Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
centos:nitrokey:start [24.11.2018 19:45. ] – [Verschlüsseln und entschlüsseln] django | centos:nitrokey:start [22.07.2019 14:55. ] (aktuell) – Externe Bearbeitung 127.0.0.1 | ||
---|---|---|---|
Zeile 349: | Zeile 349: | ||
Dabei ist es unerheblich ob nun eine Schlüssellänge von **2048** oder **4096** ausgewählt wird! | Dabei ist es unerheblich ob nun eine Schlüssellänge von **2048** oder **4096** ausgewählt wird! | ||
- | Ähnlich wie schon beim Vorgängermodell **[[centos: | + | Ähnlich wie schon beim Vorgängermodell **[[centos: |
</ | </ | ||
Zeile 424: | Zeile 424: | ||
</ | </ | ||
- | Obwohl wir zuvor "nur einen" // | + | Obwohl wir zuvor "nur einen" // |
Beide Schlüssel sehen wir auch, wenn wir uns den Inhalt des secrings anzeigen lassen. Hierzu verwenden wir die Option '' | Beide Schlüssel sehen wir auch, wenn wir uns den Inhalt des secrings anzeigen lassen. Hierzu verwenden wir die Option '' | ||
Zeile 1059: | Zeile 1059: | ||
=mDf3 | =mDf3 | ||
-----END PGP MESSAGE-----</ | -----END PGP MESSAGE-----</ | ||
- | - Nun entschlüsseln wir unser Dokument wieder.< | + | - Nun entschlüsseln wir unser Dokument wieder.< |
" | " | ||
+ | === Schlüssel aus dem lokalen Schlüsselspeicher entfernen === | ||
+ | Löschen wir nun den kompletten Schlüssel aus der lokalen Schlüsseldatei, | ||
+ | $ gpg --delete-secret-key michael.nausch@it.piratenpartei.de | ||
+ | < | ||
+ | This is free software: you are free to change and redistribute it. | ||
+ | There is NO WARRANTY, to the extent permitted by law. | ||
+ | |||
+ | |||
+ | sec 4096R/ | ||
+ | |||
+ | Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j | ||
+ | Dies ist ein privater Schlüssel! - Wirklich löschen? (j/N) j | ||
+ | </ | ||
+ | |||
+ | <WRAP center round alert 95%> | ||
+ | __**Doch Achtung: | ||
+ | Hier wird der komplette Schlüssel gelöscht, also den **privaten Primären Signing Key** und nicht nur die Proxy-Einträge! Dies kann zu Problemen bei der späteren Verwendung des Nitrokey Start auf der Konsole führen, da das gpg-Programm versucht den Schlüssel im Schlüsselbund zu finden! | ||
+ | </ | ||
+ | |||
+ | Der gpg-Befehl '' | ||
+ | |||
+ | Wir exportieren also erst einmal die Unterschlüssel und legen diese in einer lokalen Datei ab. Zunächst holen wir uns aber noch die Schlüssel-IDs da wir diese beim Exportieren eiegns angeben müssen. | ||
+ | $ gpg2 --list-secret-keys | ||
+ | < | ||
+ | ------------------------------ | ||
+ | sec | ||
+ | uid Django aka Bastard Operator from Hell < | ||
+ | ssb> | ||
+ | ssb> | ||
+ | ssb> | ||
+ | </ | ||
+ | Nun exportieren wir die Unterschlüssel mit Hilfe folgenden Aufrufs, bei dem wir die IDs der Unterschlüssel gefolgt von einem **!** jeweils angeben: | ||
+ | $ gpg2 -o subkeys --export-secret-subkeys B815F8ED! 25704226! E8B122B0! | ||
+ | |||
+ | Nun löschen wir den primären Signierungsschlüssel inkl. der Unterschlüssel. | ||
+ | $ gpg2 --delete-secret-key django@mailserver.guru | ||
+ | < | ||
+ | This is free software: you are free to change and redistribute it. | ||
+ | There is NO WARRANTY, to the extent permitted by law. | ||
+ | |||
+ | |||
+ | sec 4096R/ | ||
+ | |||
+ | Diesen Schlüssel aus dem Schlüsselbund löschen? (j/N) j | ||
+ | Dies ist ein privater Schlüssel! - Wirklich löschen? (j/N) j</ | ||
+ | |||
+ | Ein erneuter Aufruf des privaten Schlüsselspeichers zeigt und, dass dort nun keine Einträge mehr vorhanden sind. | ||
+ | $ gpg2 --list-secret-keys | ||
+ | |||
+ | Nun importieren wir wieder die zuvor gesicherten privaten Unterschlüssel | ||
+ | $ gpg2 --import subkeys | ||
+ | < | ||
+ | gpg: Schlüssel 2ADD88EB: " | ||
+ | gpg: Anzahl insgesamt bearbeiteter Schlüssel: 1 | ||
+ | gpg: | ||
+ | gpg: gelesene geheime Schlüssel: 1 | ||
+ | gpg: geheime Schlüssel importiert: 1</ | ||
+ | |||
+ | Lassen wir uns nun den Inhalt des privaten Schlüsselbundes anzeigen, sehen wir die zurückgesicherten Unterschlüssel wieder. | ||
+ | $ gpg2 --list-secret-keys | ||
+ | < | ||
+ | ------------------------------ | ||
+ | sec# 4096R/ | ||
+ | uid Django aka Bastard Operator from Hell < | ||
+ | ssb> | ||
+ | ssb> | ||
+ | ssb> | ||
+ | |||
+ | Zu guter letzt vernichten wir die Datei mit den gesicherten privaten Unterschlüsseln. | ||
+ | $ shred --zero --remove subkeys | ||
Zeile 1096: | Zeile 1166: | ||
=== change-pin === | === change-pin === | ||
- | Wie schon mit der **[[centos:nitrokey: | + | <WRAP center round warn 95%> |
+ | **WICHTIG**: | ||
+ | Unbedingt vor dem ersten Ändern der PINs ist es notwendig, erst einmal Schlüssel zu generieren bzw. zu importieren! Denn sonst schlägt das Ändern der Benutzer-PIN fehl, bzw. wird die Benutzer-PIN beim Überschreiben von Schlüsseln auf den Default-Wert von **123456** zurückgesetzt. Die Default-PIN für den Admin lautet **12345678**. | ||
+ | </ | ||
+ | |||
+ | Mit Hilfe des Befehls '' | ||
Die Benutzer-PIN (Menüpunkt **1**) wird benötigt für den täglichen Betrieb wie z.B. zum Entsperren des Token, oder zum Signieren und Verschlüsseln. Die Mindestlänge für den User-Pin beträgt 6 Zeichen. | Die Benutzer-PIN (Menüpunkt **1**) wird benötigt für den täglichen Betrieb wie z.B. zum Entsperren des Token, oder zum Signieren und Verschlüsseln. Die Mindestlänge für den User-Pin beträgt 6 Zeichen. | ||
Zeile 1102: | Zeile 1177: | ||
Die Admin-PIN (Menüpunkt **3**) wird für die Karten-/ | Die Admin-PIN (Menüpunkt **3**) wird für die Karten-/ | ||
- | <WRAP center round important | + | <WRAP center round important |
Wird die Benutzer-PIN 3x falsch eingeben, wird die Karte gesperrt und kann dann nur mit der Admin-PIN oder dem Reset-Code zurückgesetzt werden. Wenn Sie den falschen Admin-Pin dreimal eingeben, wird die Karte unbrauchbar und kann dann lediglich mit einem Factory-Reset (Verlußt aller Kartendaten!) zurück gesetzt werden! | Wird die Benutzer-PIN 3x falsch eingeben, wird die Karte gesperrt und kann dann nur mit der Admin-PIN oder dem Reset-Code zurückgesetzt werden. Wenn Sie den falschen Admin-Pin dreimal eingeben, wird die Karte unbrauchbar und kann dann lediglich mit einem Factory-Reset (Verlußt aller Kartendaten!) zurück gesetzt werden! | ||
+ | |||
+ | Ferner ist darauf zu achten, dass zunächst die Admin-PIN und erst dann die Nutzer-PIN geändert. Ansonsten wird nämlich der // | ||
</ | </ | ||
Die Reset-PIN (Menüpunkt **4**) kann nur zum Zurücksetzen der Benutzer-PIN verwendet werden. Die Mindestlänge für den Reset-Code beträgt 8 Zeichen. Der Reset-Code Fehlerzähler kann wiederum mit der Admin-PIN zurückgesetzt werden. Wird nach zweimaliger Falscheingabe der Benutzer- wie auch der Admin-PIN und dann die richtige PIN eingeben, wird der Fehlerzähler zurückgesetzt. | Die Reset-PIN (Menüpunkt **4**) kann nur zum Zurücksetzen der Benutzer-PIN verwendet werden. Die Mindestlänge für den Reset-Code beträgt 8 Zeichen. Der Reset-Code Fehlerzähler kann wiederum mit der Admin-PIN zurückgesetzt werden. Wird nach zweimaliger Falscheingabe der Benutzer- wie auch der Admin-PIN und dann die richtige PIN eingeben, wird der Fehlerzähler zurückgesetzt. | ||
- | Worin besteht nun aber der genaue Unterschied zwischen dem Reset-Code und der Admin-PIN? Möchte man in einer Organisation Nitrokey | + | Worin besteht nun aber der genaue Unterschied zwischen dem Reset-Code und der Admin-PIN? Möchte man in einer Organisation Nitrokey |
$ gpg --change-pin | $ gpg --change-pin | ||
Zeile 1121: | Zeile 1198: | ||
Ihre Auswahl?</ | Ihre Auswahl?</ | ||
- | Beim Menüpunkt 1 können wir z.B. die Benutzer-PIN | + | Wir ändern also zu erste die Admin-PIN durch Auswahl des Menüpunkts **3** aus und erst anschliessend |
{{ : | {{ : | ||
+ | < | ||
+ | PIN changed. | ||
+ | |||
+ | 1 - change PIN | ||
+ | 2 - unblock PIN | ||
+ | 3 - change Admin PIN | ||
+ | 4 - set the Reset Code | ||
+ | Q - quit | ||
+ | |||
+ | Ihre Auswahl? 1 | ||
+ | PIN changed. | ||
+ | |||
+ | 1 - change PIN | ||
+ | 2 - unblock PIN | ||
+ | 3 - change Admin PIN | ||
+ | 4 - set the Reset Code | ||
+ | Q - quit | ||
+ | |||
+ | Ihre Auswahl? q</ | ||
+ | |||
+ | ==== Nitrokey und Thunderbird ==== | ||
+ | Unseren zuvor präparierten Kryptostick wollen wir nun verwenden um bei Thunderbird unsere elektronische Kommunikation per eMail abzusichern. Hierzu werden wir nun den schlüssel dem betreffenden Konto zuweisen. | ||
+ | Über das Menü wählen wir den Punkt **Konten-Einstellungen** aus. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Beim passenden Konto wählen wir dann die Option **OpenPGP-Sicherheit** aus. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Hier wählen wir nun den Schlüssel aus, den wir zuvor erstellt und auf die SmartCard des Kryptostick Start verschoben hatten. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Sobald wir nun eine Nachricht verschicken die signiert werden soll, wird vor dem Versand die PIN abgefragt und die Nachricht mit dem Signatur-Unterschlüssel unterschrieben. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Sobald wir eine verschlüsselte Nachricht öffnen, werden wir nach der PIN gefragt, damit der Schlüssel zum Entschlüsseln auf der SmartCard freigeschalten werden kann. | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Habne wir die PIN richtig eigegeben, wird die entschlüsselte Nachricht angezeigt. | ||
+ | |||
+ | {{ : | ||