Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
centos:nitrokey:start [24.11.2018 19:50. ] – [Verschlüsseln und entschlüsseln] django | centos:nitrokey:start [24.11.2018 20:21. ] – [change-pin] django | ||
---|---|---|---|
Zeile 1064: | Zeile 1064: | ||
=== Schlüssel aus dem lokalen Schlüsselspeicher entfernen === | === Schlüssel aus dem lokalen Schlüsselspeicher entfernen === | ||
Löschen wir nun den kompletten Schlüssel aus der lokalen Schlüsseldatei, | Löschen wir nun den kompletten Schlüssel aus der lokalen Schlüsseldatei, | ||
- | $ gpg --delete-secret-key | + | $ gpg --delete-secret-key |
< | < | ||
This is free software: you are free to change and redistribute it. | This is free software: you are free to change and redistribute it. | ||
Zeile 1070: | Zeile 1070: | ||
- | sec 4096R/D1359446 | + | sec 4096R/2ADD88EB |
- | Delete this key from the keyring? (y/N) y | + | Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j |
- | This is a secret key! - really delete? (y/N) y | + | Dies ist ein privater Schlüssel! - Wirklich löschen? (j/N) j |
</ | </ | ||
<WRAP center round alert 95%> | <WRAP center round alert 95%> | ||
__**Doch Achtung: | __**Doch Achtung: | ||
- | Hier wird der komplette Schlüssel gelöscht, also den **privaten Primären Signing Key** und nicht nur die Proxy-Einträge! Dies kann zu Problemen bei der späteren Verwendung des Nitrokey | + | Hier wird der komplette Schlüssel gelöscht, also den **privaten Primären Signing Key** und nicht nur die Proxy-Einträge! Dies kann zu Problemen bei der späteren Verwendung des Nitrokey |
</ | </ | ||
- | Der gpg-Befehl '' | + | Der gpg-Befehl '' |
Wir exportieren also erst einmal die Unterschlüssel und legen diese in einer lokalen Datei ab. Zunächst holen wir uns aber noch die Schlüssel-IDs da wir diese beim Exportieren eiegns angeben müssen. | Wir exportieren also erst einmal die Unterschlüssel und legen diese in einer lokalen Datei ab. Zunächst holen wir uns aber noch die Schlüssel-IDs da wir diese beim Exportieren eiegns angeben müssen. | ||
Zeile 1087: | Zeile 1087: | ||
< | < | ||
------------------------------ | ------------------------------ | ||
- | sec | + | sec |
- | uid Django aka BOfH <secmail@mailserver.guru> | + | uid Django aka Bastard Operator from Hell <django@mailserver.guru> |
- | ssb> | + | ssb> |
- | ssb> | + | ssb> |
- | ssb> | + | ssb> |
</ | </ | ||
- | Nun exportieren wir die Unterschlüssel mit Hilfe folgenden Aufrufs, bei dem wir die IDs der Unterschlüssel | + | Nun exportieren wir die Unterschlüssel mit Hilfe folgenden Aufrufs, bei dem wir die IDs der Unterschlüssel |
- | $ gpg2 -o subkeys --export-secret-subkeys | + | $ gpg2 -o subkeys --export-secret-subkeys |
Nun löschen wir den primären Signierungsschlüssel inkl. der Unterschlüssel. | Nun löschen wir den primären Signierungsschlüssel inkl. der Unterschlüssel. | ||
- | $ gpg2 --delete-secret-key | + | $ gpg2 --delete-secret-key |
< | < | ||
This is free software: you are free to change and redistribute it. | This is free software: you are free to change and redistribute it. | ||
Zeile 1103: | Zeile 1103: | ||
- | sec 4096R/D1359446 | + | sec 4096R/2ADD88EB |
- | Delete this key from the keyring? (y/N) y | + | Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j |
- | This is a secret key! - really delete? (y/N) y</ | + | Dies ist ein privater Schlüssel! - Wirklich löschen? (j/N) j</ |
Ein erneuter Aufruf des privaten Schlüsselspeichers zeigt und, dass dort nun keine Einträge mehr vorhanden sind. | Ein erneuter Aufruf des privaten Schlüsselspeichers zeigt und, dass dort nun keine Einträge mehr vorhanden sind. | ||
Zeile 1113: | Zeile 1113: | ||
Nun importieren wir wieder die zuvor gesicherten privaten Unterschlüssel | Nun importieren wir wieder die zuvor gesicherten privaten Unterschlüssel | ||
$ gpg2 --import subkeys | $ gpg2 --import subkeys | ||
- | < | + | < |
- | gpg: key D1359446: " | + | gpg: Schlüssel 2ADD88EB: " |
- | gpg: Total number processed: 1 | + | gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1 |
- | gpg: | + | gpg: unverändert: 1 |
- | gpg: secret keys read: 1 | + | gpg: |
- | gpg: secret keys imported: 1</ | + | gpg: |
Lassen wir uns nun den Inhalt des privaten Schlüsselbundes anzeigen, sehen wir die zurückgesicherten Unterschlüssel wieder. | Lassen wir uns nun den Inhalt des privaten Schlüsselbundes anzeigen, sehen wir die zurückgesicherten Unterschlüssel wieder. | ||
Zeile 1124: | Zeile 1124: | ||
< | < | ||
------------------------------ | ------------------------------ | ||
- | sec# 4096R/D1359446 | + | sec# 4096R/2ADD88EB |
- | uid Django aka BOfH <secmail@mailserver.guru> | + | uid Django aka Bastard Operator from Hell <django@mailserver.guru> |
- | ssb> | + | ssb> |
- | ssb> | + | ssb> |
- | ssb> | + | ssb> |
Zu guter letzt vernichten wir die Datei mit den gesicherten privaten Unterschlüsseln. | Zu guter letzt vernichten wir die Datei mit den gesicherten privaten Unterschlüsseln. | ||
- | $ shred --zero --removesubkeys | + | $ shred --zero --remove subkeys |
Zeile 1166: | Zeile 1166: | ||
=== change-pin === | === change-pin === | ||
- | Wie schon mit der **[[centos:nitrokey: | + | <WRAP center round warn 95%> |
+ | **WICHTIG**: | ||
+ | Unbedingt vor dem ersten Ändern der PINs ist es notwendig, erst einmal Schlüssel zu generieren bzw. zu importieren! Denn sonst schlägt das Ändern der Benutzer-PIN fehl, bzw. wird die Benutzer-PIN beim Überschreiben von Schlüsseln auf den Default-Wert von **123456** zurückgesetzt. Die Default-PIN für den Admin lautet **12345678**. | ||
+ | </ | ||
+ | |||
+ | Mit Hilfe des Befehls '' | ||
Die Benutzer-PIN (Menüpunkt **1**) wird benötigt für den täglichen Betrieb wie z.B. zum Entsperren des Token, oder zum Signieren und Verschlüsseln. Die Mindestlänge für den User-Pin beträgt 6 Zeichen. | Die Benutzer-PIN (Menüpunkt **1**) wird benötigt für den täglichen Betrieb wie z.B. zum Entsperren des Token, oder zum Signieren und Verschlüsseln. Die Mindestlänge für den User-Pin beträgt 6 Zeichen. | ||
Zeile 1172: | Zeile 1177: | ||
Die Admin-PIN (Menüpunkt **3**) wird für die Karten-/ | Die Admin-PIN (Menüpunkt **3**) wird für die Karten-/ | ||
- | <WRAP center round important | + | <WRAP center round important |
Wird die Benutzer-PIN 3x falsch eingeben, wird die Karte gesperrt und kann dann nur mit der Admin-PIN oder dem Reset-Code zurückgesetzt werden. Wenn Sie den falschen Admin-Pin dreimal eingeben, wird die Karte unbrauchbar und kann dann lediglich mit einem Factory-Reset (Verlußt aller Kartendaten!) zurück gesetzt werden! | Wird die Benutzer-PIN 3x falsch eingeben, wird die Karte gesperrt und kann dann nur mit der Admin-PIN oder dem Reset-Code zurückgesetzt werden. Wenn Sie den falschen Admin-Pin dreimal eingeben, wird die Karte unbrauchbar und kann dann lediglich mit einem Factory-Reset (Verlußt aller Kartendaten!) zurück gesetzt werden! | ||
+ | |||
+ | Ferner ist darauf zu achten, dass zunächst die Admin-PIN und erst dann die Nutzer-PIN geändert. Ansonsten wird nämlich der // | ||
</ | </ | ||
Zeile 1191: | Zeile 1198: | ||
Ihre Auswahl?</ | Ihre Auswahl?</ | ||
- | Beim Menüpunkt 1 können wir z.B. die Benutzer-PIN | + | Wir ändern also zu erste die Admin-PIN durch Auswahl des Menüpunkts **3** aus und erst anschliessend |
{{ : | {{ : | ||
+ | < | ||
+ | PIN changed. | ||
+ | |||
+ | 1 - change PIN | ||
+ | 2 - unblock PIN | ||
+ | 3 - change Admin PIN | ||
+ | 4 - set the Reset Code | ||
+ | Q - quit | ||
+ | |||
+ | Ihre Auswahl? 1 | ||
+ | PIN changed. | ||
+ | |||
+ | 1 - change PIN | ||
+ | 2 - unblock PIN | ||
+ | 3 - change Admin PIN | ||
+ | 4 - set the Reset Code | ||
+ | Q - quit | ||
+ | Ihre Auswahl? q</ | ||