie de révocation
La durée de vie dépend du contexte d’usage. En général, une rotation tous les 6 à 12 mois est recommandée pour les accès administratifs. PassCypher facilite cette rotation via un processus en quatre étapes : génération, déploiement, validation, retrait. Chaque étape est documentée et peut être automatisée via EviSSH. La révocation est effectuée par suppression ciblée dans authorized_keys.
Interopérabilité native et conformité technique
Oui. Les clés générées par PassCypher HSM PGP sont compatibles avec OpenSSH, PuTTY, Termux, Git Bash et autres clients SSH standards. Le format de la clé publique respecte les spécifications OpenSSH, et la clé privée encapsulée peut être utilisée après déchiffrement local. Cela garantit une compatibilité multi-OS sans adaptation technique.
Glossaire — SSH Key PassCypher HSM PGP
Authentification par code numérique
Mode d’appairage sécurisé Bluetooth Low Energy (BLE) fondé sur la saisie ou la comparaison d’un code à six chiffres. Ce mécanisme remplace le mode « Just Works » et garantit l’établissement d’un canal chiffré AES-128 CBC entre les périphériques. À ne pas confondre avec le système Passkey du standard FIDO2.
BLE-HID (Bluetooth Low Energy — Human Interface Device)
Canal de communication émulant un clavier physique via Bluetooth. Dans PassCypher, il est chiffré en AES-128 CBC et utilisé pour injecter de manière sécurisée des passphrases longues sans frappe manuelle, supprimant tout risque de keylogger.
Conteneur OpenPGP
Fichier chiffré (*.key.gpg
) encapsulant une clé privée SSH selon la norme OpenPGP RFC 4880. PassCypher utilise AES-256 et un KDF durci (Argon2id ou PBKDF2) pour empêcher tout accès non autorisé.
EviEngine
Moteur d’orchestration cryptographique local développé par Freemindtronic. Il exécute les opérations de génération, encapsulation et gestion de clés dans PassCypher sans dépendance cloud ni serveur externe.
EviSSH
Module intégré à PassCypher HSM PGP dédié à la génération, la rotation et la gestion des paires de clés SSH. Il s’appuie sur EviEngine pour garantir un fonctionnement local, souverain et auditable.
PassCypher HSM PGP
Extension web et application HSM hybride (logiciel + matériel) permettant de générer, chiffrer et gérer des clés SSH, PGP ou des mots de passe via OpenPGP (AES-256 + KDF durci). Compatible NFC et BLE-HID.
PassCypher NFC HSM
Module matériel NFC agissant comme HSM externe pour PassCypher. Il peut générer, stocker et injecter des secrets (passphrases, identifiants) via canal BLE-HID chiffré, sans qu’aucune donnée ne soit transmise au cloud.
EviKey NFC HSM
Clé physique de stockage sécurisé développée par Freemindtronic. Elle permet la conservation de conteneurs chiffrés (*.key.gpg
) et d’identités numériques souveraines hors ligne, protégées par clé matérielle.
KDF (Key Derivation Function)
Fonction de dérivation cryptographique (ex. Argon2id, PBKDF2) qui renforce les passphrases en les transformant en clés de chiffrement robustes résistantes aux attaques par force brute ou GPU.
Zero-key-in-clear
Principe souverain de Freemindtronic selon lequel une clé privée ne doit jamais exister en clair sur un support de stockage. Son déchiffrement ne se produit que temporairement, en mémoire volatile (RAM).
Sovereign SSH
Concept de gestion et d’authentification SSH fondé sur la génération locale, le chiffrement matériel et la traçabilité complète des accès, sans dépendance à un serveur d’identité ni service cloud tiers.
Air-gapped
Environnement totalement isolé du réseau, garantissant qu’aucune donnée (clé, flux BLE, NFC, SSH) ne puisse transiter hors du périmètre physique.
BLE-HID (Bluetooth Low Energy — Human Interface Device)
Canal Bluetooth basse consommation émulant un clavier physique. Utilisé ici pour l’injection de passphrases depuis le HSM PassCypher via un lien chiffré AES-128 CBC.
Bonding
Procédure d’association persistante entre deux périphériques Bluetooth. Dans le contexte PassCypher, elle sécurise la réutilisation du canal BLE sans réappairage.
Fingerprint
Empreinte unique d’une clé SSH (hash SHA-256) utilisée pour vérifier son authenticité avant insertion dans authorized_keys
.
Keylogger
Logiciel espion capturant les frappes clavier. Neutralisé ici grâce à l’injection de passphrase par canal BLE-HID chiffré.
Ledger
Journal d’audit append-only enregistrant les empreintes, horodatages et labels des clés générées, déployées ou révoquées.
Man-in-the-Middle (MITM)
Attaque d’interception des communications. Contrée par l’appairage BLE en mode Secure Connections Only et la vérification par code numérique.
Pairing / Secure Connections
Procédure d’appairage Bluetooth exigeant un chiffrement AES-128 CBC et une authentification mutuelle. Requise dans la posture souveraine PassCypher.
Passphrase
Phrase secrète longue (souvent ≥ 256 bits d’entropie) utilisée pour chiffrer la clé privée SSH au sein du conteneur OpenPGP.
PBKDF2 / Argon2id
Fonctions de dérivation de clé (KDF) destinées à durcir les passphrases. Argon2id est préféré pour sa résistance GPU/ASIC.
Posture PQ-aware
Posture de sécurité tenant compte des menaces quantiques à moyen terme, en adoptant des paramètres symétriques résistants (≥ AES-256, KDF durci).
Secure Enclave / Android Keystore
Coffres matériels de stockage des clés d’appairage BLE et AES utilisés pour protéger les secrets sur mobile.
SeedNFC
Technologie Freemindtronic dérivée permettant de générer des identités SSH ou PGP à partir d’un secret maître NFC physique.
SSH-agent
Service en mémoire de gestion temporaire des clés SSH. Optionnel dans PassCypher, remplacé par le déchiffrement éphémère local.
Tmpfs
Système de fichiers temporaire en RAM, utilisé pour éviter toute écriture persistante lors du déchiffrement éphémère.
Zero-clear-key
Principe selon lequel une clé privée ne doit jamais être présente en clair sur disque ou réseau. Au cœur de l’architecture PassCypher.
Zero-trust
Modèle de sécurité fondé sur la vérification systématique de chaque action, même à l’intérieur d’un environnement contrôlé. Adopté dans toute la gamme Freemindtronic.
Strategic Outlook — vers une souveraineté post-quantique
L’approche SSH Key PassCypher HSM PGP préfigure la convergence entre sécurité d’accès et résilience post-quantique.
En combinant stockage matériel, chiffrement symétrique renforcé et injection physique souveraine, elle construit un pont entre la cryptographie classique et les architectures hybrides PQC à venir.
Les prochaines itérations intégreront :
- des primitives hybrides (ed25519 + Dilithium) ;
- un canal BLE 5.3 avec chiffrement AES-256 GCM ;
- un support natif des journaux signés sur blockchain interne ;
- une compatibilité FIDO2 pour unifier SSH et authentification Web.
En attendant la généralisation des algorithmes PQC, la posture zero-clear-key demeure la défense la plus efficace : ne jamais laisser une clé privée exister ailleurs qu’en RAM chiffrée et temporaire.