Nitrokey 3A mini in der Praxis unter ArchLinux

Dies ist eine alte Version des Dokuments!

Bild: Nitrokey 3A Mini USB-Stick In diesem Kapitel befassen wir uns eingehend mit dem Nitrokey 3A Mini (Daten-/Infoblatt) unter Arch Linux. Weitere Informationen zu den Nitrokey-Sticks findet man auch hier bzw. im Support Forum.

Der sichere Schlüssel zu Ihrem digitalen Leben.
Der Nitrokey 3 vereint die Funktionen vorheriger Nitrokey Modelle: FIDO2, Einmalpasswörter, OpenPGP Chipkarte, Curve25519, Passwort-Manager, Common Criteria EAL 6+ zertifiziertes Secure Element, Firmware-Updates. Damit werden Ihre Accounts zuverlässig gegen Phishing und Passwort-Diebstahl geschützt und Ihre Kommunikation und Daten verschlüsselt. Verschlüsselt Ihre E-Mails, Dateien und Server/SSH-Zugriffe. Schützt gegen Hacker und Spionage – privat und beruflich. Dabei wird der kryptografische Schlüssel sicher im Nitrokey gespeichert und ist gegen Verlust, Diebstahl und Computerviren geschützt. Mit starker Hardware-Verschlüsselung, vertrauenswürdig dank Open Source, Qualität made in Germany.
Anwendungsfälle sind z.B. für jeden als Schutz gegen Massenüberwachung und Hacker, für Unternehmen, Kanzleien und Selbstständige, sowie für IT-Administratoren und Sicherheitsexperten, die jeweils kritische Infrastruktur schützen, wollen und müssen. Die Firmware und der Software SourceCode der Nitrokey-Familie in Github hinterlegt, einsehbar und somit überprüfbar. ^{Quelle: https://shop.nitrokey.com/de/shop/nk3am-nitrokey-3a-mini-149}
Mit Hilfe von asymmetrischen Schlüsselmaterials (PGP und S/MIME) können eMails sowie Dateien und ganze Festplatten verschlüsselt und natürlich auch wieder entschlüsselt werden. Hierzu verwenden wir den Nitrokey Start welcher hier für einen überschaubaren Betrag von gerade mal 29€ erstanden werden kann. In dem folgenden Beitrag gehen wir auf die Verwendung unter Arch Linux ein.

Informationen über den Stick können wir z.B. mit Hilfe des Befehls usb-devices aus dem ArchLinux-Paket usbutils dem System abverlangen.

 # usb-devices

T:  Bus=01 Lev=03 Prnt=06 Port=01 Cnt=01 Dev#= 20 Spd=12   MxCh= 0
D:  Ver= 2.10 Cls=ef(misc ) Sub=02 Prot=01 MxPS=64 #Cfgs=  1
P:  Vendor=20a0 ProdID=42b2 Rev=01.07
S:  Manufacturer=Nitrokey
S:  Product=Nitrokey 3
C:  #Ifs= 2 Cfg#= 1 Atr=80 MxPwr=100mA
I:  If#= 0 Alt= 0 #EPs= 2 Cls=0b(scard) Sub=00 Prot=00 Driver=(none)
E:  Ad=01(O) Atr=02(Bulk) MxPS=  64 Ivl=0ms
E:  Ad=81(I) Atr=02(Bulk) MxPS=  64 Ivl=0ms
I:  If#= 1 Alt= 0 #EPs= 2 Cls=03(HID  ) Sub=00 Prot=00 Driver=usbhid
E:  Ad=02(O) Atr=03(Int.) MxPS=  64 Ivl=5ms
E:  Ad=82(I) Atr=03(Int.) MxPS=  64 Ivl=5ms

Mit dem Befehl lshw aus dem gleichnamigen ArchLinux-Paket lshw können wir uns ebenso anzeigen lassen, ob der Stick angesteckt und erkannt wird. Da der USB-Stick unter die Klasse generic fällt suchen wir gezielt nach diesen Geräte-Typus.

 # lshw -short -C generic

H/W path             Device          Class          Description
===============================================================
/0/100/2/0           input7          input          DP-2
/0/100/14/0/6/1/2                    input          Nitrokey 3
/0/100/14/0/6/1/3    input10         input          USB OPTICAL MOUSE  Keyboard
/0/100/14/0/6/2      input1          input          Das Keyboard Das Keyboard P13 Keyboard
/0/100/1f.3/0        input15         input          HDA Intel PCH Line Out
/0/100/1f.3/1        input16         input          HDA Intel PCH Headphone
/0/100/1f.3/2        input17         input          HDA Intel PCH HDMI/DP,pcm=3
/0/100/1f.3/3        input18         input          HDA Intel PCH HDMI/DP,pcm=7
/0/100/1f.3/4        input19         input          HDA Intel PCH HDMI/DP,pcm=8
/2                   input0          input          Power Button
/3                   input14         input          PC Speaker

Mit Hilfe des Befehls lsusb aus dem Arch-Linux-Paket usbutils können wir auch die Produkt- und Hersteller-Identifikationsnummer des Nitrokey-Sticks ermitteln.

 # lsusb | grep Nitrokey
Bus 001 Device 022: ID 20a0:42b2 Clay Logic Nitrokey 3A Mini/3A NFC/3C NFC

Im Journal wird uns beim Anstecken des Sticks dies entsprechend protokolliert:

 # journalctl -f

Dec 15 15:55:32 nitropc kernel: usb 1-6.1.2: new full-speed USB device number 23 using xhci_hcd
Dec 15 15:55:33 nitropc kernel: usb 1-6.1.2: New USB device found, idVendor=20a0, idProduct=42b2, bcdDevice= 1.07
Dec 15 15:55:33 nitropc kernel: usb 1-6.1.2: New USB device strings: Mfr=1, Product=2, SerialNumber=0
Dec 15 15:55:33 nitropc kernel: usb 1-6.1.2: Product: Nitrokey 3
Dec 15 15:55:33 nitropc kernel: usb 1-6.1.2: Manufacturer: Nitrokey
Dec 15 15:55:33 nitropc kernel: hid-generic 0003:20A0:42B2.0011: hiddev99,hidraw7: USB HID v1.11 Device [Nitrokey Nitrokey 3] on usb-0000:00:14.0-6.1.2/input1
Dec 15 15:55:33 nitropc systemd[1]: Reached target Smart Card.
Dec 15 15:55:33 nitropc systemd[1153]: Reached target Smart Card.

Für den Betrieb unter Arch Linux müssen wir uns noch passende udev-Definitionen hier besorgen.

Ein manuelles Holen und Installieren ist unter Arch Linux nicht notwendig, die Installation des Paketes libnitrokey reicht hier aus!

 # pacman -Sy libnitrokey

Bei Bedarf können wir uns hier gezielt informieren woher das Paket kommt und was es beinhaltet.

 # pacman -Qil libnitrokey

Paketinhalt und -info des Pakets libnitrokey

Name            : libnitrokey
Version         : 3.8-2
Description     : Communicate with Nitrokey stick devices in a clean and easy manner
Architecture    : x86_64
URL             : https://github.com/Nitrokey/libnitrokey
Licenses        : LGPL-3.0-or-later
Groups          : None
Provides        : libnitrokey.so=3-64
Depends On      : glibc  gcc-libs  hidapi  libusb  libhidapi-libusb.so=0-64
Optional Deps   : None
Required By     : None
Optional For    : None
Conflicts With  : None
Replaces        : None
Installed Size  : 1388.35 KiB
Packager        : David Runge <dvzrv@archlinux.org>
Build Date      : Mon 19 Feb 2024 01:23:08 PM CET
Install Date    : Tue 23 Jul 2024 08:24:05 PM CEST
Install Reason  : Explicitly installed
Install Script  : No
Validated By    : Signature

libnitrokey /usr/
libnitrokey /usr/include/
libnitrokey /usr/include/libnitrokey/
libnitrokey /usr/include/libnitrokey/CommandFailedException.h
libnitrokey /usr/include/libnitrokey/DeviceCommunicationExceptions.h
libnitrokey /usr/include/libnitrokey/LibraryException.h
libnitrokey /usr/include/libnitrokey/LongOperationInProgressException.h
libnitrokey /usr/include/libnitrokey/NK_C_API.h
libnitrokey /usr/include/libnitrokey/NitrokeyManager.h
libnitrokey /usr/include/libnitrokey/command.h
libnitrokey /usr/include/libnitrokey/command_id.h
libnitrokey /usr/include/libnitrokey/cxx_semantics.h
libnitrokey /usr/include/libnitrokey/deprecated.h
libnitrokey /usr/include/libnitrokey/device.h
libnitrokey /usr/include/libnitrokey/device_proto.h
libnitrokey /usr/include/libnitrokey/dissect.h
libnitrokey /usr/include/libnitrokey/log.h
libnitrokey /usr/include/libnitrokey/misc.h
libnitrokey /usr/include/libnitrokey/stick10_commands.h
libnitrokey /usr/include/libnitrokey/stick10_commands_0.8.h
libnitrokey /usr/include/libnitrokey/stick20_commands.h
libnitrokey /usr/include/libnitrokey/version.h
libnitrokey /usr/lib/
libnitrokey /usr/lib/libnitrokey.so
libnitrokey /usr/lib/libnitrokey.so.3
libnitrokey /usr/lib/libnitrokey.so.3.7.0
libnitrokey /usr/lib/pkgconfig/
libnitrokey /usr/lib/pkgconfig/libnitrokey-1.pc
libnitrokey /usr/lib/udev/
libnitrokey /usr/lib/udev/rules.d/
libnitrokey /usr/lib/udev/rules.d/41-nitrokey.rules

Die erforderliche udev-Regel findet sich also in der Datei /usr/lib/udev/rules.d/41-nitrokey.rules*. Bei Bedarf können wir uns auch hier gezielt informieren welche Konfigurationsoptionen hier in der Datei definiert wurden.

 # bat /usr/lib/udev/rules.d/41-nitrokey.rules

Konfigurationsdefinitionen in der Datei Datei 41-nitrokey.rules

/usr/lib/udev/rules.d/41-nitrokey.rules

───────┬──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
       │ File: /usr/lib/udev/rules.d/41-nitrokey.rules
───────┼──────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────────
   1   │ #
   2   │ # Copyright (c) 2015-2022 Nitrokey GmbH
   3   │ #
   4   │ # This file is part of libnitrokey.
   5   │ #
   6   │ # libnitrokey is free software: you can redistribute it and/or modify
   7   │ # it under the terms of the GNU Lesser General Public License as published by
   8   │ # the Free Software Foundation, either version 3 of the License, or
   9   │ # any later version.
  10   │ #
  11   │ # libnitrokey is distributed in the hope that it will be useful,
  12   │ # but WITHOUT ANY WARRANTY; without even the implied warranty of
  13   │ # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
  14   │ # GNU General Public License for more details.
  15   │ #
  16   │ # You should have received a copy of the GNU Lesser General Public License
  17   │ # along with libnitrokey. If not, see <http://www.gnu.org/licenses/>.
  18   │ #
  19   │ # SPDX-License-Identifier: LGPL-3.0
  20   │ #
  21   │ 
  22   │ # Here rules in new style should be provided. Matching devices should be tagged with 'uaccess'.
  23   │ # File prefix number should be lower than 73, to be correctly processed by the Udev.
  24   │ # Recommended udev version: >= 188.
  25   │ #
  26   │ ACTION!="add|change", GOTO="u2f_end"
  27   │ 
  28   │ # Nitrokey U2F
  29   │ KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="2581", ATTRS{idProduct}=="f1d0", TAG+="uaccess"
  30   │ # Nitrokey FIDO U2F
  31   │ KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="4287", TAG+="uaccess"
  32   │ # Nitrokey FIDO2
  33   │ KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42b1", TAG+="uaccess"
  34   │ # Nitrokey 3
  35   │ KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42b2", TAG+="uaccess"
  36   │ # Nitrokey 3 Bootloader
  37   │ KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42dd", TAG+="uaccess"
  38   │ # Nitrokey 3 Bootloader NRF
  39   │ ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42e8", TAG+="uaccess"
  40   │ 
  41   │ LABEL="u2f_end"
  42   │ 
  43   │ 
  44   │ SUBSYSTEM!="usb", GOTO="gnupg_rules_end"
  45   │ ACTION!="add", GOTO="gnupg_rules_end"
  46   │ 
  47   │ # USB SmartCard Readers
  48   │ ## Crypto Stick 1.2
  49   │ ATTR{idVendor}=="20a0", ATTR{idProduct}=="4107", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", TAG+="uaccess"
  50   │ ## Nitrokey Pro
  51   │ ATTR{idVendor}=="20a0", ATTR{idProduct}=="4108", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", TAG+="uaccess"
  52   │ ## Nitrokey Pro Bootloader
  53   │ ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42b4", TAG+="uaccess"
  54   │ ## Nitrokey Storage
  55   │ ATTR{idVendor}=="20a0", ATTR{idProduct}=="4109", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", TAG+="uaccess"
  56   │ ## Nitrokey Storage Bootloader
  57   │ ATTR{idVendor}=="03eb", ATTR{idProduct}=="2ff1", TAG+="uaccess"
  58   │ ## Nitrokey Start
  59   │ ATTR{idVendor}=="20a0", ATTR{idProduct}=="4211", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", TAG+="uaccess"
  59   │ ATTR{idVendor}=="20a0", ATTR{idProduct}=="4211", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", TAG+="uaccess"
  60   │ ## Nitrokey HSM
  61   │ ATTR{idVendor}=="20a0", ATTR{idProduct}=="4230", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", TAG+="uaccess"
  62   │ 
  63   │ LABEL="gnupg_rules_end"
  64   │ 
  65   │ 
  66   │ # Nitrokey Storage dev Entry
  67   │ KERNEL=="sd?1", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="4109", SYMLINK+="nitrospace"

Sobald wir nun unseren Nitrokey Start in einen USB-Port unseres Adminrechners stecken, können wir den Status der Karte z.B. mit der Option –card-status beim Befehl gpg2abfragen.

 $ gpg2 --card-status

Reader ...........: 20A0:42B2:X:0
Application ID ...: D276000124010304000F6447F2530000
Application type .: OpenPGP
Version ..........: 3.4
Manufacturer .....: Nitrokey
Serial number ....: 6447F253
Name of cardholder: [not set]
Language prefs ...: [not set]
Salutation .......: 
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 0 3
Signature counter : 0
KDF setting ......: off
UIF setting ......: Sign=off Decrypt=off Auth=off
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

Da es sich bei der Chipkarte des Nitrokey 3A Mini um eine standardkompatible OpenPGP-Karte handelt, kann der Kryptostick mit Hilfe von GnuPG verwaltet werden.

Alle Sicherheitsfunktionen wie z.B. das Erzeugen/Speichern von PGP-Schlüsseln, das Verschlüsseln/Entschlüsseln einer Datei, das Signieren einer Nachricht, die auf der Hardware ausgeführt werden, können mit Hilfe des Befehls gpg bzw. gpg2 gesteuert werden.

card-status

Mit der Option card-status können wir uns mit dem Befehl gpg --card-status den Kartenstatus ausgeben lassen.

 $ gpg2 --card-status

Reader ...........: 20A0:42B2:X:0
Application ID ...: D276000124010304000F6447F2530000
Application type .: OpenPGP
Version ..........: 3.4
Manufacturer .....: Nitrokey
Serial number ....: 6447F253
Name of cardholder: [not set]
Language prefs ...: [not set]
Salutation .......: 
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 0 3
Signature counter : 0
KDF setting ......: off
UIF setting ......: Sign=off Decrypt=off Auth=off
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

Die einzelnen Datenfelder haben hierbei folgende Bedeutung:

Datenfeld	Beschreibung
Application ID	Individuelle (unique) KartenID, diese beinhaltet: ° den Kartentyp ° die Version der Spezifikation ° den Hersteller und ° die Seriennummer des Cryptosticks Diese Application ID ist einmalig und bei jeder Karte anders.
Version	verwendete OpenPGP Version
Manufacturer	Hersteller der Karte
Serial number	Seriennummer der Karte, die vom Hersteller vergeben wurde.
Name of cardholder	Vorname und Nachname des Karteninhabers ( Es sind hier derzeit nur reines ASCII erlaubt, also keine deutschen Umlaute). Dieses Feld wird von GPG nicht verwendet.
Language prefs	Gewählte/bevorzugte Sprache (Muttersprache) des Karteninhabers. Dieses Feld wird von GPG nicht verwendet.
Sex	Geschlecht des Karteninhabers.: (Männlich (M), Weiblich (F) oder Leerzeichen)
URL of public key	Angabe einer URL, mit der der public-key mit Hilfe des Befehls fetch unter gpg --edit-card auf die Karte geladen werden kann.
Login data	Bei diesem Feld kann der Account-Name des Karteninhabers abgelegt werden, der bei Anmeldeversuchen genutzt werden kann. *GPG* führt hier keinerlei Abgleiche zwischen diesem Namen und dem Namen der in einem Schlüssel angegeben und verwendet wird durch!
Signature PIN	Hier kann über die beiden Schalter zwingend und nicht zwingend eingestellt werden, ob bei jedem Signatur-Vorgang die PIN abgefragt werden soll, oder nicht. Bei der Option nicht zwingend kann GPG die PIN zwischenspeichern, solange der Nitrokey-Stick angesteckt bleibt.
Key attributes	Angaben über Art und Umfang der hinterlegten Schlüssel
Max. PIN lengths	Maximale Länge der einzelnen PINs, kann nicht verändert werden!
PIN retry counter	Zähler für die verbleibenden Versuche zur Eingabe der richtigen PIN. Der max. Zählwert von 3 wird bei jeder Falscheingabe um eins herunter gesetzt. Sobald die richtige Admin-PIN eingegeben wurde, wir der max. Wert von 3 wieder zurück gesetzt. Die beiden ersten Werte (von links gesehen) werden für die User-PIN verwendet. GPG stellt hierbei sicher, dass beide werde synchronisiert werden. Der zweite (mittlere) Wert wird lediglich für Besonderheiten aus dem ISO-Standard 7816 (https://de.wikipedia.org/wiki/ISO_7816) verwendet. Der dritte (rechte) Wert wird als Fehlversuchszähler für die Admin_PIN verwendet.
Signature counter	Zähler der generierten Signaturen bzw. Signaturvorgänge mit der Karte. Der Zähler kann nicht manipuliert werden und wird lediglich zurückgesetzt, sobald ein neuer Signatur-Schlüssel erzeugt oder auf die Karte geladen wird.
Signature key	Signatur-Schlüssel (primärer OpenPGP-Schlüssel)
created	Datum und Uhrzeit an dem der Schlüssel erzeugt wurde
Encryption key	Entschlüsselungs-Schlüssel (Unterschlüssel des primären (Signatur-)Schlüssels.
created	Datum und Uhrzeit an dem der Schlüssel erzeugt wurde
Authentication key	Authentifizierung-Schlüssel (Unterschlüssel des primären (Signatur-)Schlüssels.
created	Datum und Uhrzeit an dem der Schlüssel erzeugt wurde
General key info	Diese primäre User ID wird angezeigt, sobald ein entsprechender öffentlicher Schlüssel (public-key) verfügbar ist.

card-edit

Mit Hilfe des Befehls gpg --card-edit haben wir entsprechend umfangreiche Zugriffs-, Erstellungs- und Änderungsoptionen auf die Daten und das Schlüsselmaterial, welches auf der Smartcard gespeichert wurden und werden. Viele hilfreiche Informationen zum Umgang mit den Befehlen die uns das Programm gpg bietet, findet man in der zugehörigen Dokumentation auf der Projektseite von https://www.gnupg.org/.

 $ gpg --card-edit

Reader ...........: 20A0:42B2:X:0
Application ID ...: D276000124010304000F6447F2530000
Application type .: OpenPGP
Version ..........: 3.4
Manufacturer .....: Nitrokey
Serial number ....: 6447F253
Name of cardholder: [not set]
Language prefs ...: [not set]
Salutation .......: 
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 0 3
Signature counter : 0
KDF setting ......: off
UIF setting ......: Sign=off Decrypt=off Auth=off
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

gpg/card>

User-Befehle

Mit Hilfe des Befehls help können wir uns anzeigen lassen, welche Optionen im jeweiligen Modus Benutzer oder Admin zur Verfügung stehen.

gpg/card> help

gpg/card> help
quit           quit this menu
admin          show admin commands
help           show this help
list           list all available data
fetch          fetch the key specified in the card URL
passwd         menu to change or unblock the PIN
verify         verify the PIN and list all data
unblock        unblock the PIN using a Reset Code
openpgp        switch to the OpenPGP app

gpg/card>

Admin-Befehle

Mit dem Befehl admin können wir in den Admin-Modus/-Bereich wechseln und auch dort alle Befehle mit Hilfe von help anzeigen lassen.

gpg/card> admin
Admin commands are allowed

gpg/card> help
quit           quit this menu
admin          show admin commands
help           show this help
list           list all available data
name           change card holder's name
url            change URL to retrieve key
fetch          fetch the key specified in the card URL
login          change the login name
lang           change the language preferences
salutation     change card holder's salutation
cafpr          change a CA fingerprint
forcesig       toggle the signature force PIN flag
generate       generate new keys
passwd         menu to change or unblock the PIN
verify         verify the PIN and list all data
unblock        unblock the PIN using a Reset Code
factory-reset  destroy all keys and data
kdf-setup      setup KDF for PIN authentication (on/single/off)
key-attr       change the key attribute
uif            change the User Interaction Flag
openpgp        switch to the OpenPGP app

gpg/card>