Souverain. Robuste. Opérationnel.
Les YubiKey en mode PIV génèrent des certificats auto-signés qui ne respectent pas les champs EKU et KeyUsage des slots PIV standard. Ce comportement non conforme provoquait le rejet systématique de ces certificats lors de l’énumération. Cette release introduit un mode assoupli pour contourner cette limitation sans compromettre la sécurité CNG/KSP.
Nouveau paramètre de registre :
HKLM\SOFTWARE\San@sro Inc\PKCS11-SSH-Agent
RelaxCheckMode = REG_DWORD : 1
- Désactive la validation EKU / KeyUsage / dates lors de l’énumération des certificats.
- La signature reste entièrement déléguée à CNG/KSP — aucune clé privée n’est manipulée.
- Visible dans Settings du tray icon : « Relax Key Usage Check Mode : Yes/No ».
- Désactivé par défaut (
0) — aucun impact pour les configurations existantes.
⚠ À activer uniquement si vos clés YubiKey PIV ne sont pas visibles. Les certificats conformes n’en ont pas besoin.
- Suppression des helpers
cng_key_is_rsa/cng_key_is_ecde l’en-tête (non utilisés). - Harmonisation
WCHAR*→wchar_t*surcng_config_is_ksp_allowed.
SRO PKCS11 – SSH Agent CNG
Souverain. Robuste. Opérationnel.
Souverain. Robuste. Opérationnel.
Cette première release publique marque la mise à disposition d’un agent Windows unifié, complet, stable et déjà éprouvé en production.
Un seul binaire, zéro dépendance, zéro CRT, quatre rôles fusionnés dans une architecture souveraine.
- RSA PKCS#1 / X.509
- RSA-PSS (SHA‑256/384/512)
- ECDSA (NIST + Brainpool)
- EdDSA (Ed25519, Ed448)
- Sessions, login, enumeration, signature, random…
- Pipe
\\.\pipe\openssh-ssh-agent - Compatible Git, Visual Studio, OpenSSH, WSL, WSL2
- Signature via CNG/KSP (aucune clé privée manipulée)
- Serveur WM_COPYDATA natif
- Compatible PuTTY, plink, pscp, psftp
- Listener sécurisé
0.0.0.0:10022 - Multi‑client (16 connexions)
- Bridge simple via socat
- Service SYSTEM minimaliste (passthrough pur)
- Helper interactif pour UI PIN native
- Pool de helpers (LRU, timeout 4h)
- NCryptSignHash
- Cache clés/providers (4h)
- Filtrage SmartCardOnly / AllowedKSP
- Support RSA, ECDSA, Brainpool, EdDSA
- Mode Userland (vert) / Service Helper (bleu)
- Statistiques temps réel (clés, clients)
- Menu : Show Keys, Export Public Key, Flush Cache, Settings, Exit
- CLI :
ssh-agent.exe -exportkey - Dialogue graphique Windows
- Formats OpenSSH + RFC4716
- Extraction UPN / CN / DN
Détection automatique :
- OpenSSH natif
- Pageant
- SRO Userland
- SRO Service
- Agents inconnus
Dialogue de résolution intégré.
- Architecture complète
- Modes d’exécution
- Sécurité & isolation
- Backend CNG
- WSL2
- Protocoles SSH-agent & Pageant
- Installation & configuration
- Roadmap
- Politique de licence & divulgation responsable
Aucune dépendance externe.
Uniquement des DLL Windows natives (kernel32, advapi32, crypt32, ncrypt, bcrypt, wtsapi32, shell32, ws2_32, cryptui).
- Usage personnel / éducation : gratuit
- Usage professionnel / commercial : Licence de Paix Technique requise
- Signature Authenticode obligatoire pour redistribution
Ce push initial n’est pas un prototype :
c’est un produit fini, stable, souverain et opérationnel, conçu pour fonctionner sans maintenance.
SRO PKCS11 – SSH Agent CNG
Souverain. Robuste. Opérationnel.