centos:nitrokey:pro

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
centos:nitrokey:pro [21.11.2018 14:20. ] – [Verschlüsseln und entschlüsseln] djangocentos:nitrokey:pro [18.11.2024 18:59. ] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 50: Zeile 50:
  
 ===== Paketabhängigkeiten ===== ===== Paketabhängigkeiten =====
 +
 +Für den Zugriff auf die SmartCard bzw. auf den Nitrokey Pro benötigen wir z.B. für GPG den SmartCard-Daemon **scdeamon** welcher bei CentOS 7 mit Hilfe es Pakets **gnupg2-smime** bereitgestellt wird. 
 +
 +Dieses Paket installieren wir nun noch via **yum**.
 +   #  yum install gnupg2-smime -y
 +
 +Leider ist das Paket an sich aus Sicht der Entwickler des Kryptostick in einer nicht aktuellen Version bei CentOS 7 verfügbar (CentOS 7: 2.0.22 - aktuelle Version: 2.2.11)((Stand November 2018)). Das hat leider zur Folge, dass wir die PGP-Schlüssel __nicht__ direkt [[centos:nitrokey:pro#schluessel_generieren|auf der SmartCard]] generieren können, sondern diesen wie gewohnt [[centos:nitrokey:pro#vorhandenen_schluessel_importieren|auf dem Rechner]] erzeugen und anschliessend auf den Nitrokey Pro Stick verschoben werden muss.
 ===== udev-Regeln ===== ===== udev-Regeln =====
 Für den Betrieb unter [[https://www.centos.org/|CentOS 7]] müssen wir uns noch passende udev-Definitionen **[[https://www.nitrokey.com/sites/default/files/41-nitrokey.rules|hier]]** besorgen und unserer Umgebung anpassen. Dies ist notwendig, da sonst die Gerätedatei nicht mit den entsprechenden Benutzer-Rechten angelegt wird! Für den Betrieb unter [[https://www.centos.org/|CentOS 7]] müssen wir uns noch passende udev-Definitionen **[[https://www.nitrokey.com/sites/default/files/41-nitrokey.rules|hier]]** besorgen und unserer Umgebung anpassen. Dies ist notwendig, da sonst die Gerätedatei nicht mit den entsprechenden Benutzer-Rechten angelegt wird!
Zeile 180: Zeile 187:
 Wird die Benutzer-PIN mehr als 3x falsch eingeben, wird die Karte für den Benutzer gesperrt. Mit der Admin-PIN kann der Fehleingabezähler zurückgesetzt bzw. eine neue Benutzer-PIN vergeben werden.  Wird die Benutzer-PIN mehr als 3x falsch eingeben, wird die Karte für den Benutzer gesperrt. Mit der Admin-PIN kann der Fehleingabezähler zurückgesetzt bzw. eine neue Benutzer-PIN vergeben werden. 
 <WRAP center round alert 80%> <WRAP center round alert 80%>
-Wird jedoch die Admin-PIN mehr als 3x falsch eingegeben, wird die Smart-Crad komsperrt und der Stick ist anschließend nur noch durch einen Master-Reset in den Auslieferungszustand zu versetzen.+Wird jedoch die Admin-PIN mehr als 3x falsch eingegeben, wird die Smart-Card komplett und der Stick ist anschliessend nur noch durch einen Master-Reset in den Auslieferungszustand zu versetzen.
  
 Hierzu kopiert man sich folgende Datei auf den Rechner: Hierzu kopiert man sich folgende Datei auf den Rechner:
Zeile 192: Zeile 199:
 </WRAP> </WRAP>
  
 +=== Änderung der Default-PINs ===
 Wir werden also zuerst einmal die beiden **PIN**s abändern. Hierzu klicken wir mit der rechten Maustaste auf das Nitrokey-Symbol oben auf dem Desktop und wählen Sie das Menü "Konfigurieren". Dort können wir nun sowohl die Benutzer- als auch Admin-PINs ändern. Wir werden also zuerst einmal die beiden **PIN**s abändern. Hierzu klicken wir mit der rechten Maustaste auf das Nitrokey-Symbol oben auf dem Desktop und wählen Sie das Menü "Konfigurieren". Dort können wir nun sowohl die Benutzer- als auch Admin-PINs ändern.
  
Zeile 199: Zeile 207:
  
 {{ :centos:nitrokey:nitrokey-app_06.png?nolink&325 |Bild: Nitrokey-App Bildschirmhardcopy - Dialog zum PIN Ändern}} {{ :centos:nitrokey:nitrokey-app_06.png?nolink&325 |Bild: Nitrokey-App Bildschirmhardcopy - Dialog zum PIN Ändern}}
 +
 +=== Passwort-Safe ===
 +Der Kryptostick bietet uns die Möglichkeit bis zu 16 Passwörter anzuspeichern, die wir dann später einfach bei entsperrtem Nitrokey Pro Stick abrufen, in den Zwischenspeicher kopieren um es dann bei den (Web)Anwendungen einzufügen.
 +
 +Damit wir unser ersten Passwort auf dem Stick ablegen können, ist es notwendig den Stick zu entsperren.
 +
 +{{ :centos:nitrokey:nitrokey-app_07.png?nolink&200 |Bild: Nitrokey Pro entsperren}}
 +
 +Nach der eingabe der PIN wird unser Kryptostick entsperrt und wir können anschließend  den Menüpunkt **Konfiguration** erreichen.
 +
 +{{ :centos:nitrokey:nitrokey-app_09.png?nolink&275 |Bild: Nitrokey Pro entsperren}}
 +
 +Über den Menüpunkt **Konfiguration** gelangen wir zu den Einstellungen und wiederum auf dem Reiter **Passwort-Safe** dann die einstellungen zu den Anmeldedaten im Passwort-Safe. 
 +
 +{{ :centos:nitrokey:nitrokey-app_08.png?nolink&800 |Bild: Nitrokey Pro entsperren}}
 +
 +Wollen wir uns nun später an einer (Web)-Anwendung anmelden, wählen wir aus der oberen Statusleiste die Nitrokey App aus und wählen beim Menüpunkt **Paswörter** den hinterlegte Passworteintrag aus.
 +
 +{{ :centos:nitrokey:nitrokey-app_10.png?nolink&260 |Bild: Nitrokey Pro entsperren}}
 +
 +Sobald wir diesen Eintrag anklicken wird das zugehörige Passwort in die Zwischenablage kopiert und wir können dies dann in das zugehörige Eingabemaske einfügen. 
 +
 +{{ :centos:nitrokey:nitrokey-app_11.png?nolink&290 |Bild: Nitrokey Pro entsperren}}
 +
  
 ==== Nitrokey Pro und GnuPG  ==== ==== Nitrokey Pro und GnuPG  ====
Zeile 366: Zeile 398:
    $ gpg --card-edit    $ gpg --card-edit
  
-<code><code>Application ID ...: D276000124010303000500006FDA0000+<code>Application ID ...: D276000124010303000500006FDA0000
 Version ..........: 3.3 Version ..........: 3.3
 Manufacturer .....: ZeitControl Manufacturer .....: ZeitControl
Zeile 386: Zeile 418:
  
 gpg/card></code> gpg/card></code>
-</code> 
  
    gpg/card> admin    gpg/card> admin
Zeile 471: Zeile 502:
  
 Ihr Name ("Vorname Nachname"): Django aka BOfH Ihr Name ("Vorname Nachname"): Django aka BOfH
-Email-Adresse: secmail@mailserver.guru+Email-Adresse: secmail@nausch.org
 Kommentar: Bastard Operator from Hell Kommentar: Bastard Operator from Hell
 Sie haben diese User-ID gewählt: Sie haben diese User-ID gewählt:
-    "Django aka BOfH (Bastard Operator from Hell) <secmail@mailserver.guru>"+    "Django aka BOfH (Bastard Operator from Hell) <secmail@nausch.org>"
  
 Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(A)bbrechen? f</code> Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(A)bbrechen? f</code>
Zeile 522: Zeile 553:
  
 Real name: Django aka BOfH Real name: Django aka BOfH
-Email address: secmail@mailserver.guru+Email address: secmail@nausch.org
 Comment:  Comment: 
 You selected this USER-ID: You selected this USER-ID:
-    "Django aka BOfH <secmail@mailserver.guru>"+    "Django aka BOfH <secmail@nausch.org>"
  
 Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o
Zeile 542: Zeile 573:
 pub   4096R/D1359446 2018-11-21 pub   4096R/D1359446 2018-11-21
       Key fingerprint = FA63 2892 1925 65D3 E006  DC75 2ECB E36F D135 9446       Key fingerprint = FA63 2892 1925 65D3 E006  DC75 2ECB E36F D135 9446
-uid                  Django aka BOfH <secmail@mailserver.guru>+uid                  Django aka BOfH <secmail@nausch.org>
 sub   4096R/564BA287 2018-11-21 sub   4096R/564BA287 2018-11-21
 </code> </code>
Zeile 551: Zeile 582:
 ------------------------------ ------------------------------
 sec   4096R/D1359446 2018-11-21 sec   4096R/D1359446 2018-11-21
-uid                  Django aka BOfH <secmail@mailserver.guru>+uid                  Django aka BOfH <secmail@nausch.org>
 ssb   4096R/564BA287 2018-11-21</code> ssb   4096R/564BA287 2018-11-21</code>
  
Zeile 566: Zeile 597:
 ------------------------------ ------------------------------
 pub   4096R/D1359446 2018-11-21 pub   4096R/D1359446 2018-11-21
-uid                  Django aka BOfH <secmail@mailserver.guru>+uid                  Django aka BOfH <secmail@nausch.org>
 sub   4096R/564BA287 2018-11-21 sub   4096R/564BA287 2018-11-21
 </code> </code>
Zeile 577: Zeile 608:
 ------------------------------ ------------------------------
 sec   4096R/D1359446 2018-11-21 sec   4096R/D1359446 2018-11-21
-uid                  Django aka BOfH <secmail@mailserver.guru>+uid                  Django aka BOfH <secmail@nausch.org>
 ssb   4096R/564BA287 2018-11-21 ssb   4096R/564BA287 2018-11-21
 </code> </code>
Zeile 636: Zeile 667:
                      trust: ultimate      validity: ultimate                      trust: ultimate      validity: ultimate
 sub  4096R/564BA287  created: 2018-11-21  expires: never       usage: E    sub  4096R/564BA287  created: 2018-11-21  expires: never       usage: E   
-[ultimate] (1). Django aka BOfH <secmail@mailserver.guru>+[ultimate] (1). Django aka BOfH <secmail@nausch.org>
  
 gpg></code> gpg></code>
Zeile 644: Zeile 675:
  
 You need a passphrase to unlock the secret key for You need a passphrase to unlock the secret key for
-user: "Django aka BOfH <secmail@mailserver.guru>"+user: "Django aka BOfH <secmail@nausch.org>"
 4096-bit RSA key, ID D1359446, created 2018-11-21 4096-bit RSA key, ID D1359446, created 2018-11-21
  
Zeile 681: Zeile 712:
 sub  4096R/564BA287  created: 2018-11-21  expires: never       usage: E    sub  4096R/564BA287  created: 2018-11-21  expires: never       usage: E   
 sub  4096R/ACCE2639  created: 2018-11-21  expires: never       usage: S    sub  4096R/ACCE2639  created: 2018-11-21  expires: never       usage: S   
-[ultimate] (1). Django aka BOfH <secmail@mailserver.guru>+[ultimate] (1). Django aka BOfH <secmail@nausch.org>
  
 gpg></code> gpg></code>
Zeile 690: Zeile 721:
  
 You need a passphrase to unlock the secret key for You need a passphrase to unlock the secret key for
-user: "Django aka BOfH <secmail@mailserver.guru>"+user: "Django aka BOfH <secmail@nausch.org>"
 4096-bit RSA key, ID D1359446, created 2018-11-21 4096-bit RSA key, ID D1359446, created 2018-11-21
  
Zeile 773: Zeile 804:
 sub  4096R/ACCE2639  created: 2018-11-21  expires: never       usage: S    sub  4096R/ACCE2639  created: 2018-11-21  expires: never       usage: S   
 sub  4096R/EC65030E  created: 2018-11-21  expires: never       usage: A    sub  4096R/EC65030E  created: 2018-11-21  expires: never       usage: A   
-[ultimate] (1). Django aka BOfH <secmail@mailserver.guru>+[ultimate] (1). Django aka BOfH <secmail@nausch.org>
 </code> </code>
  
Zeile 786: Zeile 817:
 ------------------------------ ------------------------------
 sec   4096R/D1359446 2018-11-21 sec   4096R/D1359446 2018-11-21
-uid                  Django aka BOfH <secmail@mailserver.guru>+uid                  Django aka BOfH <secmail@nausch.org>
 ssb   4096R/564BA287 2018-11-21 ssb   4096R/564BA287 2018-11-21
 ssb   4096R/ACCE2639 2018-11-21 ssb   4096R/ACCE2639 2018-11-21
Zeile 812: Zeile 843:
 sub  4096R/ACCE2639  created: 2018-11-21  expires: never       usage: S    sub  4096R/ACCE2639  created: 2018-11-21  expires: never       usage: S   
 sub  4096R/EC65030E  created: 2018-11-21  expires: never       usage: A    sub  4096R/EC65030E  created: 2018-11-21  expires: never       usage: A   
-[ultimate] (1). Django aka BOfH <secmail@mailserver.guru>+[ultimate] (1). Django aka BOfH <secmail@nausch.org>
  
 Für später merken wir uns nun in Welcher Reichenfolge die Unterschlüssel aufgelistet werden bzw. welche Key-ID zu welcher Aktion gehört. Die Key-ID **0** ist die des primären Signierungs-Schlüssel! Für später merken wir uns nun in Welcher Reichenfolge die Unterschlüssel aufgelistet werden bzw. welche Key-ID zu welcher Aktion gehört. Die Key-ID **0** ist die des primären Signierungs-Schlüssel!
Zeile 827: Zeile 858:
 ssb  4096R/ACCE2639  created: 2018-11-21  expires: never      ssb  4096R/ACCE2639  created: 2018-11-21  expires: never     
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never      ssb  4096R/EC65030E  created: 2018-11-21  expires: never     
-(1)  Django aka BOfH <secmail@mailserver.guru></code>+(1)  Django aka BOfH <secmail@nausch.org></code>
  
 Als erstes verschieben wir den privaten Verschlüsselungs-Unterschlüssel. Hierzu wählen wir diesen mit Eingabe von "1" ein. Die Auswajhl wird uns dann durch den ** * ** angezeigt. Als erstes verschieben wir den privaten Verschlüsselungs-Unterschlüssel. Hierzu wählen wir diesen mit Eingabe von "1" ein. Die Auswajhl wird uns dann durch den ** * ** angezeigt.
Zeile 836: Zeile 867:
 ssb  4096R/ACCE2639  created: 2018-11-21  expires: never      ssb  4096R/ACCE2639  created: 2018-11-21  expires: never     
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never      ssb  4096R/EC65030E  created: 2018-11-21  expires: never     
-(1)  Django aka BOfH <secmail@mailserver.guru></code>+(1)  Django aka BOfH <secmail@nausch.org></code>
  
 Nun verschieben wir den ausgewählten Schlüssel in die SmartCard des Nitrokey. Als Ziel wählen wir dann richtiger Weise die Option **2** = //**Encryption key**// aus Nun verschieben wir den ausgewählten Schlüssel in die SmartCard des Nitrokey. Als Ziel wählen wir dann richtiger Weise die Option **2** = //**Encryption key**// aus
Zeile 850: Zeile 881:
  
 You need a passphrase to unlock the secret key for You need a passphrase to unlock the secret key for
-user: "Django aka BOfH <secmail@mailserver.guru>"+user: "Django aka BOfH <secmail@nausch.org>"
 4096-bit RSA key, ID 564BA287, created 2018-11-21 4096-bit RSA key, ID 564BA287, created 2018-11-21
  
Zeile 859: Zeile 890:
 ssb  4096R/ACCE2639  created: 2018-11-21  expires: never      ssb  4096R/ACCE2639  created: 2018-11-21  expires: never     
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never      ssb  4096R/EC65030E  created: 2018-11-21  expires: never     
-(1)  Django aka BOfH <secmail@mailserver.guru>+(1)  Django aka BOfH <secmail@nausch.org>
 </code> </code>
  
Zeile 869: Zeile 900:
 ssb  4096R/ACCE2639  created: 2018-11-21  expires: never      ssb  4096R/ACCE2639  created: 2018-11-21  expires: never     
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never      ssb  4096R/EC65030E  created: 2018-11-21  expires: never     
-(1)  Django aka BOfH <secmail@mailserver.guru>+(1)  Django aka BOfH <secmail@nausch.org>
 </code> </code>
   gpg> key 2   gpg> key 2
Zeile 877: Zeile 908:
 ssb* 4096R/ACCE2639  created: 2018-11-21  expires: never      ssb* 4096R/ACCE2639  created: 2018-11-21  expires: never     
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never      ssb  4096R/EC65030E  created: 2018-11-21  expires: never     
-(1)  Django aka BOfH <secmail@mailserver.guru>+(1)  Django aka BOfH <secmail@nausch.org>
 </code> </code>
  
Zeile 892: Zeile 923:
  
 You need a passphrase to unlock the secret key for You need a passphrase to unlock the secret key for
-user: "Django aka BOfH <secmail@mailserver.guru>"+user: "Django aka BOfH <secmail@nausch.org>"
 4096-bit RSA key, ID ACCE2639, created 2018-11-21 4096-bit RSA key, ID ACCE2639, created 2018-11-21
  
Zeile 902: Zeile 933:
                      card-no: 0005 00006FDA                      card-no: 0005 00006FDA
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never      ssb  4096R/EC65030E  created: 2018-11-21  expires: never     
-(1)  Django aka BOfH <secmail@mailserver.guru>+(1)  Django aka BOfH <secmail@nausch.org>
 </code> </code>
  
Zeile 913: Zeile 944:
                      card-no: 0005 00006FDA                      card-no: 0005 00006FDA
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never      ssb  4096R/EC65030E  created: 2018-11-21  expires: never     
-(1)  Django aka BOfH <secmail@mailserver.guru>+(1)  Django aka BOfH <secmail@nausch.org>
 </code> </code>
   gpg> key 3   gpg> key 3
Zeile 922: Zeile 953:
                      card-no: 0005 00006FDA                      card-no: 0005 00006FDA
 ssb* 4096R/EC65030E  created: 2018-11-21  expires: never      ssb* 4096R/EC65030E  created: 2018-11-21  expires: never     
-(1)  Django aka BOfH <secmail@mailserver.guru>+(1)  Django aka BOfH <secmail@nausch.org>
 </code> </code>
  
Zeile 936: Zeile 967:
  
 You need a passphrase to unlock the secret key for You need a passphrase to unlock the secret key for
-user: "Django aka BOfH <secmail@mailserver.guru>"+user: "Django aka BOfH <secmail@nausch.org>"
 4096-bit RSA key, ID EC65030E, created 2018-11-21 4096-bit RSA key, ID EC65030E, created 2018-11-21
  
Zeile 947: Zeile 978:
 ssb* 4096R/EC65030E  created: 2018-11-21  expires: never      ssb* 4096R/EC65030E  created: 2018-11-21  expires: never     
                      card-no: 0005 00006FDA                      card-no: 0005 00006FDA
-(1)  Django aka BOfH <secmail@mailserver.guru>+(1)  Django aka BOfH <secmail@nausch.org>
 </code> </code>
  
Zeile 976: Zeile 1007:
 Authentication key: 268A DDA5 30FD 8FE7 DD86  2C5B 4E9B 2B65 EC65 030E Authentication key: 268A DDA5 30FD 8FE7 DD86  2C5B 4E9B 2B65 EC65 030E
       created ....: 2018-11-21 12:01:12       created ....: 2018-11-21 12:01:12
-General key info..: pub  4096R/ACCE2639 2018-11-21 Django aka BOfH <secmail@mailserver.guru>+General key info..: pub  4096R/ACCE2639 2018-11-21 Django aka BOfH <secmail@nausch.org>
 sec   4096R/D1359446  created: 2018-11-21  expires: never      sec   4096R/D1359446  created: 2018-11-21  expires: never     
 ssb>  4096R/564BA287  created: 2018-11-21  expires: never      ssb>  4096R/564BA287  created: 2018-11-21  expires: never     
Zeile 988: Zeile 1019:
 === Öffentlichen Schlüssel ausgeben === === Öffentlichen Schlüssel ausgeben ===
 Damit wir später unseren öffentlichen Schlüssel auch weitergeben oder zu einem [[https://keyserver.nausch.org|Keyserver]] hochladen, exportieren wir diesen in eine Datei. Damit wir später unseren öffentlichen Schlüssel auch weitergeben oder zu einem [[https://keyserver.nausch.org|Keyserver]] hochladen, exportieren wir diesen in eine Datei.
-  $ gpg --export --armor secmail@mailserver.guru > secmail@mailserver.guru.publickey+  $ gpg --export --armor secmail@nausch.org > secmail@nausch.org.publickey
  
 Diese Date enthält unseren Schlüssel in ASCCI-lesbarer Form. Diese Date enthält unseren Schlüssel in ASCCI-lesbarer Form.
-  $ cat  secmail@mailserver.guru.publickey +  $ cat  secmail@nausch.org.publickey 
-<file key secmail@mailserver.guru.publickey>-----BEGIN PGP PUBLIC KEY BLOCK-----+<file key secmail@nausch.org.publickey>-----BEGIN PGP PUBLIC KEY BLOCK-----
 Version: GnuPG v2.0.22 (GNU/Linux) Version: GnuPG v2.0.22 (GNU/Linux)
  
Zeile 1105: Zeile 1136:
  
   - Zunächst Wir legen uns erst einmal ein beliebiges Testdokument an. <code> $ cat /etc/redhat-release > testdatei.txt</code> Die Date hat nun folgenden Inhalt:<code> $ cat testdatei.txt</code><code>CentOS Linux release 7.5.1804 (Core)</code>   - Zunächst Wir legen uns erst einmal ein beliebiges Testdokument an. <code> $ cat /etc/redhat-release > testdatei.txt</code> Die Date hat nun folgenden Inhalt:<code> $ cat testdatei.txt</code><code>CentOS Linux release 7.5.1804 (Core)</code>
-  - Nun verschlüsseln wir dieses Textdokument: <code> $ gpg2 -o testdatei.txt.pgp -a -r secmail@mailserver.guru -e testdatei.txt</code> Wir haben also nun zwei Dokumente auf der Platte liegen. <code> $ ll testdatei.txt*</code><code>-rw-rw-r-- 1 django django  38 Nov 21 14:21 testdatei.txt+  - Nun verschlüsseln wir dieses Textdokument: <code> $ gpg2 -o testdatei.txt.pgp -a -r secmail@nausch.org -e testdatei.txt</code> Wir haben also nun zwei Dokumente auf der Platte liegen. <code> $ ll testdatei.txt*</code><code>-rw-rw-r-- 1 django django  38 Nov 21 14:21 testdatei.txt
 -rw-rw-r-- 1 django django 962 Nov 21 14:37 testdatei.txt.pgp</code>Die Datei **testdatei.txt.pgp** können wir nun soweit nicht mehr lesen.<code> $ cat testdatei.txt.pgp</code><code>� -rw-rw-r-- 1 django django 962 Nov 21 14:37 testdatei.txt.pgp</code>Die Datei **testdatei.txt.pgp** können wir nun soweit nicht mehr lesen.<code> $ cat testdatei.txt.pgp</code><code>�
   �̯VK����ꠔ��oY]�T>Jm��c������76]Ԛ�a&H   �̯VK����ꠔ��oY]�T>Jm��c������76]Ԛ�a&H
Zeile 1119: Zeile 1150:
 ��6��n�#?��*('�㔛��y�, �j� �ᡞ���M/��YW��ݤ�r؎�B$�</code> ��6��n�#?��*('�㔛��y�, �j� �ᡞ���M/��YW��ݤ�r؎�B$�</code>
   - Nun entschlüsseln wir unser Dokument wieder.<code> gpg2 --decrypt testdatei.txt.pgp > testdatei-entschlüsselt.txt</code><code>gpg: encrypted with 4096-bit RSA key, ID 564BA287, created 2018-11-21   - Nun entschlüsseln wir unser Dokument wieder.<code> gpg2 --decrypt testdatei.txt.pgp > testdatei-entschlüsselt.txt</code><code>gpg: encrypted with 4096-bit RSA key, ID 564BA287, created 2018-11-21
-      "Django aka BOfH <secmail@mailserver.guru></code> Den Inhalt dieser Datei können wir nun nach erfolgter Entschlüsselung natürlich wieder lesen.<code> $ cat testdatei-entschlüsselt.txt</code><code>CentOS Linux release 7.5.1804 (Core)</code>+      "Django aka BOfH <secmail@nausch.org></code> Den Inhalt dieser Datei können wir nun nach erfolgter Entschlüsselung natürlich wieder lesen.<code> $ cat testdatei-entschlüsselt.txt</code><code>CentOS Linux release 7.5.1804 (Core)</code>
  
 === Schlüssel aus dem lokalen Schlüsselspeicher entfernen ===  === Schlüssel aus dem lokalen Schlüsselspeicher entfernen === 
 +Löschen wir nun den kompletten Schlüssel aus der lokalen Schlüsseldatei, können wir folgenden Befehl verwenden.
 +   $ gpg --delete-secret-key secmail@nausch.org
 +<code>gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
 +This is free software: you are free to change and redistribute it.
 +There is NO WARRANTY, to the extent permitted by law.
 +
 +
 +sec  4096R/D1359446 2018-11-21 Django aka BOfH <secmail@nausch.org>
 +
 +Delete this key from the keyring? (y/N) y
 +This is a secret key! - really delete? (y/N) y
 +</code>
 +
 +<WRAP center round alert 95%>
 +__**Doch Achtung:**__
 +Hier wird der komplette Schlüssel gelöscht, also den **privaten Primären Signing Key** und nicht nur die Proxy-Einträge! Dies kann zu Problemen bei der späteren Verwendung des Nitrokey Pro auf der Konsole führen, da das gpg-Programm versucht den Schlüssel im Schlüsselbund zu finden!
 +</WRAP>
 +
 +Der gpg-Befehl ''**%%--%%delete-secret-keys**'' hat als Bezugspunkt den primären Signierungsschlüssel und würde beim entfernen dieses Schlüssels natürlich auch die Unterschlüssel entfernen. Da wir nur den privaten primären Signierungsschlüssel aus dem Schlüsselbund löschen wollen, exportieren wir die privaten Unterschlüssel, bevor wir den privaten Primary Signing Key löschen und werden diese dann anschließend wieder importieren.
 +
 +Wir exportieren also erst einmal die Unterschlüssel und legen diese in einer lokalen Datei ab. Zunächst holen wir uns aber noch die Schlüssel-IDs da wir diese beim Exportieren eiegns angeben müssen.
 +   $ gpg2 --list-secret-keys
 +<code>/home/django/.gnupg/secring.gpg
 +------------------------------
 +sec   4096R/D1359446 2018-11-21
 +uid                  Django aka BOfH <secmail@nausch.org>
 +ssb>  4096R/564BA287 2018-11-21
 +ssb>  4096R/ACCE2639 2018-11-21
 +ssb>  4096R/EC65030E 2018-11-21
 +</code>
 +Nun exportieren wir die Unterschlüssel mit Hilfe folgenden Aufrufs, bei dem wir die IDs der Unterschlüssel gfolgt von einem **!** jeweils angeben:
 +   $ gpg2 -o subkeys --export-secret-subkeys 564BA287! ACCE2639! EC65030E!
 +
 +Nun löschen wir den primären Signierungsschlüssel inkl. der Unterschlüssel.
 +   $ gpg2 --delete-secret-key secmail@nausch.org
 +<code>gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
 +This is free software: you are free to change and redistribute it.
 +There is NO WARRANTY, to the extent permitted by law.
 +
 +
 +sec  4096R/D1359446 2018-11-21 Django aka BOfH <secmail@nausch.org>
 +
 +Delete this key from the keyring? (y/N) y
 +This is a secret key! - really delete? (y/N) y</code>
 +
 +Ein erneuter Aufruf des privaten Schlüsselspeichers zeigt und, dass dort nun keine Einträge mehr vorhanden sind.
 +   $ gpg2 --list-secret-keys
 +
 +Nun importieren wir wieder die zuvor gesicherten privaten Unterschlüssel
 +   $ gpg2 --import subkeys
 +<code>gpg: key D1359446: secret key imported
 +gpg: key D1359446: "Django aka BOfH <secmail@nausch.org>" not changed
 +gpg: Total number processed: 1
 +gpg:              unchanged: 1
 +gpg:       secret keys read: 1
 +gpg:   secret keys imported: 1</code>
 +
 +Lassen wir uns nun den Inhalt des privaten Schlüsselbundes anzeigen, sehen wir die zurückgesicherten Unterschlüssel wieder.
 +   $ gpg2 --list-secret-keys
 +<code>/home/django/.gnupg/secring.gpg
 +------------------------------
 +sec#  4096R/D1359446 2018-11-21
 +uid                  Django aka BOfH <secmail@nausch.org>
 +ssb>  4096R/564BA287 2018-11-21
 +ssb>  4096R/ACCE2639 2018-11-21
 +ssb>  4096R/EC65030E 2018-11-21</code>
 +
 +Zu guter letzt vernichten wir die Datei mit den gesicherten privaten Unterschlüsseln.
 +   $ shred --zero --removesubkeys
 +
 +==== Nitrokey und Thunderbird ==== 
 +Unseren zuvor präparierten Kryptostick wollen wir nun verwenden um bei Thunderbird unsere elektronische Kommunikation per eMail abzusichern. Hierzu werden wir nun den schlüssel dem betreffenden Konto zuweisen. 
 +Über das Menü wählen wir den Punkt **Konten-Einstellungen** aus.
 +
 +{{ :centos:nitrokey:nitrokey-gpg_10.png?nolink&850 |Bild: Thunderbird - Menüpunkt Konten-Einstellungen }}
 +
 +Beim passenden Konto wählen wir dann die Option **OpenPGP-Sicherheit** aus.
 +
 +{{ :centos:nitrokey:nitrokey-gpg_11.png?nolink&800 |Bild: Thunderbird - Menüpunkt OpenPGP-Sicherheit }}
 +
 +Hier wählen wir nun den Schlüssel aus, den wir zuvor erstellt und auf die SmartCard des Kryptostick Pro verschoben hatten.
 +
 +{{ :centos:nitrokey:nitrokey-gpg_12.png?nolink&850 |Bild: Thunderbird - Auswahl des Schlüssels auf dem Kryptostick. }}
 +
 +Sobald wir nun eine Nachricht verschicken die signiert werden soll, wird vor dem Versand die PIN abgefragt und die Nachricht mit dem Signatur-Unterschlüssel unterschrieben.
  
 +{{ :centos:nitrokey:nitrokey-gpg_13.png?nolink&850 |Bild: Thunderbird - Signieren und Versenden einer Nachricht. }}
  
 +Sobald wir eine verschlüsselte Nachricht öffnen, werden wir nach der PIN gefragt, damit der Schlüssel zum Entschlüsseln auf der SmartCard freigeschalten werden kann.
  
 +{{ :centos:nitrokey:nitrokey-gpg_14.png?nolink&850 |Bild: Thunderbird - Abfrage der PIN zum Entschlüsseln der Nachricht }}
  
 +Habne wir die PIN richtig eigegeben, wird die entschlüsselte Nachricht angezeigt.
  
 +{{ :centos:nitrokey:nitrokey-gpg_15.png?nolink&850 |Bild: Thunderbird - Anzeige der entschlüsselten Nachricht }}
  
  
  • centos/nitrokey/pro.1542810033.txt.gz
  • Zuletzt geändert: 21.11.2018 14:20.
  • von django