Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- centos:nitrokey:pro [21.11.2018 14:20. ] – [Verschlüsseln und entschlüsseln] django
+++ centos:nitrokey:pro [21.11.2018 20:09. ] – [Nitrokey-App] django
@@ Zeile 180: / Zeile 180: @@
 Wird die Benutzer-PIN mehr als 3x falsch eingeben, wird die Karte für den Benutzer gesperrt. Mit der Admin-PIN kann der Fehleingabezähler zurückgesetzt bzw. eine neue Benutzer-PIN vergeben werden.
 <WRAP center round alert 80%>
-Wird jedoch die Admin-PIN mehr als 3x falsch eingegeben, wird die Smart-Crad komsperrt und der Stick ist anschließend nur noch durch einen Master-Reset in den Auslieferungszustand zu versetzen.
+Wird jedoch die Admin-PIN mehr als 3x falsch eingegeben, wird die Smart-Card komplett und der Stick ist anschliessend nur noch durch einen Master-Reset in den Auslieferungszustand zu versetzen.
 Hierzu kopiert man sich folgende Datei auf den Rechner:
@@ Zeile 192: / Zeile 192: @@
 </WRAP>
+=== Änderung der Default-PINs ===
 Wir werden also zuerst einmal die beiden **PIN**s abändern. Hierzu klicken wir mit der rechten Maustaste auf das Nitrokey-Symbol oben auf dem Desktop und wählen Sie das Menü "Konfigurieren". Dort können wir nun sowohl die Benutzer- als auch Admin-PINs ändern.
@@ Zeile 200: / Zeile 201: @@
 {{ :centos:nitrokey:nitrokey-app_06.png?nolink&325 |Bild: Nitrokey-App Bildschirmhardcopy - Dialog zum PIN Ändern}}
+=== Password-Safe ===
 ==== Nitrokey Pro und GnuPG  ====
 Da es sich bei der Chipkarte des **Nitrokey Pro** um eine standardkompatible OpenPGP-Karte handelt, kann der Kryptostick mit Hilfe von **[[https://www.gnupg.org/|GnuPG]]** verwaltet werden. Hierzu installieren wir uns das Paket **gnupg2**, sofern es nicht bereits bei der Erstkonfiguration unseres Rechner installiert wurde.
@@ Zeile 1122: / Zeile 1124: @@
 === Schlüssel aus dem lokalen Schlüsselspeicher entfernen ===
+Löschen wir nun den kompletten Schlüssel aus der lokalen Schlüsseldatei, können wir folgenden Befehl verwenden.
+   $ gpg --delete-secret-key secmail@mailserver.guru
+<code>gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
+This is free software: you are free to change and redistribute it.
+There is NO WARRANTY, to the extent permitted by law.
+sec  4096R/D1359446 2018-11-21 Django aka BOfH <secmail@mailserver.guru>
+Delete this key from the keyring? (y/N) y
+This is a secret key! - really delete? (y/N) y
+</code>
+<WRAP center round alert 95%>
+__**Doch Achtung:**__
+Hier wird der komplette Schlüssel gelöscht, also den **privaten Primären Signing Key** und nicht nur die Proxy-Einträge! Dies kann zu Problemen bei der späteren Verwendung des Nitrokey Pro auf der Konsole führen, da das gpg-Programm versucht den Schlüssel im Schlüsselbund zu finden!
+</WRAP>
+Der gpg-Befehl ''**%%--%%delete-secret-keys**'' hat als Bezugspunkt den primären Signierungsschlüssel und würde beim entfernen dieses Schlüssels natürlich auch die Unterschlüssel entfernen. Da wir nur den privaten primären Signierungsschlüssel aus dem Schlüsselbund löschen wollen, exportieren wir die privaten Unterschlüssel, bevor wir den privaten Primary Signing Key löschen und werden diese dann anschließend wieder importieren.
+Wir exportieren also erst einmal die Unterschlüssel und legen diese in einer lokalen Datei ab. Zunächst holen wir uns aber noch die Schlüssel-IDs da wir diese beim Exportieren eiegns angeben müssen.
+   $ gpg2 --list-secret-keys
+<code>/home/django/.gnupg/secring.gpg
+------------------------------
+sec   4096R/D1359446 2018-11-21
+uid                  Django aka BOfH <secmail@mailserver.guru>
+ssb>  4096R/564BA287 2018-11-21
+ssb>  4096R/ACCE2639 2018-11-21
+ssb>  4096R/EC65030E 2018-11-21
+</code>
+Nun exportieren wir die Unterschlüssel mit Hilfe folgenden Aufrufs, bei dem wir die IDs der Unterschlüssel gfolgt von einem **!** jeweils angeben:
+   $ gpg2 -o subkeys --export-secret-subkeys 564BA287! ACCE2639! EC65030E!
+Nun löschen wir den primären Signierungsschlüssel inkl. der Unterschlüssel.
+   $ gpg2 --delete-secret-key secmail@mailserver.guru
+<code>gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
+This is free software: you are free to change and redistribute it.
+There is NO WARRANTY, to the extent permitted by law.
+sec  4096R/D1359446 2018-11-21 Django aka BOfH <secmail@mailserver.guru>
+Delete this key from the keyring? (y/N) y
+This is a secret key! - really delete? (y/N) y</code>
+Ein erneuter Aufruf des privaten Schlüsselspeichers zeigt und, dass dort nun keine Einträge mehr vorhanden sind.
+   $ gpg2 --list-secret-keys
+Nun importieren wir wieder die zuvor gesicherten privaten Unterschlüssel
+   $ gpg2 --import subkeys
+<code>gpg: key D1359446: secret key imported
+gpg: key D1359446: "Django aka BOfH <secmail@mailserver.guru>" not changed
+gpg: Total number processed: 1
+gpg:              unchanged: 1
+gpg:       secret keys read: 1
+gpg:   secret keys imported: 1</code>
+Lassen wir uns nun den Inhalt des privaten Schlüsselbundes anzeigen, sehen wir die zurückgesicherten Unterschlüssel wieder.
+   $ gpg2 --list-secret-keys
+<code>/home/django/.gnupg/secring.gpg
+------------------------------
+sec#  4096R/D1359446 2018-11-21
+uid                  Django aka BOfH <secmail@mailserver.guru>
+ssb>  4096R/564BA287 2018-11-21
+ssb>  4096R/ACCE2639 2018-11-21
+ssb>  4096R/EC65030E 2018-11-21</code>
+Zu guter letzt vernichten wir die Datei mit den gesicherten privaten Unterschlüsseln.
+   $ shred --zero --removesubkeys
+==== Nitrokey und Thunderbird ====