nitrokey:arch:3a

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
nitrokey:arch:3a [15.12.2024 17:40. ] – [Verschlüsseln und entschlüsseln] djangonitrokey:arch:3a [16.12.2024 20:52. ] (aktuell) django
Zeile 230: Zeile 230:
 Authentication key: [none] Authentication key: [none]
 General key info..: [none]</code> General key info..: [none]</code>
 +
 +==== nitropy ====
 +FIXME 
 +
 +
 +
 +
 +   # pacman -S python-pynitrokey
 +
 +
 +   # nitropy --help
 +<code>Usage: nitropy [OPTIONS] COMMAND [ARGS]...
 +
 +Options:
 +  -h, --help  Show this message and exit.
 +
 +Commands:
 +  fido2    Interact with Nitrokey FIDO2 devices, see subcommands.
 +  list     List Nitrokey devices (in firmware or bootloader mode)
 +  nethsm   Interact with NetHSM devices, see subcommands.
 +  nk3      Interact with Nitrokey 3 devices, see subcommands.
 +  nkpk     Interact with Nitrokey Passkey devices, see subcommands.
 +  pro      Interact with Nitrokey Pro devices, see subcommands.
 +  start    Interact with Nitrokey Start devices, see subcommands.
 +  storage  Interact with Nitrokey Storage devices, see subcommands.
 +  version  Version of pynitrokey library and tool.</code>
 +
 +   # nitropy nk3 test
 +<code>Command line tool to interact with Nitrokey devices 0.6.0
 +THIS COMMAND SHOULD NOT BE RUN AS ROOT!
 +
 +Please install udev rules and run `nitropy` as regular user (without sudo).
 +We suggest using: https://raw.githubusercontent.com/Nitrokey/libnitrokey/master/data/41-nitrokey.rules
 +For more information, see: https://docs.nitrokey.com/software/nitropy/linux/udev.html
 +
 +Set ALLOW_ROOT=1 environment variable to disable this warning.
 +
 +Found 1 NK3 device(s):
 +- Nitrokey 3 at /dev/hidraw0
 +
 +Running tests for Nitrokey 3 at /dev/hidraw0
 +
 +[1/5] uuid      UUID query              SUCCESS  6447F2534D3A582D0000000000000000
 +[2/5] version  Firmware version query  SUCCESS  v1.7.2
 +[3/5] status    Device status            SUCCESS  Status(init_status=<InitStatus: 0>, ifs_blocks=241, efs_blocks=471, variant=<Variant.NRF52: 2>)
 +Running SE050 test: |                                                                                                                                                                                 
 +[4/5] se050    SE050                    SUCCESS  SE050 firmware version: 3.1.1 - 1.11, (persistent: (30140,), transient_deselect: (271,), transient_reset: (256,))
 +Please press the touch button on the device ...
 +Please press the touch button on the device ...
 +[5/5] fido2    FIDO2                    SUCCESS 
 +
 +5 tests, 5 successful, 0 skipped, 0 failed
 +
 +Summary: 1 device(s) tested, 1 successful, 0 failed</code>
 +
 +Das Protokoll im Verzeichnis **''/tmp''** von **''nitropy''** zeigt im Zweifelsfall weitere Informationen die bei der weiteren Betrachtung oder Fehlereingrenzung wertvolle Informationen liefern kann.
 +
 +   # ls -al /tmp/nitropy.log.gkod8a3k 
 +<code>-rw-r--r-- 1 root root 5795 Dec 16 21:16 /tmp/nitropy.log.gkod8a3k</code>
 +
 +   # cat /tmp/nitropy.log.gkod8a3k
 +<code>368        INFO pynitrokey.cli Timestamp: 2024-12-16 21:16:27.120247
 +368        INFO pynitrokey.cli OS: uname_result(system='Linux', node='pml010074', release='6.6.65-1-lts', version='#1 SMP PREEMPT_DYNAMIC Wed, 11 Dec 2024 15:35:54 +0000', machine='x86_64')
 +368        INFO pynitrokey.cli Python version: 3.12.7
 +369        INFO pynitrokey.cli Cli arguments: ['nk3', 'test']
 +372        INFO pynitrokey.cli pynitrokey version: 0.6.0
 +373        INFO pynitrokey.cli cryptography version: 43.0.3
 +374        INFO pynitrokey.cli ecdsa version: 0.19.0
 +374        INFO pynitrokey.cli fido2 version: 1.1.3
 +375        INFO pynitrokey.cli pyusb version: 1.2.1
 +376        INFO pynitrokey.cli.trussed.test platform: Linux-6.6.65-1-lts-x86_64-with-glibc2.40
 +376        INFO pynitrokey.cli.trussed.test uname: uname_result(system='Linux', node='pml010074', release='6.6.65-1-lts', version='#1 SMP PREEMPT_DYNAMIC Wed, 11 Dec 2024 15:35:54 +0000', machine='x86_64')
 +512       DEBUG       root print: Found 1 NK3 device(s):
 +512       DEBUG       root print: - Nitrokey 3 at /dev/hidraw0
 +512       DEBUG       root print: Running tests for Nitrokey 3 at /dev/hidraw0
 +520       DEBUG       root print: [1/5] uuid      UUID query              SUCCESS  6447F2534D3A582D0000000000000000
 +528       DEBUG       root print: [2/5] version  Firmware version query  SUCCESS  v1.7.2
 +536        INFO pynitrokey.cli.trussed.tests Device status: Status(init_status=<InitStatus: 0>, ifs_blocks=241, efs_blocks=471, variant=<Variant.NRF52: 2>)
 +536       DEBUG       root print: [3/5] status    Device status            SUCCESS  Status(init_status=<InitStatus: 0>, ifs_blocks=241, efs_blocks=471, variant=<Variant.NRF52: 2>)
 +669       DEBUG       root print: [4/5] se050    SE050                    SUCCESS  SE050 firmware version: 3.1.1 - 1.11, (persistent: (30140,), transient_deselect: (271,), transient_reset: (256,))
 +1782      DEBUG fido2.server Fido2Server initialized for RP: PublicKeyCredentialRpEntity(name='Example RP', id='example.com')
 +1782      DEBUG fido2.server Starting new registration, existing credentials: 
 +1786      DEBUG       root print: Please press the touch button on the device ...
 +1796      DEBUG fido2.client Register a new credential for RP ID: example.com
 +1838      DEBUG fido2.ctap2.base Calling CTAP2 make_credential
 +1996      DEBUG  fido2.hid Got keepalive status: 01
 +2248      DEBUG  fido2.hid Got keepalive status: 01
 +2496      DEBUG  fido2.hid Got keepalive status: 01
 +2748      DEBUG  fido2.hid Got keepalive status: 01
 +2996      DEBUG  fido2.hid Got keepalive status: 01
 +3248      DEBUG  fido2.hid Got keepalive status: 01
 +3496      DEBUG  fido2.hid Got keepalive status: 01
 +3744      DEBUG  fido2.hid Got keepalive status: 01
 +3996      DEBUG  fido2.hid Got keepalive status: 01
 +4244      DEBUG  fido2.hid Got keepalive status: 02
 +4496      DEBUG  fido2.hid Got keepalive status: 01
 +4744      DEBUG  fido2.hid Got keepalive status: 01
 +4996      DEBUG  fido2.hid Got keepalive status: 01
 +5244      DEBUG  fido2.hid Got keepalive status: 01
 +5492      DEBUG  fido2.hid Got keepalive status: 01
 +5744      DEBUG  fido2.hid Got keepalive status: 01
 +5992      DEBUG  fido2.hid Got keepalive status: 01
 +6244      DEBUG  fido2.hid Got keepalive status: 01
 +6492      DEBUG  fido2.hid Got keepalive status: 01
 +6740      DEBUG  fido2.hid Got keepalive status: 01
 +6992      DEBUG  fido2.hid Got keepalive status: 01
 +7240      DEBUG  fido2.hid Got keepalive status: 01
 +7492      DEBUG  fido2.hid Got keepalive status: 01
 +7740      DEBUG  fido2.hid Got keepalive status: 01
 +7992      DEBUG  fido2.hid Got keepalive status: 01
 +8256      DEBUG  fido2.hid Got keepalive status: 01
 +8512      DEBUG  fido2.hid Got keepalive status: 01
 +8796      DEBUG  fido2.hid Got keepalive status: 01
 +9056      DEBUG  fido2.hid Got keepalive status: 01
 +9199      DEBUG fido2.server Verifying attestation of type packed
 +9200       INFO fido2.server New credential registered: a3005878bd496f7f5e7c10b12264abdc7274b8a2a8a1724eab6a6b2cf29737921dfb1c4793c1b3645547b7287ca5cd6087b3cd0c06e03c9115de4aeba206f2cfc14da879c4cf8c2045165008c9b3aa4591cee5b2cb825ee6c86f4ebe2f6bc8c4769902a550d389e11b235485931334234f15bf64de04d075aa27d394014c680a5adb95a30d02ed6d9e7f02505d85c63ba65a973e074ce94856cbb2a0
 +9201      DEBUG fido2.server Starting new authentication, for credentials: a3005878bd496f7f5e7c10b12264abdc7274b8a2a8a1724eab6a6b2cf29737921dfb1c4793c1b3645547b7287ca5cd6087b3cd0c06e03c9115de4aeba206f2cfc14da879c4cf8c2045165008c9b3aa4591cee5b2cb825ee6c86f4ebe2f6bc8c4769902a550d389e11b235485931334234f15bf64de04d075aa27d394014c680a5adb95a30d02ed6d9e7f02505d85c63ba65a973e074ce94856cbb2a0
 +9202      DEBUG       root print: Please press the touch button on the device ...
 +9206      DEBUG fido2.client Assert a credential for RP ID: example.com
 +9237      DEBUG fido2.ctap2.base Calling CTAP2 get_assertion
 +9304      DEBUG  fido2.hid Got keepalive status: 02
 +9552      DEBUG  fido2.hid Got keepalive status: 01
 +9804      DEBUG  fido2.hid Got keepalive status: 01
 +10052     DEBUG  fido2.hid Got keepalive status: 01
 +10328     DEBUG  fido2.hid Got keepalive status: 01
 +10588     DEBUG  fido2.hid Got keepalive status: 01
 +10755      INFO fido2.server Credential authenticated: a3005878bd496f7f5e7c10b12264abdc7274b8a2a8a1724eab6a6b2cf29737921dfb1c4793c1b3645547b7287ca5cd6087b3cd0c06e03c9115de4aeba206f2cfc14da879c4cf8c2045165008c9b3aa4591cee5b2cb825ee6c86f4ebe2f6bc8c4769902a550d389e11b235485931334234f15bf64de04d075aa27d394014c680a5adb95a30d02ed6d9e7f02505d85c63ba65a973e074ce94856cbb2a0
 +10755     DEBUG       root print: [5/5] fido2    FIDO2                    SUCCESS
 +10756     DEBUG       root print: 5 tests, 5 successful, 0 skipped, 0 failed
 +10756     DEBUG       root print: Summary: 1 device(s) tested, 1 successful, 0 failed</code>
 +
 +==== webauthn.io ====
 +
 +Was ist WebAuthn?
 +
 +Willkommen auf webauthn.io! Diese Website wurde von Duo Labs entwickelt, um WebAuthn und Passkeys zu testen. WebAuthn wird von allen gängigen Browsern, einschließlich Chrome, Safari und Firefox, sowie von allen modernen Betriebssystemen, einschließlich Android, iOS, macOS und Windows, unterstützt.
 +
 +Eine Einführung in WebAuthn und seine Funktionen finden Sie unter webauthn.guide. Wenn Sie Ihre Website um WebAuthn-Unterstützung erweitern möchten, sind Sie bei passkeys.dev richtig. Der Code für diese Demo ist auf GitHub verfügbar.
 +
 +https://webauthn.guide/
 +
 +https://webauthn.io/
 +
 +
  
 ===== Anwendungsfälle - Software ===== ===== Anwendungsfälle - Software =====
Zeile 792: Zeile 936:
 === Öffentlichen Schlüssel ausgeben === === Öffentlichen Schlüssel ausgeben ===
 Damit wir später unseren öffentlichen Schlüssel auch weitergeben oder zu einem [[https://keys.openpgp.org/|Keyserver]] hoch laden, exportieren wir diesen in eine Datei. Damit wir später unseren öffentlichen Schlüssel auch weitergeben oder zu einem [[https://keys.openpgp.org/|Keyserver]] hoch laden, exportieren wir diesen in eine Datei.
-  $ gpg --export --armor michael@nausch.org> ~/.gnupg/michael@nausch.org_F5F0CD13074BA693D950F92A0A56C9A3A69FE291.pubkey+  $ gpg --export --armor michael@nausch.org> ~/.gnupg/michael@nausch.org_F5F0CD13074BA693D950F92A0A56C9A3A69FE291.pubkey
  
 Diese Datei enthält unseren Schlüssel in ASCII-lesbarer Form. Diese Datei enthält unseren Schlüssel in ASCII-lesbarer Form.
Zeile 1198: Zeile 1342:
 Nun werden wir kurz einmal testen, ob wir mit Hilfe der Hardware-Schlüssel-Karte eine Datei signieren und die Signatur auch wieder prüfen können. Nun werden wir kurz einmal testen, ob wir mit Hilfe der Hardware-Schlüssel-Karte eine Datei signieren und die Signatur auch wieder prüfen können.
  
-  - Zunächst Wir legen uns erst einmal ein beliebiges Testdokument an. <code> $ date > textdatei.txt</code> Die Datei hat nun folgenden Inhalt:<code>cat textdatei.txt</code><code>Mon Jun  3 10:49:04 PM CEST 2024</code> +  - Zunächst Wir legen uns erst einmal ein beliebiges Testdokument an. <code> $ date > textdatei.txt</code> Die Datei hat nun folgenden Inhalt:<code>bat textdatei.txt</code><code>───────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 
-  - Nun signieren wir dieses Textdokument: <code> $ gpg --sign textdatei.txt</code> {{ :nitrokey:arch:thunderbird_008.png?nolink&300 |Bild: Bildschirmhardcopy der gpg-keyentry Abfrage}} Wir haben also nun zwei Dokumente auf der Platte liegen. <code> $ ll textdatei.txt*</code><code>-rw-r--r-- 1 django django  33 Jun  3 23:19 textdatei.txt +       │ Filetextdatei.txt 
--rw-r--r-- 1 django django 182 Jun  3 23:19 textdatei.txt.gpg</code>Die Datei **textdatei.txt.pgp** können wir nun soweit nicht mehr lesen.<code> $ cat textdatei.txt.gpg</code><code>������!6��OEF���5I%%)%��z%%��Wd*��)8��+X��[+8��yF\,b b,vKݷ*79��a����2���S&�����Gq��}���o������u��Ȗ_Wu_����&����y��GPz����ۙ��(;xn��4</code> Die Datei beinhaltet die Signatur zu unserer Datei, also entsprechender Zahlensalat.<code> $ file textdatei.txt.gpg</code><code>textdatei.txt.gpg: data</code>  Dieses Vorgehen macht jedoch nur Sinn, wenn mit der Option **''%%--%%encrypt''** gleichzeitig die Datei verschlüsselt werden soll. Wir signieren nun die Datei mit dem privat-key und verschlüsseln die Datei mit dem public-key unseres eigenen Schlüssels auf dem Nitrokey Start. So kann die Datei nur von uns selbst wieder aufgemacht werden, sofern man im Besitz des Nitrokey Start und der zugehörigen PIN ist!<code> $ gpg --encrypt --sign -r django@nausch.org textdatei.txt</code> {{ :nitrokey:arch:thunderbird_008.png?nolink&300 |Bild: Bildschirmhardcopy der gpg-keyentry Abfrage}} Wir haben nunmehr eine neue verschlüsselte und signierte Datei.<code> $ file textdatei.txt.gpg</code>+───────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 
 +     │ Sun Dec 15 06:41:05 PM CET 2024 
 +───────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 
 +</code> 
 +  - Nun signieren wir dieses Textdokument: <code> $ gpg --sign textdatei.txt</code> {{ :nitrokey:arch:thunderbird_008.png?nolink&300 |Bild: Bildschirmhardcopy der gpg-keyentry Abfrage}} Wir haben also nun zwei Dokumente auf der Platte liegen. <code> $ ll textdatei.txt*</code><code>-rw-r--r-- 1 django django  32 Dec 15 18:41 textdatei.txt 
 +-rw-r--r-- 1 django django 183 Dec 15 18:42 textdatei.txt.gpg</code>Die Datei **textdatei.txt.pgp** können wir nun soweit __aber nicht__ mehr lesen.<code> $ cat textdatei.txt.gpg</code><code>������!�vr���&21N-I(II,I��+(I��\������`h``febhe`����`d`d��Q�� �� +�����Yav�e�oԂ��2���S&"����8��޷;6N0����6��_s���=���N��cQ 
 +     #^Nr)����hA���M%v��;�V[</code> Die Datei beinhaltet die Signatur zu unserer Datei, also entsprechender Zahlensalat.<code> $ file textdatei.txt.gpg</code><code>textdatei.txt.gpg: data</code>  Dieses Vorgehen macht jedoch nur Sinn, wenn mit der Option **''%%--%%encrypt''** gleichzeitig die Datei verschlüsselt werden soll. Wir signieren nun die Datei mit dem privat-key und verschlüsseln die Datei mit dem public-key unseres eigenen Schlüssels auf dem Nitrokey Start. So kann die Datei nur von uns selbst wieder aufgemacht werden, sofern man im Besitz des Nitrokey Start und der zugehörigen PIN ist!<code> $ gpg --encrypt --sign -r django@nausch.org textdatei.txt</code> {{ :nitrokey:arch:thunderbird_008.png?nolink&300 |Bild: Bildschirmhardcopy der gpg-keyentry Abfrage}} Wir haben nunmehr eine neue verschlüsselte und signierte Datei.<code> $ file textdatei.txt.gpg</code> 
 +  - Alternativ können wir die Datei auch die Datei "inline signieren". Hierzu nutzen wir die Option%%--%%clearsign wie folgt. <code> $ gpg --clearsign textdatei.txt</code> {{ :nitrokey:arch:thunderbird_008.png?nolink&300 |Bild: Bildschirmhardcopy der gpg-keyentry Abfrage}} Wir haben nun neben den beiden bereits vorhandenen Dokumenten eine Datei mehr auf der Platte liegen. <code> $ ll textdatei.txt*</code><code>-rw-r--r-- 1 django django  32 Dec 15 18:41 textdatei.txt 
 +-rw-r--r-- 1 django django 309 Dec 15 18:47 textdatei.txt.asc 
 +-rw-r--r-- 1 django django 183 Dec 15 18:42 textdatei.txt.gpg</code> Diese neue zusätzliche Datei hat nun neben dem ursprünglichen Datumseintrag auch die Signatur als Inhalt:<code> $ bat textdatei.txt</code><code>───────┬───────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 
 +       │ File: textdatei.txt.asc 
 +───────┼───────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 
 +     │ -----BEGIN PGP SIGNED MESSAGE----- 
 +     │ Hash: SHA256 
 +     │  
 +     │ Sun Dec 15 06:41:05 PM CET 2024 
 +     │ -----BEGIN PGP SIGNATURE----- 
 +     │  
 +     │ iHUEARYIAB0WIQT18M0TB0umk9lQ+SoKVsmjpp/ikQUCZ18WPwAKCRAKVsmjpp/
 +     │ kWqCAQD2HgexZVX5kXZd4Rb0tpRDVWQ0mMYOddTEWHwSKjuH0wEA5vXotBQz/Gau 
 +     │ grzeojRPxjVR+wRcDCIyPOHw5ISq8ws= 
 +  10   │ =CNnO 
 +  11   │ -----END PGP SIGNATURE----- 
 +───────┴───────────────────────────────────────────────────────────────────────────────────────────────────────────────────── 
 +</code> 
 +  - Ein signiertes Dokument an sich ist i.d.R. nur begrenzt nützlich. Andere Benutzer müssen das Originaldokument aus der signierten Version wiederherstellen, und selbst bei signierten Dokumenten muss das signierte Dokument bearbeitet werden, um das Original wiederherzustellen. Daher gibt es noch eine weitere Methode zum Signieren eines Dokuments, bei der eine abgetrennte Signatur erstellt wird. Eine abgetrennte Signatur wird mit der Option **''%%--%%detach-sig''** erstellt. <code> $ gpg --output textdatei.sig --detach-sig textdatei.txt</code> wir haben nun eine vierte Datei auf unserer Platte. <code> $ ll text*</code><code>-rw-r--r-- 1 django django 119 Dec 15 19:00 textdatei.sig 
 +-rw-r--r-- 1 django django  32 Dec 15 18:41 textdatei.txt 
 +-rw-r--r-- 1 django django 309 Dec 15 18:47 textdatei.txt.asc 
 +-rw-r--r-- 1 django django 183 Dec 15 18:42 textdatei.txt.gpg</code> Diese neue Datei **''textdatei.sig''** beinhaltet nun die Signatur unserer Datei **''textdatei.txt''**. Mit Hilfe der Option **''%%--%%verify''** ist nun ein Empfänger in der Lage die Validität der empfamngenen Textdatei zu überprüfen. <code>$ gpg --verify textdatei.sig textdatei.txt</code><code>gpg: Signature made Sun 15 Dec 2024 07:00:18 PM CET 
 +gpg:                using EDDSA key F5F0CD13074BA693D950F92A0A56C9A3A69FE291 
 +gpg: Good signature from "Michael Nausch <michael@nausch.org>" [ultimate]</code>Zum Testen was opassiert, wenn wir nun diese Datei maniüulieren z.B. durch anhängen eines weiteren Datums via.<code>$ date >> textdatei.txt</code>Nun überprüfen wir erneut ob die Signatur zur Datei passt.<code>$ gpg --verify textdatei.sig textdatei.txt</code>Da wir die ursprünglich signierte Datei ja verändert haben, wird nun ein entsprechender Fehler angezeigt:<code>gpg: Signature made Sun 15 Dec 2024 07:00:18 PM CET 
 +gpg:                using EDDSA key F5F0CD13074BA693D950F92A0A56C9A3A69FE291 
 +gpg: BAD signature from "Michael Nausch <michael@nausch.org>" [ultimate]</code>
   - Im nun folgendem Beispiel signieren wir unsere Datei und konvertieren sie so, dass wir sie einfach per eMail verschicken können. Hierzu nutzen wir die Option **''%%--%%armor''**.<code> $ gpg --sign --armor textdatei.txt</code> {{ :nitrokey:arch:thunderbird_008.png?nolink&300 |Bild: Bildschirmhardcopy der gpg-keyentry Abfrage}} Nun können wir uns die erstellte signierte Datei ansehen. <code> $ cat textdatei.txt.asc</code><code>-----BEGIN PGP MESSAGE-----   - Im nun folgendem Beispiel signieren wir unsere Datei und konvertieren sie so, dass wir sie einfach per eMail verschicken können. Hierzu nutzen wir die Option **''%%--%%armor''**.<code> $ gpg --sign --armor textdatei.txt</code> {{ :nitrokey:arch:thunderbird_008.png?nolink&300 |Bild: Bildschirmhardcopy der gpg-keyentry Abfrage}} Nun können wir uns die erstellte signierte Datei ansehen. <code> $ cat textdatei.txt.asc</code><code>-----BEGIN PGP MESSAGE-----
  
Zeile 1235: Zeile 1411:
 gpg: BAD signature from "Django (Bastard Operator from Hell [BOfH]) <django@nausch.org>" [ultimate]</code> gpg: BAD signature from "Django (Bastard Operator from Hell [BOfH]) <django@nausch.org>" [ultimate]</code>
  
 +==== Nitrokey Start und Thunderbird ==== 
 +Nachdem wir nun unsere Schlüssel auf dem Kryptografie-Stick erstellt haben, wollen wir diesen nun verwenden um bei Thunderbird unsere elektronische Kommunikation per eMail abzusichern. 
 +<WRAP center round tip 90%>
 +Thunderbird bringt mittlerweile die PGP-Unterstützung mit, so dass kein addon, wie **''enigmail''** es früher noch noch notwendig war, zusätzlich installiert werden muss!
 +
 +Lediglich die Unterstützung externer Smart-Cards wie unseres **Nitrokey Start** müssen wir in Thunderbird aktivieren.
 +</WRAP>
 +
 +Über das "Hamburger-Menü" in der oberen Fensterleiste erreichen wir den Menüpunkt **Einstellungen**.
 +
 +{{ :nitrokey:arch:thunderbird_001.png?nolink&275 |Bild: Menüpunkt der Einstellungen}}
 +
 +Hier scrollen wir ganz nach unten und wählen den Menüpunkt **[ Konfiguration bearbeiten... ]** aus.
 +
 +{{ :nitrokey:arch:thunderbird_002.png?nolink&890 |Bild: Menüfenster der Thunderbird Einstellungen}}
 +
 +Hier suchen wir nach der Option **''mail.openpgp.allow_external_gnupg''**. Über die Schaltfläche rechts mit den zwei Pfeilen aktivieren wir diese Option.
 +
 +{{ :nitrokey:arch:thunderbird_003.png?nolink&870 |Bild: Menüfenster der Thunderbird individuellen Einstellungen}}
 +
 +Damit wir nun unseren Signature-Key mit unserem Thunderbird-Konto verbinden können benötigen wir natürlich die entsprechende Key-ID. Diese ermitteln wir nun mit folgendem Aufruf:
 +   $ gpg2 --card-status | grep Signature\ key
 +<code>Signature key ....: F5F0 CD13 074B A693 D950  F92A 0A56 C9A3 A69F E291</code>
 +
 +Die vier letzten 4er-Blöcke merken wir uns nun entsprechend: **''0A56 C9A3 A69F E291''**, in Kurzform entsprechend **''0A56C9A3A69FE291''**
 +
 +Über das "Hamburger-Menü" in der oberen Fensterleiste erreichen wir den Menüpunkt **Konten-Einstellungen**.
 +
 +{{ :nitrokey:arch:thunderbird_001.png?nolink&275 |Bild: Menüpunkt der Einstellungen}}
 +
 +Hier wählen wir dann den Menüpunkt **[ Schlüssel hinzufügen ] ** aus.
 +
 +{{ :nitrokey:arch:thunderbird_004.png?nolink&871 |Bild: Menüfenster der Thunderbird individuellen Einstellungen}}
 +
 +Da wir den zuvor erzeugten PGP-Schlüssel auf unserem Nitrokey verwenden möchten, wählen wir hier letzten den Menüpunkt **[ __E__xternen Schlüssel mittels GnuPG benutzen. (z.B. von einer SmartCard aus) ]**.
 +
 +{{ :nitrokey:arch:thunderbird_005.png?nolink&874 |Bild: Menüfenster der Thunderbird individuellen Einstellungen}}
 +
 +... und klicken anschließen auf die Schaltfläche **[ Fortfahren }**.
 +
 +{{ :nitrokey:arch:thunderbird_006a.png?nolink&874 |Bild: Menüfenster der Thunderbird individuellen Einstellungen}}
 +
 +Hier geben wir nun unsere zuvor ermittelte Key-ID ein und bestätigen anschliessend unsere Eingabe mit einem Klick auf die Schaltfläche **[ Schlüssel-ID speichern ]**.
 +
 +{{ :nitrokey:arch:thunderbird_007a.png?nolink&874 |Bild: Menüfenster der Thunderbird individuellen Einstellungen}}
 +
 +==== Nitrokey Start und Secure Shell  ==== 
 +
 +<WRAP center round important 90%>
 +Ob man in Zeiten von Überwachungsphantasten in Unternehmen und vor allem auch bei einer NSA oder BND, noch **[[http://www.golem.de/news/elliptische-kurven-die-herkunft-der-nist-kurven-1309-101567.html|RSA-Schlüssel]]** einsetzen kann und mag, muss natürlich jeder verantwortungsbewusste Administrator für sich selbst entscheiden. 
 +
 +Der Sicherheitsguru Bruce Schneier hat in seinem **[[https://www.schneier.com/blog/archives/2013/09/the_nsa_is_brea.html#c1675929|Blog]]** hierzu eine eindeutige Aussage getätigt: 
 +
 +<wrap em>//"On the crypto bits in your guardian piece, I found especially interesting that you suggest classic discrete log crypto over ecc. I want to ask if you could elaborate more on that." __I no longer trust the constants. I believe the NSA has manipulated them through their relationships with industry.__//</wrap>
 +
 +**[[https://de.wikipedia.org/wiki/Curve25519|EED25519]]** ist ein Elliptic Curve Signature Schema, welches beste Sicherheit bei vertretbaren Aufwand verspricht, als ECDSA oder DSA dies der Fall ist. Detaillierte Informationen zur **[[https://martin.kleppmann.com/papers/curve25519.pdf|Implementierung von Curve25519/X25519: Ein Tutorial zur elliptischen Kurvenkryptografie]]** finden sich in dem verlinktem Dokument von [[https://martin.kleppmann.com/|Martin Kleppmann]]. Zur Auswahl sicherer kryptografischer Kurven bei der //Elliptic-Curve Cryptography// findet man auf der Seite [[https://safecurves.cr.yp.to/|hier]] hilfreiche Erklärungen und eine Gegenüberstellung der möglichen verschiedenen Alternativen.
 +</WRAP>
 +
 +Auf RSA Schlüssel muss man aber nicht mehr zwingend zurückgreifen, stehen doch aktuellere und zeitgemässere Cipher, MACs, Schlüssel Typen und Key Exchange Algorithmen zur Verfügung. Als Alternative zu einem RSA-Keys haben wir uns bereits im Abschnitt **[[#ed25519-schluessel_generieren|Nitrokey A3 Mini und GnuPG - ED25519-Schlüssel generieren]]** Schlüsselmaterial auf Basis elliptischer Kurven erstellt, unter anderem auch einen //**Authentication Key**// erstellt. 
 +Diesen Schlüssel wollen wir nun auch zur Serveradministration verwenden.
 +
 +=== SSH Client vorbereiten ===
 +Damit wir beim Verbindungsaufbau auf den Authentication Key zugreifen können, müssen wir unseren Client entsprechend vorbereiten.
 +
 +In der Konfigurationsdatei //**~/.gnupg/gpg.conf**// setzen wir als erstes die Option ''**use-agent**''.
 +   $ vim ~/.gnupg/gpg.conf
 +<file bash ~/.gnupg/gpg.conf># File re-created by pEp
 +# See backup in '/home/django/.gnupg/gpg.conf.1.pep.bkp'
 + 
 +# File re-created by pEp
 +# See backup in '/home/django/.gnupg/gpg.conf.0.pep.bkp'
 + 
 +# Created by pEpEngine
 +keyserver hkp://keys.gnupg.net
 +cert-digest-algo SHA256
 +no-emit-version 
 +no-comments 
 +personal-cipher-preferences AES AES256 AES192 CAST5
 +personal-digest-preferences SHA256 SHA512 SHA384 SHA224
 +ignore-time-conflict 
 +allow-freeform-uid
 + 
 +# Ansible generated, do not edit manual!
 +# Option use-agent für Authentication Key Nutzung des Nitrokey Start bei SSH
 +use-agent
 +</file>
 +
 +
 +Im nächsten Schritt aktivieren wir die Option ''**enable-ssh-support**'' in der Konfigurationsdatei //**~/.gnupg/gpg-agent.conf
 +**// des GPG-Agenten.
 +   $ vim ~/.gnupg/gpg-agent.conf
 +<file bash ~/.gnupg/gpg-agent.conf># File re-created by pEp                                                                                                                                                                              
 +# See backup in '/home/django/.gnupg/gpg-agent.conf.1.pep.bkp'
 + 
 +# File re-created by pEp
 +# See backup in '/home/django/.gnupg/gpg-agent.conf.0.pep.bkp'
 + 
 +default-cache-ttl 300
 +max-cache-ttl 999999
 + 
 +# Ansible generated, do not edit manual!
 +# SSH-Support activated for gnupg-agent
 +enable-ssh-support
 +</file>
 +
 +Nun werden wir noch die Datei //**~/.bashrc**// erweitern, damit der **SSH_AUTH_SOCK** für den Zugriff des SSH-Schlüssels auf dem Nitrokey Start genutzt werden kann.
 +   $ vim ~/.bashrc
 +<file bash ~/.bashrc># .bashrc
 +
 +# Source global definitions
 +if [ -f /etc/bashrc ]; then
 +        . /etc/bashrc
 +fi
 +
 +# User specific environment
 +PATH="$HOME/.local/bin:$HOME/bin:$PATH"
 +export PATH
 +
 +# Uncomment the following line if you don't like systemctl's auto-paging feature:
 +# export SYSTEMD_PAGER=
 +
 +# User specific aliases and functions
 +
 +# Django : 2024-05-25
 +#          Definition des SSH_AUTH_SOCK für den Zugriff des SSH-Schlüssels auf dem Nitrokey Start
 +unset SSH_AGENT_PID
 +        if [ "${gnupg_SSH_AUTH_SOCK_by:-0}" -ne $$ ]; then
 +        export SSH_AUTH_SOCK="$(gpgconf --list-dirs agent-ssh-socket)"
 +fi</file>
 +
 +Damit unsere Änderungen aktiv werden, müssen wir nun zum Schluss noch den **pgp-agent** restarten bzw. einen Neustart des Clients erwirken. Wir entscheiden uns der Einfachheit halber von einen Neustart des Agenten mit Hilfe des Befehls ''**pkill gpg-agent**''.
 +   $ pkill gpg-agent
 +
 +Ein Blick in die Prozessliste zeigt, dass der Agent nicht mehr läuft.
 +   $ ps aux | grep gpg-agent
 +
 +  django    8752  0.0  0.0 215740   820 pts/1    S+   21:56   0:00 grep --color=auto gpg-agent
 +
 +Nun stecken wir unseren Nitrokey Start an den USB-Port und fragen den Kartenstatus ab.
 +   $ gpg2 --card-status
 +<code>Reader ...........: 20A0:42B2:X:0
 +Application ID ...: D276000124010304000F6447F2530000
 +Application type .: OpenPGP
 +Version ..........: 3.4
 +Manufacturer .....: Nitrokey
 +Serial number ....: 6447F253
 +Name of cardholder: Michael Nausch
 +Language prefs ...: de
 +Salutation .......: Mr.
 +URL of public key : https://keys.openpgp.org/search?q=get&search=0x0A56C9A3A69FE291
 +Login data .......: django
 +Signature PIN ....: forced
 +Key attributes ...: ed25519 cv25519 ed25519
 +Max. PIN lengths .: 127 127 127
 +PIN retry counter : 3 0 3
 +Signature counter : 10
 +KDF setting ......: off
 +UIF setting ......: Sign=off Decrypt=off Auth=off
 +Signature key ....: F5F0 CD13 074B A693 D950  F92A 0A56 C9A3 A69F E291
 +      created ....: 2024-12-15 17:08:38
 +Encryption key....: DBBD 5355 D9D0 334A A3FA  751F A89D D54D AE0E 394A
 +      created ....: 2024-12-15 17:08:38
 +Authentication key: EE7C 3807 4F0A 8F2A 5601  BF91 1E61 4A9A 36D4 DF53
 +      created ....: 2024-12-15 17:08:38
 +General key info..: pub  ed25519/0A56C9A3A69FE291 2024-12-15 Michael Nausch <michael@nausch.org>
 +sec>  ed25519/0A56C9A3A69FE291  created: 2024-12-15  expires: never     
 +                                card-no: 000F 6447F253
 +ssb>  ed25519/1E614A9A36D4DF53  created: 2024-12-15  expires: never     
 +                                card-no: 000F 6447F253
 +ssb>  cv25519/A89DD54DAE0E394A  created: 2024-12-15  expires: never     
 +                                card-no: 000F 6447F253</code>
 +
 +Ein erneuter Blick in die Prozessliste zeigt nun den neu gestarteten Agenten.
 +   $ ps aux | grep gpg-agent
 +
 +  django      1428  0.0  0.0 228968  4068 ?        SLsl 19:52   0:00 /usr/bin/gpg-agent --supervised
 +  django      5787  0.0  0.0   6392  2300 pts/0    S+   20:32   0:00 grep --color=auto gpg-agent 
 +
 +=== Public-Key des ED25519 SSH exportieren ===
 +Für den Zugriff auf unser Ziel-System mit Hilfe der SSH benötigen wir noch den öffentlichen Schlüssel unseres Authentication Keys, den wir nun exportieren werden.
 +Zunächst besorgen wir uns die betreffende Schlüsselkennung des Authentication Keys, genauer gesagt die 4 letzten Zahlenreihen des nachfolgenden Aufrufs.
 +   $ gpg2 --card-status | grep Authentication\ key
 +
 +  Authentication key: EE7C 3807 4F0A 8F2A 5601  BF91 1E61 4A9A 36D4 DF53
 +In diesem Konfigurationsbeispiel ist die Schlüssel-ID des Autentication Keys also die Nummer ''**1E614A9A36D4DF53**''.
 +
 +Nun exportieren wir den öffentlichen Schlüssel und schreiben diesen in eine separate Datei.
 +   $ gpg2 --export-ssh-key 1E614A9A36D4DF53 >> ~/.ssh/1E614A9A36D4DF53.pub
 +
 +Der Öffentliche Schlüssel in diesen Konfigurationsbeispiel lautet also:
 +   $ cat ~/.ssh/1E614A9A36D4DF53.pub
 +
 +  ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAILz8sjaPGlC16rOK7s8S8gzBmbfnCOsiz4jD77+BuLn4 openpgp:0x36D4DF53
 +
 +Diesen Schlüssel kopieren wir nun auf das entsprechende Zielsystem an Ort und Stelle ''**~/.ssh/authorized_keys**''.
 +   $ scp ~/.ssh/1E614A9A36D4DF53.pub zielhost.dmz.nausch.org: && ssh zielhost.dmz.nausch.org 'cat authorized_keys >> ~/.ssh/authorized_keys'
 +
 +=== SSH-Verbindung aufbauen ===
 +Nun können wir wie gewohnt eine Verbindung zu unserem entfernten System aufbauen, sofern der GPG-Agent am laufen ist. Wir können dazu entweder erst einmal abfragen, ob dieser gestartet wurde, mit Hilfe des folgenden Aufrufs:
 +   $ ps -aux | grep gpg-agent
 +
 +  django      1430  0.0  0.0 376092  3636 ?        SLsl 20:32   0:00 /usr/bin/gpg-agent --supervised
 +
 +Oder wir fragen einfach den Karten-Status ab, was unweigerlich den Neustart des GPG-Agenten nach sich zieht.
 +   $ gpg2 --card-status
 +
 +Nun können wir die gewünschte Verbindung zum Zielsystem aufbauen.
 +   $ ssh zielhost.dmz.nausch.org
 +
 +Da der SSH-Key zur Authentication nicht im Dateisystem liegt, sondern auf der SmartCard des Nitrokey werden wir nun nach der User-PIN gefragt, damit auf den privaten Schlüssel der Karte zugegriffen werden kann.
 +
 +{{ :nitrokey:arch:ssh_001.png?nolink&280 |Bild: PIN Abfrage beim Zugriff auf den Authentication Key der SmartCard des Nitrokeys}}
 +
 +Der entsperrte Schlüssel der SmartCard des Nitrokey Start wird nun im Speicher gehalten solange wir den USB-Hardwareschlüssel nicht abziehen. 
 +
 +<WRAP center round important 90%>
 +**WICHTIG:** \\
 +Da wir den Schlüssel **__nicht__** aus einer Datei geladen hatten, können wir diese auch nicht mit Hilfe von ''**ssh-add**'' wieder entladen! Wollen wir verhindern, dass auf den im Speicher vorgehaltenen Schlüssel zugegriffen wird, müssen wir manuell den GPG-Agenten beenden.
 +   $ pkill gpg-agent
 +
 +</WRAP>
 +
 +Anschliessend lassen sich Verbindungen zu unseren Remote-Systemen erst wieder aufbauen, wenn der GPG-Agent geladen und die Karte nach Eingabe der PIN entsperrt wurde!
  
  • nitrokey/arch/3a.1734284418.txt.gz
  • Zuletzt geändert: 15.12.2024 17:40.
  • von django