Releases: Sanmilie/PKCS11SSHAgent
Release list
SRO PKCS11 – SSH Agent CNG v1.0.1
🚀 SRO PKCS11 – SSH Agent CNG
🔧 Release v1.0.1 — YubiKey PIV RelaxCheckMode
Souverain. Robuste. Opérationnel.
Les YubiKey en mode PIV génèrent des certificats auto-signés qui ne respectent pas les champs EKU et KeyUsage des slots PIV standard. Ce comportement non conforme provoquait le rejet systématique de ces certificats lors de l’énumération. Cette release introduit un mode assoupli pour contourner cette limitation sans compromettre la sécurité CNG/KSP.
🆕 Nouveauté : RelaxCheckMode
Nouveau paramètre de registre :
HKLM\SOFTWARE\San@sro Inc\PKCS11-SSH-Agent
RelaxCheckMode = REG_DWORD : 1
- Désactive la validation EKU / KeyUsage / dates lors de l’énumération des certificats.
- La signature reste entièrement déléguée à CNG/KSP — aucune clé privée n’est manipulée.
- Visible dans Settings du tray icon : « Relax Key Usage Check Mode : Yes/No ».
- Désactivé par défaut (
0) — aucun impact pour les configurations existantes.
⚠ À activer uniquement si vos clés YubiKey PIV ne sont pas visibles. Les certificats conformes n’en ont pas besoin.
🧹 Nettoyage interne
- Suppression des helpers
cng_key_is_rsa/cng_key_is_ecde l’en-tête (non utilisés). - Harmonisation
WCHAR*→wchar_t*surcng_config_is_ksp_allowed.
SRO PKCS11 – SSH Agent CNG
Souverain. Robuste. Opérationnel.
PKCS11 – SSH Agent CNG V1.0.0
🚀 SRO PKCS11 – SSH Agent CNG
🎉 Release v1.0.0 — Initial Public Release
Souverain. Robuste. Opérationnel.
Cette première release publique marque la mise à disposition d’un agent Windows unifié, complet, stable et déjà éprouvé en production.
Un seul binaire, zéro dépendance, zéro CRT, quatre rôles fusionnés dans une architecture souveraine.
🔐 Fonctionnalités majeures
🧩 PKCS#11 complet (14 mécanismes)
- RSA PKCS#1 / X.509
- RSA-PSS (SHA‑256/384/512)
- ECDSA (NIST + Brainpool)
- EdDSA (Ed25519, Ed448)
- Sessions, login, enumeration, signature, random…
🗝 SSH-Agent multi‑client
- Pipe
\\.\pipe\openssh-ssh-agent - Compatible Git, Visual Studio, OpenSSH, WSL, WSL2
- Signature via CNG/KSP (aucune clé privée manipulée)
📡 Pageant (PuTTY)
- Serveur WM_COPYDATA natif
- Compatible PuTTY, plink, pscp, psftp
🐧 WSL2 TCP Bridge
- Listener sécurisé
0.0.0.0:10022 - Multi‑client (16 connexions)
- Bridge simple via socat
🛡 Service Windows + Helper Userland
- Service SYSTEM minimaliste (passthrough pur)
- Helper interactif pour UI PIN native
- Pool de helpers (LRU, timeout 4h)
🧠 Backend CNG souverain
- NCryptSignHash
- Cache clés/providers (4h)
- Filtrage SmartCardOnly / AllowedKSP
- Support RSA, ECDSA, Brainpool, EdDSA
🖥 Tray Icon & UI
- Mode Userland (vert) / Service Helper (bleu)
- Statistiques temps réel (clés, clients)
- Menu : Show Keys, Export Public Key, Flush Cache, Settings, Exit
📤 Export de clés publiques
- CLI :
ssh-agent.exe -exportkey - Dialogue graphique Windows
- Formats OpenSSH + RFC4716
- Extraction UPN / CN / DN
🔍 Détection de conflits d’agents
Détection automatique :
- OpenSSH natif
- Pageant
- SRO Userland
- SRO Service
- Agents inconnus
Dialogue de résolution intégré.
📚 Documentation incluse
- Architecture complète
- Modes d’exécution
- Sécurité & isolation
- Backend CNG
- WSL2
- Protocoles SSH-agent & Pageant
- Installation & configuration
- Roadmap
- Politique de licence & divulgation responsable
🧩 Dépendances
Aucune dépendance externe.
Uniquement des DLL Windows natives (kernel32, advapi32, crypt32, ncrypt, bcrypt, wtsapi32, shell32, ws2_32, cryptui).
📌 Licence
- Usage personnel / éducation : gratuit
- Usage professionnel / commercial : Licence de Paix Technique requise
- Signature Authenticode obligatoire pour redistribution
🧭 État du produit
Ce push initial n’est pas un prototype :
c’est un produit fini, stable, souverain et opérationnel, conçu pour fonctionner sans maintenance.
SRO PKCS11 – SSH Agent CNG
Souverain. Robuste. Opérationnel.