Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
centos:cryptos-manag [23.07.2011 20:55. ] – [Schlüssel generieren] Beschreibung der Schlüsselfelder eingetragen django | centos:cryptos-manag [17.11.2018 18:23. ] – [Konsole] django | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ====== GPF CryptoStick - Kartenverwaltung | ||
+ | Bei nachfolgenden Paxisbeispielen gehen wir nun im Detail etwas genauer ein, wie mit Hilfe von **GnuPG** die User- und Admin-PIN verändert, ein Schlüssel generiert und auch anschließend auf einen Keyserver geladen werden kann. Auch findet man ein Verweis für eine GUI, wer den Umgang mit der Konsole scheut. | ||
+ | ===== Kartenverwaltung ===== | ||
+ | ==== Konsole ==== | ||
+ | Mit Hilfe des Programms //**gpg %%--%%card-edit**// | ||
+ | |||
+ | $ gpg2 --card-edit | ||
+ | | ||
+ | < | ||
+ | Version ..........: 2.0 | ||
+ | Manufacturer .....: ZeitControl | ||
+ | Serial number ....: 000008D1 | ||
+ | Name of cardholder: Nausch Michael | ||
+ | Language prefs ...: de | ||
+ | Sex ..............: | ||
+ | URL of public key : - | ||
+ | Login data .......: - | ||
+ | Signature PIN ....: zwingend | ||
+ | Key attributes ...: 2048R 2048R 2048R | ||
+ | Max. PIN lengths .: 32 32 32 | ||
+ | PIN retry counter : 0 0 3 | ||
+ | Signature counter : 0 | ||
+ | Signature key ....: [none] | ||
+ | Encryption key....: [none] | ||
+ | Authentication key: [none] | ||
+ | General key info..: [none] | ||
+ | |||
+ | Befehl> help | ||
+ | quit Menü verlassen | ||
+ | admin Zeige Admin-Befehle | ||
+ | help Diese Hilfe zeigen | ||
+ | list Alle vorhandenen Daten auflisten | ||
+ | fetch Holen des Schlüssels mittels der URL auf der Karte | ||
+ | passwd | ||
+ | verify | ||
+ | unblock | ||
+ | </ | ||
+ | === PINs ändern === | ||
+ | So können wir einfach die Vorgabe-PIN **123456** für den Benutzer und die Admin-PIN **12345678** abändern. | ||
+ | |||
+ | < | ||
+ | gpg: OpenPGP Karte Nr. D2760001240102000005000008D10000 erkannt | ||
+ | |||
+ | 1 - change PIN | ||
+ | 2 - unblock PIN | ||
+ | 3 - change Admin PIN | ||
+ | 4 - set the Reset Code | ||
+ | Q - quit | ||
+ | </ | ||
+ | === Schlüssel generieren === | ||
+ | Wie auch beim [[centos: | ||
+ | |||
+ | $ gpg2 --card-edit | ||
+ | < | ||
+ | Sicherung des Verschlüsselungsschlüssel außerhalb der Karte erstellen? (J/n) j | ||
+ | Welche Schlüssellänge wünschen Sie für den Unterschriften-Schlüssel? | ||
+ | Welche Schlüssellänge wünschen Sie für den Verschlüsselungs-Schlüssel? | ||
+ | Welche Schlüssellänge wünschen Sie für den Authentisierungs-Schlüssel? | ||
+ | Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll. | ||
+ | 0 = Schlüssel verfällt nie | ||
+ | < | ||
+ | <n>w = Schlüssel verfällt nach n Wochen | ||
+ | <n>m = Schlüssel verfällt nach n Monaten | ||
+ | <n>y = Schlüssel verfällt nach n Jahren | ||
+ | Wie lange bleibt der Schlüssel gültig? (0) 0 | ||
+ | Schlüssel verfällt nie | ||
+ | Ist dies richtig? (j/N) j | ||
+ | |||
+ | GnuPG erstellt eine User-ID um Ihren Schlüssel identifizierbar zu machen. | ||
+ | |||
+ | Ihr Name (" | ||
+ | Email-Adresse: | ||
+ | Kommentar: CS4privacy | ||
+ | Sie haben diese User-ID gewählt: | ||
+ | " | ||
+ | |||
+ | Ändern: (N)ame, (K)ommentar, | ||
+ | Sie benötigen eine Passphrase, um den geheimen Schlüssel zu schützen. | ||
+ | |||
+ | gpg: Hinweis: Sicherung des Kartenschlüssels wurde auf `/ | ||
+ | gpg: Schlüssel FF11F122 ist als uneingeschränkt vertrauenswürdig gekennzeichnet | ||
+ | Öffentlichen und geheimen Schlüssel erzeugt und signiert. | ||
+ | |||
+ | gpg: " | ||
+ | gpg: 3 marginal-needed, | ||
+ | gpg: Tiefe: 0 gültig: | ||
+ | pub | ||
+ | Schl.-Fingerabdruck = 2687 CC47 0D90 A155 24E1 8D0C CE80 FE4F FF11 F122 | ||
+ | uid Michael Nausch (CS4privacy) < | ||
+ | sub | ||
+ | sub | ||
+ | </ | ||
+ | Fragen wir nun den auf dem Cryptostick abgelegten Schlüssel ab, so wird dieser z.B. wie folgt angezeigt. | ||
+ | |||
+ | < | ||
+ | |||
+ | Application ID ...: D2760001240102000005000008D10000 | ||
+ | Version ..........: 2.0 | ||
+ | Manufacturer .....: ZeitControl | ||
+ | Serial number ....: 000008D1 | ||
+ | Name of cardholder: Nausch Michael | ||
+ | Language prefs ...: de | ||
+ | Sex ..............: | ||
+ | URL of public key : - | ||
+ | Login data .......: - | ||
+ | Signature PIN ....: zwingend | ||
+ | Key attributes ...: 2048R 2048R 2048R | ||
+ | Max. PIN lengths .: 32 32 32 | ||
+ | PIN retry counter : 3 0 3 | ||
+ | Signature counter : 5 | ||
+ | Signature key ....: 2687 CC47 0D90 A155 24E1 8D0C CE80 FE4F FF11 F122 | ||
+ | created ....: 2011-07-14 08:24:07 | ||
+ | Encryption key....: E2F5 F992 6BA3 8F28 F9EF A288 F162 C6B5 4379 521B | ||
+ | created ....: 2011-07-14 08:24:07 | ||
+ | Authentication key: C446 AA76 BDA1 CDAA 3D03 E175 37A6 4C68 B335 B612 | ||
+ | created ....: 2011-07-14 08:24:07 | ||
+ | General key info..: | ||
+ | pub 2048R/ | ||
+ | sec> | ||
+ | Kartennummer: | ||
+ | ssb> | ||
+ | Kartennummer: | ||
+ | ssb> | ||
+ | Kartennummer: | ||
+ | </ | ||
+ | Über den Befehl **quit** verlassen wir die menügeführte Kartenverwaltung wieder. | ||
+ | Befehl> quit | ||
+ | === Kartendaten === | ||
+ | Über den Befehl **//gpg --card-status// | ||
+ | |||
+ | |||
+ | Die einzelnen Datenfelder haben hierbei folgende Bedeutung: | ||
+ | ^ Datenfeld | ||
+ | | Application ID | Individuelle (unique) KartenID, diese beinhaltet: \\ ° den Kartentyp \\ ° die Version der Spezifikation \\ ° den Hersteller und \\ ° die Seriennummer des Cryptosticks \\ Diese // | ||
+ | | Version | ||
+ | | Manufacturer | ||
+ | | Serial number | ||
+ | | Name of cardholder | ||
+ | | Language prefs | Gewählte/ | ||
+ | | Sex | Geschlecht des Karteninhabers.: | ||
+ | | URL of public key | Angabe einer URL, mit der der public-key mit Hilfe des Befehls **fetch** unter **gpg --edit-card** auf die Karte geladen werden kann. | | ||
+ | | Login data | Bei diesem Feld kann der Account-Name des Karteninhabers abgelegt werden, der bei Anmeldeversuchen genutzt werden kann. **//GPG//** führt hier __keinerlei__ Abgleiche zwischen diesem Namen und dem Namen der in einem Schlüssel angegeben und verwendet wird durch! | ||
+ | | Signature PIN | Hier kann über die beiden Schalter // | ||
+ | | Key attributes | ||
+ | | Max. PIN lengths | ||
+ | | PIN retry counter | ||
+ | | Signature counter | ||
+ | | Signature key | Signatur-Schlüssel (primärer OpenPGP-Schlüssel) | ||
+ | | created | Datum und Uhrzeit an dem der Schlüssel erzeugt wurde | | ||
+ | | Encryption key | Entschlüsselungs-Schlüssel (Unterschlüssel des primären (Signature-)Schlüssels. | ||
+ | | created | Datum und Uhrzeit an dem der Schlüssel erzeugt wurde | | ||
+ | | Authentication key | Authentifizierung-Schlüssel (Unterschlüssel des primären (Signature-)Schlüssels. | ||
+ | | created | Datum und Uhrzeit an dem der Schlüssel erzeugt wurde | | ||
+ | | General key info | Diese primäre USer ID wird angezeigt, sobald ein entsprechender | ||
+ | |||
+ | |||
+ | ==== GUI ==== | ||
+ | Der Zugriff auf die SmartCard kann natürlich auch mit Hilfe einer GUI erfolgen. Hier bietet sich der Smartcard-Manager von dem Thunderbird-Plugin [[https:// | ||
+ | |||
+ | Im Menüpunkt **[OpenPGP]** -> **[Schlüssel __v__erwalten...]** gelangt man zur Schlüsselverwaltung. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Über dem Menüpunkt **[Smart__C__ard verwalten...]** können wir nun direkt auf die Daten des Cryptostick zugreifen. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Hier haben wir nun die Möglichkeit neben den Daten, den beiden PINs natürlich auch die Schlüssel komfortabel zu verwalten. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | ==== PublicKey auf einem KeyServer hochladen | ||
+ | Wie auch beim Hochladen unseres öffentlichen Schlüssels aus dem keyring, welcher auf der Platte generiert werden kann, erfolgt dies einfach mit Hilfe des Programms **gpg**. | ||
+ | $ gpg --keyserver keyserver.nausch.org --send-key FF11F122 | ||
+ | gpg: sende Schlüssel FF11F122 auf den hkp-Server keyserver.nausch.org | ||
+ | |||
+ | ===== weitere Informationen | ||
+ | Weitere Informationen zum Umgang und zur Inbetriebnahme des Cryptostick findet man im Kapitel [[centos: | ||
+ | |||