Nitrokey 3A mini in der Praxis unter ArchLinux

Dies ist eine alte Version des Dokuments!

Bild: Nitrokey 3A Mini USB-Stick In diesem Kapitel befassen wir uns eingehend mit dem Nitrokey 3A Mini (Daten-/Infoblatt) unter Arch Linux. Weitere Informationen zu den Nitrokey-Sticks findet man auch hier bzw. im Support Forum.

Der sichere Schlüssel zu Ihrem digitalen Leben.
Der Nitrokey 3 vereint die Funktionen vorheriger Nitrokey Modelle: FIDO2, Einmalpasswörter, OpenPGP Chipkarte, Curve25519, Passwort-Manager, Common Criteria EAL 6+ zertifiziertes Secure Element, Firmware-Updates. Damit werden Ihre Accounts zuverlässig gegen Phishing und Passwort-Diebstahl geschützt und Ihre Kommunikation und Daten verschlüsselt. Verschlüsselt Ihre E-Mails, Dateien und Server/SSH-Zugriffe. Schützt gegen Hacker und Spionage – privat und beruflich. Dabei wird der kryptografische Schlüssel sicher im Nitrokey gespeichert und ist gegen Verlust, Diebstahl und Computerviren geschützt. Mit starker Hardware-Verschlüsselung, vertrauenswürdig dank Open Source, Qualität made in Germany.
Anwendungsfälle sind z.B. für jeden als Schutz gegen Massenüberwachung und Hacker, für Unternehmen, Kanzleien und Selbstständige, sowie für IT-Administratoren und Sicherheitsexperten, die jeweils kritische Infrastruktur schützen, wollen und müssen. Die Firmware und der Software SourceCode der Nitrokey-Familie in Github hinterlegt, einsehbar und somit überprüfbar. ^{Quelle: https://shop.nitrokey.com/de/shop/nk3am-nitrokey-3a-mini-149}
Mit Hilfe von asymmetrischen Schlüsselmaterials (PGP und S/MIME) können eMails sowie Dateien und ganze Festplatten verschlüsselt und natürlich auch wieder entschlüsselt werden. Hierzu verwenden wir den Nitrokey Start welcher hier für einen überschaubaren Betrag von gerade mal 29€ erstanden werden kann. In dem folgenden Beitrag gehen wir auf die Verwendung unter Arch Linux ein.

Informationen über den Stick können wir z.B. mit Hilfe des Befehls usb-devices aus dem ArchLinux-Paket usbutils dem System abverlangen.

 # usb-devices

T:  Bus=01 Lev=03 Prnt=06 Port=01 Cnt=01 Dev#= 20 Spd=12   MxCh= 0
D:  Ver= 2.10 Cls=ef(misc ) Sub=02 Prot=01 MxPS=64 #Cfgs=  1
P:  Vendor=20a0 ProdID=42b2 Rev=01.07
S:  Manufacturer=Nitrokey
S:  Product=Nitrokey 3
C:  #Ifs= 2 Cfg#= 1 Atr=80 MxPwr=100mA
I:  If#= 0 Alt= 0 #EPs= 2 Cls=0b(scard) Sub=00 Prot=00 Driver=(none)
E:  Ad=01(O) Atr=02(Bulk) MxPS=  64 Ivl=0ms
E:  Ad=81(I) Atr=02(Bulk) MxPS=  64 Ivl=0ms
I:  If#= 1 Alt= 0 #EPs= 2 Cls=03(HID  ) Sub=00 Prot=00 Driver=usbhid
E:  Ad=02(O) Atr=03(Int.) MxPS=  64 Ivl=5ms
E:  Ad=82(I) Atr=03(Int.) MxPS=  64 Ivl=5ms

Mit dem Befehl lshw aus dem gleichnamigen ArchLinux-Paket lshw können wir uns ebenso anzeigen lassen, ob der Stick angesteckt und erkannt wird. Da der USB-Stick unter die Klasse generic fällt suchen wir gezielt nach diesen Geräte-Typus.

 # lshw -short -C generic

H/W path             Device          Class          Description
===============================================================
/0/100/2/0           input7          input          DP-2
/0/100/14/0/6/1/2                    input          Nitrokey 3
/0/100/14/0/6/1/3    input10         input          USB OPTICAL MOUSE  Keyboard
/0/100/14/0/6/2      input1          input          Das Keyboard Das Keyboard P13 Keyboard
/0/100/1f.3/0        input15         input          HDA Intel PCH Line Out
/0/100/1f.3/1        input16         input          HDA Intel PCH Headphone
/0/100/1f.3/2        input17         input          HDA Intel PCH HDMI/DP,pcm=3
/0/100/1f.3/3        input18         input          HDA Intel PCH HDMI/DP,pcm=7
/0/100/1f.3/4        input19         input          HDA Intel PCH HDMI/DP,pcm=8
/2                   input0          input          Power Button
/3                   input14         input          PC Speaker

Mit Hilfe des Befehls lsusb aus dem Arch-Linux-Paket usbutils können wir auch die Produkt- und Hersteller-Identifikationsnummer des Nitrokey-Sticks ermitteln.

 # lsusb | grep Nitrokey
Bus 001 Device 022: ID 20a0:42b2 Clay Logic Nitrokey 3A Mini/3A NFC/3C NFC

Im Journal wird uns beim Anstecken des Sticks dies entsprechend protokolliert:

 # journalctl -f

Dec 15 15:55:32 nitropc kernel: usb 1-6.1.2: new full-speed USB device number 23 using xhci_hcd
Dec 15 15:55:33 nitropc kernel: usb 1-6.1.2: New USB device found, idVendor=20a0, idProduct=42b2, bcdDevice= 1.07
Dec 15 15:55:33 nitropc kernel: usb 1-6.1.2: New USB device strings: Mfr=1, Product=2, SerialNumber=0
Dec 15 15:55:33 nitropc kernel: usb 1-6.1.2: Product: Nitrokey 3
Dec 15 15:55:33 nitropc kernel: usb 1-6.1.2: Manufacturer: Nitrokey
Dec 15 15:55:33 nitropc kernel: hid-generic 0003:20A0:42B2.0011: hiddev99,hidraw7: USB HID v1.11 Device [Nitrokey Nitrokey 3] on usb-0000:00:14.0-6.1.2/input1
Dec 15 15:55:33 nitropc systemd[1]: Reached target Smart Card.
Dec 15 15:55:33 nitropc systemd[1153]: Reached target Smart Card.

Für den Betrieb unter Arch Linux müssen wir uns noch passende udev-Definitionen hier besorgen.

Ein manuelles Holen und Installieren ist unter Arch Linux nicht notwendig, die Installation des Paketes libnitrokey reicht hier aus!

 # pacman -Sy libnitrokey

Bei Bedarf können wir uns hier gezielt informieren woher das Paket kommt und was es beinhaltet.

 # pacman -Qil libnitrokey

Paketinhalt und -info des Pakets libnitrokey

Name            : libnitrokey
Version         : 3.8-2
Description     : Communicate with Nitrokey stick devices in a clean and easy manner
Architecture    : x86_64
URL             : https://github.com/Nitrokey/libnitrokey
Licenses        : LGPL-3.0-or-later
Groups          : None
Provides        : libnitrokey.so=3-64
Depends On      : glibc  gcc-libs  hidapi  libusb  libhidapi-libusb.so=0-64
Optional Deps   : None
Required By     : None
Optional For    : None
Conflicts With  : None
Replaces        : None
Installed Size  : 1388.35 KiB
Packager        : David Runge <dvzrv@archlinux.org>
Build Date      : Mon 19 Feb 2024 01:23:08 PM CET
Install Date    : Tue 23 Jul 2024 08:24:05 PM CEST
Install Reason  : Explicitly installed
Install Script  : No
Validated By    : Signature

libnitrokey /usr/
libnitrokey /usr/include/
libnitrokey /usr/include/libnitrokey/
libnitrokey /usr/include/libnitrokey/CommandFailedException.h
libnitrokey /usr/include/libnitrokey/DeviceCommunicationExceptions.h
libnitrokey /usr/include/libnitrokey/LibraryException.h
libnitrokey /usr/include/libnitrokey/LongOperationInProgressException.h
libnitrokey /usr/include/libnitrokey/NK_C_API.h
libnitrokey /usr/include/libnitrokey/NitrokeyManager.h
libnitrokey /usr/include/libnitrokey/command.h
libnitrokey /usr/include/libnitrokey/command_id.h
libnitrokey /usr/include/libnitrokey/cxx_semantics.h
libnitrokey /usr/include/libnitrokey/deprecated.h
libnitrokey /usr/include/libnitrokey/device.h
libnitrokey /usr/include/libnitrokey/device_proto.h
libnitrokey /usr/include/libnitrokey/dissect.h
libnitrokey /usr/include/libnitrokey/log.h
libnitrokey /usr/include/libnitrokey/misc.h
libnitrokey /usr/include/libnitrokey/stick10_commands.h
libnitrokey /usr/include/libnitrokey/stick10_commands_0.8.h
libnitrokey /usr/include/libnitrokey/stick20_commands.h
libnitrokey /usr/include/libnitrokey/version.h
libnitrokey /usr/lib/
libnitrokey /usr/lib/libnitrokey.so
libnitrokey /usr/lib/libnitrokey.so.3
libnitrokey /usr/lib/libnitrokey.so.3.7.0
libnitrokey /usr/lib/pkgconfig/
libnitrokey /usr/lib/pkgconfig/libnitrokey-1.pc
libnitrokey /usr/lib/udev/
libnitrokey /usr/lib/udev/rules.d/
libnitrokey /usr/lib/udev/rules.d/41-nitrokey.rules

Die erforderliche udev-Regel findet sich also in der Datei /usr/lib/udev/rules.d/41-nitrokey.rules*. Bei Bedarf können wir uns auch hier gezielt informieren welche Konfigurationsoptionen hier in der Datei definiert wurden.

 # bat /usr/lib/udev/rules.d/41-nitrokey.rules

Konfigurationsdefinitionen in der Datei Datei 41-nitrokey.rules

/usr/lib/udev/rules.d/41-nitrokey.rules

───────┬──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
       │ File: /usr/lib/udev/rules.d/41-nitrokey.rules
───────┼──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
   1   │ #
   2   │ # Copyright (c) 2015-2022 Nitrokey GmbH
   3   │ #
   4   │ # This file is part of libnitrokey.
   5   │ #
   6   │ # libnitrokey is free software: you can redistribute it and/or modify
   7   │ # it under the terms of the GNU Lesser General Public License as published by
   8   │ # the Free Software Foundation, either version 3 of the License, or
   9   │ # any later version.
  10   │ #
  11   │ # libnitrokey is distributed in the hope that it will be useful,
  12   │ # but WITHOUT ANY WARRANTY; without even the implied warranty of
  13   │ # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
  14   │ # GNU General Public License for more details.
  15   │ #
  16   │ # You should have received a copy of the GNU Lesser General Public License
  17   │ # along with libnitrokey. If not, see <http://www.gnu.org/licenses/>.
  18   │ #
  19   │ # SPDX-License-Identifier: LGPL-3.0
  20   │ #
  21   │ 
  22   │ # Here rules in new style should be provided. Matching devices should be tagged with 'uaccess'.
  23   │ # File prefix number should be lower than 73, to be correctly processed by the Udev.
  24   │ # Recommended udev version: >= 188.
  25   │ #
  26   │ ACTION!="add|change", GOTO="u2f_end"
  27   │ 
  28   │ # Nitrokey U2F
  29   │ KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="2581", ATTRS{idProduct}=="f1d0", TAG+="uaccess"
  30   │ # Nitrokey FIDO U2F
  31   │ KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="4287", TAG+="uaccess"
  32   │ # Nitrokey FIDO2
  33   │ KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42b1", TAG+="uaccess"
  34   │ # Nitrokey 3
  35   │ KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42b2", TAG+="uaccess"
  36   │ # Nitrokey 3 Bootloader
  37   │ KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42dd", TAG+="uaccess"
  38   │ # Nitrokey 3 Bootloader NRF
  39   │ ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42e8", TAG+="uaccess"
  40   │ 
  41   │ LABEL="u2f_end"
  42   │ 
  43   │ 
  44   │ SUBSYSTEM!="usb", GOTO="gnupg_rules_end"
  45   │ ACTION!="add", GOTO="gnupg_rules_end"
  46   │ 
  47   │ # USB SmartCard Readers
  48   │ ## Crypto Stick 1.2
  49   │ ATTR{idVendor}=="20a0", ATTR{idProduct}=="4107", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", TAG+="uaccess"
  50   │ ## Nitrokey Pro
  51   │ ATTR{idVendor}=="20a0", ATTR{idProduct}=="4108", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", TAG+="uaccess"
  52   │ ## Nitrokey Pro Bootloader
  53   │ ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42b4", TAG+="uaccess"
  54   │ ## Nitrokey Storage
  55   │ ATTR{idVendor}=="20a0", ATTR{idProduct}=="4109", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", TAG+="uaccess"
  56   │ ## Nitrokey Storage Bootloader
  57   │ ATTR{idVendor}=="03eb", ATTR{idProduct}=="2ff1", TAG+="uaccess"
  58   │ ## Nitrokey Start
  59   │ ATTR{idVendor}=="20a0", ATTR{idProduct}=="4211", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", TAG+="uaccess"
  59   │ ATTR{idVendor}=="20a0", ATTR{idProduct}=="4211", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", TAG+="uaccess"
  60   │ ## Nitrokey HSM
  61   │ ATTR{idVendor}=="20a0", ATTR{idProduct}=="4230", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", TAG+="uaccess"
  62   │ 
  63   │ LABEL="gnupg_rules_end"
  64   │ 
  65   │ 
  66   │ # Nitrokey Storage dev Entry
  67   │ KERNEL=="sd?1", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="4109", SYMLINK+="nitrospace"

Nitrokey 3A mini in der Praxis unter ArchLinux

Informationen von Hard- und Software

Hardwareinformationen

udev-Regeln

Linux - Wissensdatenbank