Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- centos:nitrokey:pro [21.11.2018 20:09. ] – [Nitrokey-App] django
+++ centos:nitrokey:pro [18.11.2024 18:59. ] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 50: / Zeile 50: @@
 ===== Paketabhängigkeiten =====
+Für den Zugriff auf die SmartCard bzw. auf den Nitrokey Pro benötigen wir z.B. für GPG den SmartCard-Daemon **scdeamon** welcher bei CentOS 7 mit Hilfe es Pakets **gnupg2-smime** bereitgestellt wird.
+Dieses Paket installieren wir nun noch via **yum**.
+   #  yum install gnupg2-smime -y
+Leider ist das Paket an sich aus Sicht der Entwickler des Kryptostick in einer nicht aktuellen Version bei CentOS 7 verfügbar (CentOS 7: 2.0.22 - aktuelle Version: 2.2.11)((Stand November 2018)). Das hat leider zur Folge, dass wir die PGP-Schlüssel __nicht__ direkt [[centos:nitrokey:pro#schluessel_generieren|auf der SmartCard]] generieren können, sondern diesen wie gewohnt [[centos:nitrokey:pro#vorhandenen_schluessel_importieren|auf dem Rechner]] erzeugen und anschliessend auf den Nitrokey Pro Stick verschoben werden muss.
 ===== udev-Regeln =====
 Für den Betrieb unter [[https://www.centos.org/|CentOS 7]] müssen wir uns noch passende udev-Definitionen **[[https://www.nitrokey.com/sites/default/files/41-nitrokey.rules|hier]]** besorgen und unserer Umgebung anpassen. Dies ist notwendig, da sonst die Gerätedatei nicht mit den entsprechenden Benutzer-Rechten angelegt wird!
@@ Zeile 201: / Zeile 208: @@
 {{ :centos:nitrokey:nitrokey-app_06.png?nolink&325 |Bild: Nitrokey-App Bildschirmhardcopy - Dialog zum PIN Ändern}}
-=== Password-Safe ===
+=== Passwort-Safe ===
+Der Kryptostick bietet uns die Möglichkeit bis zu 16 Passwörter anzuspeichern, die wir dann später einfach bei entsperrtem Nitrokey Pro Stick abrufen, in den Zwischenspeicher kopieren um es dann bei den (Web)Anwendungen einzufügen.
+Damit wir unser ersten Passwort auf dem Stick ablegen können, ist es notwendig den Stick zu entsperren.
+{{ :centos:nitrokey:nitrokey-app_07.png?nolink&200 |Bild: Nitrokey Pro entsperren}}
+Nach der eingabe der PIN wird unser Kryptostick entsperrt und wir können anschließend  den Menüpunkt **Konfiguration** erreichen.
+{{ :centos:nitrokey:nitrokey-app_09.png?nolink&275 |Bild: Nitrokey Pro entsperren}}
+Über den Menüpunkt **Konfiguration** gelangen wir zu den Einstellungen und wiederum auf dem Reiter **Passwort-Safe** dann die einstellungen zu den Anmeldedaten im Passwort-Safe.
+{{ :centos:nitrokey:nitrokey-app_08.png?nolink&800 |Bild: Nitrokey Pro entsperren}}
+Wollen wir uns nun später an einer (Web)-Anwendung anmelden, wählen wir aus der oberen Statusleiste die Nitrokey App aus und wählen beim Menüpunkt **Paswörter** den hinterlegte Passworteintrag aus.
+{{ :centos:nitrokey:nitrokey-app_10.png?nolink&260 |Bild: Nitrokey Pro entsperren}}
+Sobald wir diesen Eintrag anklicken wird das zugehörige Passwort in die Zwischenablage kopiert und wir können dies dann in das zugehörige Eingabemaske einfügen.
+{{ :centos:nitrokey:nitrokey-app_11.png?nolink&290 |Bild: Nitrokey Pro entsperren}}
 ==== Nitrokey Pro und GnuPG  ====
 Da es sich bei der Chipkarte des **Nitrokey Pro** um eine standardkompatible OpenPGP-Karte handelt, kann der Kryptostick mit Hilfe von **[[https://www.gnupg.org/|GnuPG]]** verwaltet werden. Hierzu installieren wir uns das Paket **gnupg2**, sofern es nicht bereits bei der Erstkonfiguration unseres Rechner installiert wurde.
@@ Zeile 368: / Zeile 398: @@
    $ gpg --card-edit
-<code><code>Application ID ...: D276000124010303000500006FDA0000
+<code>Application ID ...: D276000124010303000500006FDA0000
 Version ..........: 3.3
 Manufacturer .....: ZeitControl
@@ Zeile 388: / Zeile 418: @@
 gpg/card></code>
-</code>
    gpg/card> admin
@@ Zeile 473: / Zeile 502: @@
 Ihr Name ("Vorname Nachname"): Django aka BOfH
-Email-Adresse: secmail@mailserver.guru
+Email-Adresse: secmail@nausch.org
 Kommentar: Bastard Operator from Hell
 Sie haben diese User-ID gewählt:
-    "Django aka BOfH (Bastard Operator from Hell) <secmail@mailserver.guru>"
+    "Django aka BOfH (Bastard Operator from Hell) <secmail@nausch.org>"
 Ändern: (N)ame, (K)ommentar, (E)-Mail oder (F)ertig/(A)bbrechen? f</code>
@@ Zeile 524: / Zeile 553: @@
 Real name: Django aka BOfH
-Email address: secmail@mailserver.guru
+Email address: secmail@nausch.org
 Comment:
 You selected this USER-ID:
-    "Django aka BOfH <secmail@mailserver.guru>"
+    "Django aka BOfH <secmail@nausch.org>"
 Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o
@@ Zeile 544: / Zeile 573: @@
 pub   4096R/D1359446 2018-11-21
       Key fingerprint = FA63 2892 1925 65D3 E006  DC75 2ECB E36F D135 9446
-uid                  Django aka BOfH <secmail@mailserver.guru>
+uid                  Django aka BOfH <secmail@nausch.org>
 sub   4096R/564BA287 2018-11-21
 </code>
@@ Zeile 553: / Zeile 582: @@
 ------------------------------
 sec   4096R/D1359446 2018-11-21
-uid                  Django aka BOfH <secmail@mailserver.guru>
+uid                  Django aka BOfH <secmail@nausch.org>
 ssb   4096R/564BA287 2018-11-21</code>
@@ Zeile 568: / Zeile 597: @@
 ------------------------------
 pub   4096R/D1359446 2018-11-21
-uid                  Django aka BOfH <secmail@mailserver.guru>
+uid                  Django aka BOfH <secmail@nausch.org>
 sub   4096R/564BA287 2018-11-21
 </code>
@@ Zeile 579: / Zeile 608: @@
 ------------------------------
 sec   4096R/D1359446 2018-11-21
-uid                  Django aka BOfH <secmail@mailserver.guru>
+uid                  Django aka BOfH <secmail@nausch.org>
 ssb   4096R/564BA287 2018-11-21
 </code>
@@ Zeile 638: / Zeile 667: @@
                      trust: ultimate      validity: ultimate
 sub  4096R/564BA287  created: 2018-11-21  expires: never       usage: E
-[ultimate] (1). Django aka BOfH <secmail@mailserver.guru>
+[ultimate] (1). Django aka BOfH <secmail@nausch.org>
 gpg></code>
@@ Zeile 646: / Zeile 675: @@
 You need a passphrase to unlock the secret key for
-user: "Django aka BOfH <secmail@mailserver.guru>"
+user: "Django aka BOfH <secmail@nausch.org>"
 -bit RSA key, ID D1359446, created 2018-11-21
@@ Zeile 683: / Zeile 712: @@
 sub  4096R/564BA287  created: 2018-11-21  expires: never       usage: E
 sub  4096R/ACCE2639  created: 2018-11-21  expires: never       usage: S
-[ultimate] (1). Django aka BOfH <secmail@mailserver.guru>
+[ultimate] (1). Django aka BOfH <secmail@nausch.org>
 gpg></code>
@@ Zeile 692: / Zeile 721: @@
 You need a passphrase to unlock the secret key for
-user: "Django aka BOfH <secmail@mailserver.guru>"
+user: "Django aka BOfH <secmail@nausch.org>"
 -bit RSA key, ID D1359446, created 2018-11-21
@@ Zeile 775: / Zeile 804: @@
 sub  4096R/ACCE2639  created: 2018-11-21  expires: never       usage: S
 sub  4096R/EC65030E  created: 2018-11-21  expires: never       usage: A
-[ultimate] (1). Django aka BOfH <secmail@mailserver.guru>
+[ultimate] (1). Django aka BOfH <secmail@nausch.org>
 </code>
@@ Zeile 788: / Zeile 817: @@
 ------------------------------
 sec   4096R/D1359446 2018-11-21
-uid                  Django aka BOfH <secmail@mailserver.guru>
+uid                  Django aka BOfH <secmail@nausch.org>
 ssb   4096R/564BA287 2018-11-21
 ssb   4096R/ACCE2639 2018-11-21
@@ Zeile 814: / Zeile 843: @@
 sub  4096R/ACCE2639  created: 2018-11-21  expires: never       usage: S
 sub  4096R/EC65030E  created: 2018-11-21  expires: never       usage: A
-[ultimate] (1). Django aka BOfH <secmail@mailserver.guru>
+[ultimate] (1). Django aka BOfH <secmail@nausch.org>
 Für später merken wir uns nun in Welcher Reichenfolge die Unterschlüssel aufgelistet werden bzw. welche Key-ID zu welcher Aktion gehört. Die Key-ID **0** ist die des primären Signierungs-Schlüssel!
@@ Zeile 829: / Zeile 858: @@
 ssb  4096R/ACCE2639  created: 2018-11-21  expires: never
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never
-(1)  Django aka BOfH <secmail@mailserver.guru></code>
+(1)  Django aka BOfH <secmail@nausch.org></code>
 Als erstes verschieben wir den privaten Verschlüsselungs-Unterschlüssel. Hierzu wählen wir diesen mit Eingabe von "1" ein. Die Auswajhl wird uns dann durch den ** * ** angezeigt.
@@ Zeile 838: / Zeile 867: @@
 ssb  4096R/ACCE2639  created: 2018-11-21  expires: never
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never
-(1)  Django aka BOfH <secmail@mailserver.guru></code>
+(1)  Django aka BOfH <secmail@nausch.org></code>
 Nun verschieben wir den ausgewählten Schlüssel in die SmartCard des Nitrokey. Als Ziel wählen wir dann richtiger Weise die Option **2** = //**Encryption key**// aus
@@ Zeile 852: / Zeile 881: @@
 You need a passphrase to unlock the secret key for
-user: "Django aka BOfH <secmail@mailserver.guru>"
+user: "Django aka BOfH <secmail@nausch.org>"
 -bit RSA key, ID 564BA287, created 2018-11-21
@@ Zeile 861: / Zeile 890: @@
 ssb  4096R/ACCE2639  created: 2018-11-21  expires: never
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never
-(1)  Django aka BOfH <secmail@mailserver.guru>
+(1)  Django aka BOfH <secmail@nausch.org>
 </code>
@@ Zeile 871: / Zeile 900: @@
 ssb  4096R/ACCE2639  created: 2018-11-21  expires: never
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never
-(1)  Django aka BOfH <secmail@mailserver.guru>
+(1)  Django aka BOfH <secmail@nausch.org>
 </code>
   gpg> key 2
@@ Zeile 879: / Zeile 908: @@
 ssb* 4096R/ACCE2639  created: 2018-11-21  expires: never
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never
-(1)  Django aka BOfH <secmail@mailserver.guru>
+(1)  Django aka BOfH <secmail@nausch.org>
 </code>
@@ Zeile 894: / Zeile 923: @@
 You need a passphrase to unlock the secret key for
-user: "Django aka BOfH <secmail@mailserver.guru>"
+user: "Django aka BOfH <secmail@nausch.org>"
 -bit RSA key, ID ACCE2639, created 2018-11-21
@@ Zeile 904: / Zeile 933: @@
                      card-no: 0005 00006FDA
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never
-(1)  Django aka BOfH <secmail@mailserver.guru>
+(1)  Django aka BOfH <secmail@nausch.org>
 </code>
@@ Zeile 915: / Zeile 944: @@
                      card-no: 0005 00006FDA
 ssb  4096R/EC65030E  created: 2018-11-21  expires: never
-(1)  Django aka BOfH <secmail@mailserver.guru>
+(1)  Django aka BOfH <secmail@nausch.org>
 </code>
   gpg> key 3
@@ Zeile 924: / Zeile 953: @@
                      card-no: 0005 00006FDA
 ssb* 4096R/EC65030E  created: 2018-11-21  expires: never
-(1)  Django aka BOfH <secmail@mailserver.guru>
+(1)  Django aka BOfH <secmail@nausch.org>
 </code>
@@ Zeile 938: / Zeile 967: @@
 You need a passphrase to unlock the secret key for
-user: "Django aka BOfH <secmail@mailserver.guru>"
+user: "Django aka BOfH <secmail@nausch.org>"
 -bit RSA key, ID EC65030E, created 2018-11-21
@@ Zeile 949: / Zeile 978: @@
 ssb* 4096R/EC65030E  created: 2018-11-21  expires: never
                      card-no: 0005 00006FDA
-(1)  Django aka BOfH <secmail@mailserver.guru>
+(1)  Django aka BOfH <secmail@nausch.org>
 </code>
@@ Zeile 978: / Zeile 1007: @@
 Authentication key: 268A DDA5 30FD 8FE7 DD86  2C5B 4E9B 2B65 EC65 030E
       created ....: 2018-11-21 12:01:12
-General key info..: pub  4096R/ACCE2639 2018-11-21 Django aka BOfH <secmail@mailserver.guru>
+General key info..: pub  4096R/ACCE2639 2018-11-21 Django aka BOfH <secmail@nausch.org>
 sec   4096R/D1359446  created: 2018-11-21  expires: never
 ssb>  4096R/564BA287  created: 2018-11-21  expires: never
@@ Zeile 990: / Zeile 1019: @@
 === Öffentlichen Schlüssel ausgeben ===
 Damit wir später unseren öffentlichen Schlüssel auch weitergeben oder zu einem [[https://keyserver.nausch.org|Keyserver]] hochladen, exportieren wir diesen in eine Datei.
-  $ gpg --export --armor secmail@mailserver.guru > secmail@mailserver.guru.publickey
+  $ gpg --export --armor secmail@nausch.org > secmail@nausch.org.publickey
 Diese Date enthält unseren Schlüssel in ASCCI-lesbarer Form.
-  $ cat  secmail@mailserver.guru.publickey
+  $ cat  secmail@nausch.org.publickey
-<file key secmail@mailserver.guru.publickey>-----BEGIN PGP PUBLIC KEY BLOCK-----
+<file key secmail@nausch.org.publickey>-----BEGIN PGP PUBLIC KEY BLOCK-----
 Version: GnuPG v2.0.22 (GNU/Linux)
@@ Zeile 1107: / Zeile 1136: @@
   - Zunächst Wir legen uns erst einmal ein beliebiges Testdokument an. <code> $ cat /etc/redhat-release > testdatei.txt</code> Die Date hat nun folgenden Inhalt:<code> $ cat testdatei.txt</code><code>CentOS Linux release 7.5.1804 (Core)</code>
-  - Nun verschlüsseln wir dieses Textdokument: <code> $ gpg2 -o testdatei.txt.pgp -a -r secmail@mailserver.guru -e testdatei.txt</code> Wir haben also nun zwei Dokumente auf der Platte liegen. <code> $ ll testdatei.txt*</code><code>-rw-rw-r-- 1 django django  38 Nov 21 14:21 testdatei.txt
+  - Nun verschlüsseln wir dieses Textdokument: <code> $ gpg2 -o testdatei.txt.pgp -a -r secmail@nausch.org -e testdatei.txt</code> Wir haben also nun zwei Dokumente auf der Platte liegen. <code> $ ll testdatei.txt*</code><code>-rw-rw-r-- 1 django django  38 Nov 21 14:21 testdatei.txt
 -rw-rw-r-- 1 django django 962 Nov 21 14:37 testdatei.txt.pgp</code>Die Datei **testdatei.txt.pgp** können wir nun soweit nicht mehr lesen.<code> $ cat testdatei.txt.pgp</code><code>�
   �̯VK����ꠔ��oY]�T>Jm��c������76]Ԛ�a&H
@@ Zeile 1121: / Zeile 1150: @@
 ��6��n�#?��*('�㔛��y�,	�j�	�ᡞ���M/��YW��ݤ�r؎�B$�</code>
   - Nun entschlüsseln wir unser Dokument wieder.<code> gpg2 --decrypt testdatei.txt.pgp > testdatei-entschlüsselt.txt</code><code>gpg: encrypted with 4096-bit RSA key, ID 564BA287, created 2018-11-21
-      "Django aka BOfH <secmail@mailserver.guru></code> Den Inhalt dieser Datei können wir nun nach erfolgter Entschlüsselung natürlich wieder lesen.<code> $ cat testdatei-entschlüsselt.txt</code><code>CentOS Linux release 7.5.1804 (Core)</code>
+      "Django aka BOfH <secmail@nausch.org></code> Den Inhalt dieser Datei können wir nun nach erfolgter Entschlüsselung natürlich wieder lesen.<code> $ cat testdatei-entschlüsselt.txt</code><code>CentOS Linux release 7.5.1804 (Core)</code>
 === Schlüssel aus dem lokalen Schlüsselspeicher entfernen ===
 Löschen wir nun den kompletten Schlüssel aus der lokalen Schlüsseldatei, können wir folgenden Befehl verwenden.
-   $ gpg --delete-secret-key secmail@mailserver.guru
+   $ gpg --delete-secret-key secmail@nausch.org
 <code>gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
 This is free software: you are free to change and redistribute it.
@@ Zeile 1131: / Zeile 1160: @@
-sec  4096R/D1359446 2018-11-21 Django aka BOfH <secmail@mailserver.guru>
+sec  4096R/D1359446 2018-11-21 Django aka BOfH <secmail@nausch.org>
 Delete this key from the keyring? (y/N) y
@@ Zeile 1149: / Zeile 1178: @@
 ------------------------------
 sec   4096R/D1359446 2018-11-21
-uid                  Django aka BOfH <secmail@mailserver.guru>
+uid                  Django aka BOfH <secmail@nausch.org>
 ssb>  4096R/564BA287 2018-11-21
 ssb>  4096R/ACCE2639 2018-11-21
@@ Zeile 1158: / Zeile 1187: @@
 Nun löschen wir den primären Signierungsschlüssel inkl. der Unterschlüssel.
-   $ gpg2 --delete-secret-key secmail@mailserver.guru
+   $ gpg2 --delete-secret-key secmail@nausch.org
 <code>gpg (GnuPG) 2.0.22; Copyright (C) 2013 Free Software Foundation, Inc.
 This is free software: you are free to change and redistribute it.
@@ Zeile 1164: / Zeile 1193: @@
-sec  4096R/D1359446 2018-11-21 Django aka BOfH <secmail@mailserver.guru>
+sec  4096R/D1359446 2018-11-21 Django aka BOfH <secmail@nausch.org>
 Delete this key from the keyring? (y/N) y
@@ Zeile 1175: / Zeile 1204: @@
    $ gpg2 --import subkeys
 <code>gpg: key D1359446: secret key imported
-gpg: key D1359446: "Django aka BOfH <secmail@mailserver.guru>" not changed
+gpg: key D1359446: "Django aka BOfH <secmail@nausch.org>" not changed
 gpg: Total number processed: 1
 gpg:              unchanged: 1
@@ Zeile 1186: / Zeile 1215: @@
 ------------------------------
 sec#  4096R/D1359446 2018-11-21
-uid                  Django aka BOfH <secmail@mailserver.guru>
+uid                  Django aka BOfH <secmail@nausch.org>
 ssb>  4096R/564BA287 2018-11-21
 ssb>  4096R/ACCE2639 2018-11-21
@@ Zeile 1195: / Zeile 1224: @@
 ==== Nitrokey und Thunderbird ====
+Unseren zuvor präparierten Kryptostick wollen wir nun verwenden um bei Thunderbird unsere elektronische Kommunikation per eMail abzusichern. Hierzu werden wir nun den schlüssel dem betreffenden Konto zuweisen.
+Über das Menü wählen wir den Punkt **Konten-Einstellungen** aus.
+{{ :centos:nitrokey:nitrokey-gpg_10.png?nolink&850 |Bild: Thunderbird - Menüpunkt Konten-Einstellungen }}
+Beim passenden Konto wählen wir dann die Option **OpenPGP-Sicherheit** aus.
+{{ :centos:nitrokey:nitrokey-gpg_11.png?nolink&800 |Bild: Thunderbird - Menüpunkt OpenPGP-Sicherheit }}
+Hier wählen wir nun den Schlüssel aus, den wir zuvor erstellt und auf die SmartCard des Kryptostick Pro verschoben hatten.
+{{ :centos:nitrokey:nitrokey-gpg_12.png?nolink&850 |Bild: Thunderbird - Auswahl des Schlüssels auf dem Kryptostick. }}
+Sobald wir nun eine Nachricht verschicken die signiert werden soll, wird vor dem Versand die PIN abgefragt und die Nachricht mit dem Signatur-Unterschlüssel unterschrieben.
+{{ :centos:nitrokey:nitrokey-gpg_13.png?nolink&850 |Bild: Thunderbird - Signieren und Versenden einer Nachricht. }}
+Sobald wir eine verschlüsselte Nachricht öffnen, werden wir nach der PIN gefragt, damit der Schlüssel zum Entschlüsseln auf der SmartCard freigeschalten werden kann.
+{{ :centos:nitrokey:nitrokey-gpg_14.png?nolink&850 |Bild: Thunderbird - Abfrage der PIN zum Entschlüsseln der Nachricht }}
+Habne wir die PIN richtig eigegeben, wird die entschlüsselte Nachricht angezeigt.
+{{ :centos:nitrokey:nitrokey-gpg_15.png?nolink&850 |Bild: Thunderbird - Anzeige der entschlüsselten Nachricht }}