Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- nitrokey:arch:start [16.12.2024 20:26. ] – [erster Test] django
+++ nitrokey:arch:start [09.07.2025 12:05. ] (aktuell) – [Nitrokey Start und Thunderbird] django
@@ Zeile 128: / Zeile 128: @@
 ++++
-Die erforderliche udev-Regel findet sich also in der Datei **''/usr/lib/udev/rules.d/41-nitrokey.rules''***.
+Die erforderliche udev-Regel findet sich also in der Datei **''/usr/lib/udev/rules.d/41-nitrokey.rules''**.
 ==== erster Test ====
@@ Zeile 152: / Zeile 152: @@
 Authentication key: [none]
 General key info..: [none]</code>
-   # pacman -S python-pynitrokey
-   # nitropy --help
-<code>Usage: nitropy [OPTIONS] COMMAND [ARGS]...
-Options:
-  -h, --help  Show this message and exit.
-Commands:
-  fido2    Interact with Nitrokey FIDO2 devices, see subcommands.
-  list     List Nitrokey devices (in firmware or bootloader mode)
-  nethsm   Interact with NetHSM devices, see subcommands.
-  nk3      Interact with Nitrokey 3 devices, see subcommands.
-  nkpk     Interact with Nitrokey Passkey devices, see subcommands.
-  pro      Interact with Nitrokey Pro devices, see subcommands.
-  start    Interact with Nitrokey Start devices, see subcommands.
-  storage  Interact with Nitrokey Storage devices, see subcommands.
-  version  Version of pynitrokey library and tool.</code>
-   # nitropy nk3 test
-<code>Command line tool to interact with Nitrokey devices 0.6.0
-THIS COMMAND SHOULD NOT BE RUN AS ROOT!
-Please install udev rules and run `nitropy` as regular user (without sudo).
-We suggest using: https://raw.githubusercontent.com/Nitrokey/libnitrokey/master/data/41-nitrokey.rules
-For more information, see: https://docs.nitrokey.com/software/nitropy/linux/udev.html
-Set ALLOW_ROOT=1 environment variable to disable this warning.
-Found 1 NK3 device(s):
-- Nitrokey 3 at /dev/hidraw0
-Running tests for Nitrokey 3 at /dev/hidraw0
-[1/5]	uuid     	UUID query              	SUCCESS  	6447F2534D3A582D0000000000000000
-[2/5]	version  	Firmware version query  	SUCCESS  	v1.7.2
-[3/5]	status   	Device status           	SUCCESS  	Status(init_status=<InitStatus: 0>, ifs_blocks=241, efs_blocks=471, variant=<Variant.NRF52: 2>)
-Running SE050 test: |
-[4/5]	se050    	SE050                   	SUCCESS  	SE050 firmware version: 3.1.1 - 1.11, (persistent: (30140,), transient_deselect: (271,), transient_reset: (256,))
-Please press the touch button on the device ...
-Please press the touch button on the device ...
-[5/5]	fido2    	FIDO2                   	SUCCESS
-tests, 5 successful, 0 skipped, 0 failed
-Summary: 1 device(s) tested, 1 successful, 0 failed</code>
-Das Protokoll im Verzeichnis **''/tmp''** von **''nitropy''** zeigt im Zweifelsfall weitere Informationen die bei der weiteren Betrachtung oder Fehlereingrenzung wertvolle Informationen liefern kann.
-   # ls -al /tmp/nitropy.log.gkod8a3k
-<code>-rw-r--r-- 1 root root 5795 Dec 16 21:16 /tmp/nitropy.log.gkod8a3k</code>
-   # cat /tmp/nitropy.log.gkod8a3k
-<code>368        INFO pynitrokey.cli Timestamp: 2024-12-16 21:16:27.120247
-        INFO pynitrokey.cli OS: uname_result(system='Linux', node='pml010074', release='6.6.65-1-lts', version='#1 SMP PREEMPT_DYNAMIC Wed, 11 Dec 2024 15:35:54 +0000', machine='x86_64')
-        INFO pynitrokey.cli Python version: 3.12.7
-        INFO pynitrokey.cli Cli arguments: ['nk3', 'test']
-        INFO pynitrokey.cli pynitrokey version: 0.6.0
-        INFO pynitrokey.cli cryptography version: 43.0.3
-        INFO pynitrokey.cli ecdsa version: 0.19.0
-        INFO pynitrokey.cli fido2 version: 1.1.3
-        INFO pynitrokey.cli pyusb version: 1.2.1
-        INFO pynitrokey.cli.trussed.test platform: Linux-6.6.65-1-lts-x86_64-with-glibc2.40
-        INFO pynitrokey.cli.trussed.test uname: uname_result(system='Linux', node='pml010074', release='6.6.65-1-lts', version='#1 SMP PREEMPT_DYNAMIC Wed, 11 Dec 2024 15:35:54 +0000', machine='x86_64')
-       DEBUG       root print: Found 1 NK3 device(s):
-       DEBUG       root print: - Nitrokey 3 at /dev/hidraw0
-       DEBUG       root print: Running tests for Nitrokey 3 at /dev/hidraw0
-       DEBUG       root print: [1/5]	uuid     	UUID query              	SUCCESS  	6447F2534D3A582D0000000000000000
-       DEBUG       root print: [2/5]	version  	Firmware version query  	SUCCESS  	v1.7.2
-        INFO pynitrokey.cli.trussed.tests Device status: Status(init_status=<InitStatus: 0>, ifs_blocks=241, efs_blocks=471, variant=<Variant.NRF52: 2>)
-       DEBUG       root print: [3/5]	status   	Device status           	SUCCESS  	Status(init_status=<InitStatus: 0>, ifs_blocks=241, efs_blocks=471, variant=<Variant.NRF52: 2>)
-       DEBUG       root print: [4/5]	se050    	SE050                   	SUCCESS  	SE050 firmware version: 3.1.1 - 1.11, (persistent: (30140,), transient_deselect: (271,), transient_reset: (256,))
-      DEBUG fido2.server Fido2Server initialized for RP: PublicKeyCredentialRpEntity(name='Example RP', id='example.com')
-      DEBUG fido2.server Starting new registration, existing credentials:
-      DEBUG       root print: Please press the touch button on the device ...
-      DEBUG fido2.client Register a new credential for RP ID: example.com
-      DEBUG fido2.ctap2.base Calling CTAP2 make_credential
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 02
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG fido2.server Verifying attestation of type packed
-       INFO fido2.server New credential registered: a3005878bd496f7f5e7c10b12264abdc7274b8a2a8a1724eab6a6b2cf29737921dfb1c4793c1b3645547b7287ca5cd6087b3cd0c06e03c9115de4aeba206f2cfc14da879c4cf8c2045165008c9b3aa4591cee5b2cb825ee6c86f4ebe2f6bc8c4769902a550d389e11b235485931334234f15bf64de04d075aa27d394014c680a5adb95a30d02ed6d9e7f02505d85c63ba65a973e074ce94856cbb2a0
-      DEBUG fido2.server Starting new authentication, for credentials: a3005878bd496f7f5e7c10b12264abdc7274b8a2a8a1724eab6a6b2cf29737921dfb1c4793c1b3645547b7287ca5cd6087b3cd0c06e03c9115de4aeba206f2cfc14da879c4cf8c2045165008c9b3aa4591cee5b2cb825ee6c86f4ebe2f6bc8c4769902a550d389e11b235485931334234f15bf64de04d075aa27d394014c680a5adb95a30d02ed6d9e7f02505d85c63ba65a973e074ce94856cbb2a0
-      DEBUG       root print: Please press the touch button on the device ...
-      DEBUG fido2.client Assert a credential for RP ID: example.com
-      DEBUG fido2.ctap2.base Calling CTAP2 get_assertion
-      DEBUG  fido2.hid Got keepalive status: 02
-      DEBUG  fido2.hid Got keepalive status: 01
-      DEBUG  fido2.hid Got keepalive status: 01
-     DEBUG  fido2.hid Got keepalive status: 01
-     DEBUG  fido2.hid Got keepalive status: 01
-     DEBUG  fido2.hid Got keepalive status: 01
-      INFO fido2.server Credential authenticated: a3005878bd496f7f5e7c10b12264abdc7274b8a2a8a1724eab6a6b2cf29737921dfb1c4793c1b3645547b7287ca5cd6087b3cd0c06e03c9115de4aeba206f2cfc14da879c4cf8c2045165008c9b3aa4591cee5b2cb825ee6c86f4ebe2f6bc8c4769902a550d389e11b235485931334234f15bf64de04d075aa27d394014c680a5adb95a30d02ed6d9e7f02505d85c63ba65a973e074ce94856cbb2a0
-     DEBUG       root print: [5/5]	fido2    	FIDO2                   	SUCCESS
-     DEBUG       root print: 5 tests, 5 successful, 0 skipped, 0 failed
-     DEBUG       root print: Summary: 1 device(s) tested, 1 successful, 0 failed<code>
-Im Falle von Fehlern entnehmen Sie bitte die Protokolle dem Verzeichnis /tmp (/tmp/nitropy.log.*).
 ===== Anwendungsfälle - Software =====
@@ Zeile 401: / Zeile 273: @@
 Wir wollen uns nun einen neuen PGP-Schlüssel in der SmartCard erzeugen und rufen hierzu den Befehl **generate** auf. Der **Nitrokey Start** unterstützt **__RSA__-Schlüssellängen** von **1024** und maximal von **2048**!
-<WRAP center round important 80%>
+<WRAP center round important 90%>
 Mit Hinblick auf die möglichen Unsicherheiten im Bezug auf die [[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102.pdf|RSA-Schlüssellänge]] werden wir uns später noch eingehend mit der Erstellung eines [[start#ed25519-schluessel_generieren|ED25519]] beschäftigen!
@@ Zeile 446: / Zeile 318: @@
 Nun wird auf der Karte der gewählte Schlüssel erzeugt.
-<WRAP center round tip 95%>
+<WRAP center round tip 90%>
 Die Erzeugung eines Schlüssels mit einer Länge von **2048** dauert ca. 5 Minuten, also keinesfalls den Nitrokey Start abziehen oder die Generierung abbrechen! Während der Erzeugung der Schlüssel leuchtet die rote LED im Stick.
 </WRAP>
@@ Zeile 676: / Zeile 548: @@
 === Öffentlichen Schlüssel ausgeben ===
 Damit wir später unseren öffentlichen Schlüssel auch weitergeben oder zu einem [[https://keys.openpgp.org/|Keyserver]] hoch laden, exportieren wir diesen in eine Datei.
-  $ gpg --export --armor django@nausch.org > ~/.gnupg/secmail@nausch.org.pubkey
+  $ gpg --export --armor django@nausch.org > ~/.gnupg/django@nausch.org.pubkey
 Diese Datei enthält unseren Schlüssel in ASCII-lesbarer Form.
-  $ cat ~/.gnupg/secmail@nausch.org.pubkey
+  $ cat ~/.gnupg/django@nausch.org.pubkey
 <file key secmail@nausch.org.pubkey>-----BEGIN PGP PUBLIC KEY BLOCK-----
@@ Zeile 805: / Zeile 677: @@
 === change-pin ===
-<WRAP center round alert 95%>
+<WRAP center round alert 90%>
 **WICHTIG**:
 Unbedingt vor dem ersten Ändern der PINs ist es notwendig, erst einmal Schlüssel zu generieren bzw. zu importieren! Denn sonst schlägt das Ändern der Benutzer-PIN fehl, bzw. wird die Benutzer-PIN beim Überschreiben von Schlüsseln auf den Default-Wert von **123456** zurückgesetzt. Die Default-PIN für den Admin lautet **12345678**.
@@ Zeile 818: / Zeile 690: @@
 Die Admin-PIN (Menüpunkt **3**) wird für die Karten-/Token-Verwaltung verwendet, so z.B. für das Laden von Schlüsseln auf den Krypto-Stick, das Erzeugen von Schlüsseln oder das Ändern von Informationen wie die Inhaberdaten auf der Karte. Die Mindestlänge für die Admin-PIN beträgt 8 Zeichen.
-<WRAP center round important 95%>
+<WRAP center round important 90%>
 Wird die Benutzer-PIN 3x falsch eingeben, wird die Karte gesperrt und kann dann nur mit der Admin-PIN oder dem Reset-Code zurückgesetzt werden. Wenn Sie den falschen Admin-Pin dreimal eingeben, wird die Karte unbrauchbar und kann dann lediglich mit einem Factory-Reset (Verlußt aller Kartendaten!) zurück gesetzt werden!
@@ Zeile 903: / Zeile 775: @@
 gpg/card> quit</code>
+=== Schlüssel umziehen bzw. auf weiterem Rechner nutzen ===
+Oft kommt es vor dass man entweder sein Schlüsselmaterial von einem Rechner auf einen anderen|neuen umziehen möchte, oder man benutzt ein und denselben Stick wahlweise auf mehreren Rechnern (Desktop, Laptop, etc.).
+<WRAP center round tip 90%>
+Nur wie bekommt man nun seinen privaten Schlüssel, der ja nur in der SmartCard des Kryptosticks sicher verwahrt wird, oder genauer gesagt seine Identität auf den neuen weiteren Rechner? Ganz einfach, man exportiert den OpenPGP-Schlüssel aus dem Schlüsselbund und importiert diesen dann auf dem neuen Rechner wieder mit GnuPG!
+Der Ablauf ist der Gleiche wie bei einem "normalen PGP-Key" welchen wir z.B. mit Hilfe von **''gpg %%--%%generate-key''** erzeugt hätten. Der private Schlüssel auf dem Kryptostick ist dabei so etwas wie ein "Dummy", der lediglich die Information enthält, dass der eigentlich richtige private Schlüssel auf dem Stick mit der **ID...** zu finden ist. Und genau dieser "Dummy" muss dann auf dem  weiteren Rechner in den **keyring** importiert werden.</WRAP>
+Zunächst werfen wir also einen Blick in unseren keyring:
+   $ gpg2 --list-secret-keys
+<code>/home/django/.gnupg/pubring.kbx
+-------------------------------
+sec>  ed25519 2024-01-03 [SC]
+C082445CDFB72DECD650350610ED9AEE553353F
+      Card serial no. = FFFE 43243711
+uid           [ultimate] Django (Bastard Operator from Hell [BOfH]) <django@nausch.org>
+ssb>  ed25519 2024-01-03 [A]
+ssb>  cv25519 2024-01-03 [E]
+sec>  ed25519 2024-12-15 [SC]
+      F5F0CD13074BA693D950F92A0A56C9A3A69FE291
+      Card serial no. = 000F 6447F253
+uid           [ultimate] Michael Nausch <michael@nausch.org>
+ssb>  ed25519 2024-12-15 [A]
+ssb>  cv25519 2024-12-15 [E]</code>
+Den privaten Schlüssel unseres Nitrokey mit der Karten Serien-Nummer **''000F 6447F253''** und der Key-ID **''0A56C9A3A69FE291''** wollen wir nun auf unseren weiteren Rechner holen. Hierzu stecken wir diesen an unseren "alten bzw. ersten" Rechner. Mit folgendem Aufruf können wir auch die benötigten Infos auslesen um sicherzustellen, dass auch wirklich der eine von unseren 13 Kryptosticks der richtige ist. 8-)
+   $ gpg --card-status | grep 'General key info'
+  General key info..: pub  ed25519/0A56C9A3A69FE291 2024-12-15 Michael Nausch <michael@nausch.org>
+Zunächst exportieren wir nun also die "Key-Dummy-Daten":
+   $ gpg -o ~/michael@nausch.org.sc_dummy_private_key.asc --export-secret-key 0A56C9A3A69FE291
+Diese Datei enthält nun alle nötigen Informationen.
+   $ file ~/michael@nausch.org.sc_dummy_private_key.asc
+  /home/django/michael@nausch.org.sc_dummy_private_key.asc: OpenPGP Secret Key Version 4, Created Sun Dec 15 17:08:38 2024, EdDSA; User ID; Signature; OpenPGP Certificate
+Diese Datei kopieren wir nun auf einem sicheren und geschützten Weg auf unseren neuen weiteren Rechner.
+Werfen wir zunächst noch einen Blick in den **keyring** auf unserem zweiten Rechner:
+   $ gpg2 --list-secret-keys
+<code>/home/django/.gnupg/pubring.kbx
+-------------------------------
+sec>  ed25519 2024-01-03 [SC]
+C082445CDFB72DECD650350610ED9AEE553353F
+      Card serial no. = FFFE 43243711
+uid           [ultimate] Django (Bastard Operator from Hell [BOfH]) <django@nausch.org>
+ssb>  ed25519 2024-01-03 [A]
+ssb>  cv25519 2024-01-03 [E]
+</code>
+Hier fehlt also **__noch__** die Information für unseren weiteren Kryptostick der die eMail-adresse **''michael@nausch.org''** bedient.
+Wir importieren also nun die kopierte Pseudo-Dummy-Keydatei, welche wir auf unseren neuen bzw. weiteren Rechner kopiert haben.
+   $ gpg --import Downloads/michael@nausch.org.sc_dummy_private_key.asc
+<code>gpg: key 0A56C9A3A69FE291: public key "Michael Nausch <michael@nausch.org>" imported
+gpg: To migrate 'secring.gpg', with each smartcard, run: gpg --card-status
+gpg: key 0A56C9A3A69FE291: secret key imported
+gpg: Total number processed: 1
+gpg:               imported: 1
+gpg:       secret keys read: 1</code>
+Wie uns aufgetragen migrieren wir nun für die neue smartcard den **''secring.gpg''** bei angestecktem Nitrokey:
+   ~$ gpg --card-status
+<code>Reader ...........: Nitrokey Nitrokey 3 [CCID/ICCD Interface] 00 00
+Application ID ...: D276000124010304000F6447F2530000
+Application type .: OpenPGP
+Version ..........: 3.4
+Manufacturer .....: unknown
+Serial number ....: 6447F253
+Name of cardholder: Michael Nausch
+Language prefs ...: de
+Salutation .......: Mr.
+URL of public key : https://keys.openpgp.org/search?q=get&search=0x0A56C9A3A69FE291
+Login data .......: django
+Signature PIN ....: forced
+Key attributes ...: ed25519 cv25519 ed25519
+Max. PIN lengths .: 127 127 127
+PIN retry counter : 3 0 3
+Signature counter : 10
+KDF setting ......: off
+Signature key ....: F5F0 CD13 074B A693 D950  F92A 0A56 C9A3 A69F E291
+      created ....: 2024-12-15 17:08:38
+Encryption key....: DBBD 5355 D9D0 334A A3FA  751F A89D D54D AE0E 394A
+      created ....: 2024-12-15 17:08:38
+Authentication key: EE7C 3807 4F0A 8F2A 5601  BF91 1E61 4A9A 36D4 DF53
+      created ....: 2024-12-15 17:08:38
+General key info..: pub  ed25519/0A56C9A3A69FE291 2024-12-15 Michael Nausch <michael@nausch.org>
+sec>  ed25519/0A56C9A3A69FE291  created: 2024-12-15  expires: never
+                                card-no: 000F 6447F253
+ssb>  ed25519/1E614A9A36D4DF53  created: 2024-12-15  expires: never
+                                card-no: 000F 6447F253
+ssb>  cv25519/A89DD54DAE0E394A  created: 2024-12-15  expires: never
+                                card-no: 000F 6447F253</code>
+Nun lassen wir uns erneut alle secret-key-Informationen unsere **keyring** anzeigen:
+   $ gpg2 --list-secret-keys
+<code>/home/django/.gnupg/pubring.kbx
+-------------------------------
+sec>  ed25519 2024-01-03 [SC]
+C082445CDFB72DECD650350610ED9AEE553353F
+      Card serial no. = FFFE 43243711
+uid           [ultimate] Django (Bastard Operator from Hell [BOfH]) <django@nausch.org>
+ssb>  ed25519 2024-01-03 [A]
+ssb>  cv25519 2024-01-03 [E]
+sec>  ed25519 2024-12-15 [SC]
+      F5F0CD13074BA693D950F92A0A56C9A3A69FE291
+      Card serial no. = 000F 6447F253
+uid           [ unknown] Michael Nausch <michael@nausch.org>
+ssb>  ed25519 2024-12-15 [A]
+ssb>  cv25519 2024-12-15 [E]
+</code>
+Voila, wir haben also nun alle benötigten Informationen in unserem keyring, so dass wir den weiteren Nitrokey auch auf unserem zusätzlichen Rechner nutzen können!
+<WRAP center round important 90%>
+**WICHTIG:** \\ \\ Wollen wir unseren transferierten Schlüssel auch in **[[#nitrokey_start_und_thunderbird|Thunderbird]]** nutzen reicht es **__nicht__** den Schlüssel wie soeben beschrieben nur "in" **''gpg''** zu im portieren, der Schlüssel muss zusätzlich über die **OpenPGP-Schlüsselverwaltung von Thunderbird** importiert werden! Ansonsten kommt es zu unliebsamen Fehlermeldungen wie z.B. **''Die konfigurierte Schlüssel-ID wurde nicht in Ihrem Schlüsselbund gefunden.''**!
+</WRAP>
 === Verschlüsseln und entschlüsseln ===
@@ Zeile 1028: / Zeile 1019: @@
 {{ :nitrokey:arch:thunderbird_007.png?nolink&874 |Bild: Menüfenster der Thunderbird individuellen Einstellungen}}
-==== Nitrokey Start und Secure Shell  ====
+<WRAP center round important 90%>
+**WICHTIG:** \\ Haben wir generierte Schlüssel von einem anderen Rechner aus auf unserem aktuellen Rechner kopiert und diese, wie im Kapitel **[[#schluessel_umziehen_bzw_auf_weiterem_rechner_nutzen|Schlüssel umziehen bzw. auf weiterem Rechner nutzen]]** beschrieben, importiert **__müssen__** wir die secret-keys auch noch Thunderbird und dessen **OpenPGP-Schlüssel Verwaltung** bekannt machen! \\
+Ansonsten kommt es zu unliebsamen Fehlermeldungen wie z.B. **''Die konfigurierte Schlüssel-ID wurde nicht in Ihrem Schlüsselbund gefunden.''**, da Thunderbird von der Existenz der hinterlegten privaten schlüssel zwar Kenntnis hat, diese aber auf Grund der fehlenden Verknüpfung nicht nutzen kann.
+</WRAP>
+Zur Kontrolle ob alle privaten Schlüssel in Thunderbird verankert sind oder zum Importieren von neuen (umgezogenen) Private Keys klicken wir auf die Schaltfläche **[ OpenPGP-Schlüssel __v__erwalten ]** auf der Konfigurations-Seite **Ende-zu-Ende-Verschlüsselung** bei den **Kontoeinstellungen**.
+{{ :nitrokey:arch:thunderbird_007.png?nolink&874 |Bild: Menüfenster der Thunderbird individuellen Einstellungen}}
+Im Folgenden Konfigurationsbeispiel sehen wir nur den Schlüssel für einen User|Adresse **''django@nausch.org''**.
+{{ :nitrokey:arch:thunderbird_010.png?nolink&550 |Bild: Menüfenster der Thunderbird individuellen Einstellungen zu OpenPGP-Schlüssel verwalten}}
+Zum Importieren des Schlüssels für den User|Adresse **''michael@nausch.org''** wählen wir unter **Datei** den Punkt **Geheime(n) Schlüssel aus Datei importieren**
+{{ :nitrokey:arch:thunderbird_011.png?nolink&550 |Bild: Menüfenster der Thunderbird individuellen Einstellungen zu OpenPGP-Schlüssel verwalten}}
+Auf der Folgenden Seite klicken wir nun auf die Schaltfläche **[ __D__atei für den Import auswählen ]** und wählen dann die betreffende Schlüsseldatei aus
+{{ :nitrokey:arch:thunderbird_011a.png?nolink&450 |Bild: Menüfenster der Thunderbird individuellen Einstellungen zu OpenPGP-Schlüssel verwalten}}
+Nun präsentiert und Thunderbirds Schlüsselverwaltung den erkannten Schlüssel für den User|Adresse **''michael@nausch.org''**. Wichtig ist das der Haken bei **Diesen Schlüssel als persönlichen Schlüssel verwenden** gesetzt ist. Anschliessend wählen wir die Schaltfläche **[ Fortfahren ]** aus.
+{{ :nitrokey:arch:thunderbird_012.png?nolink&550 |Bild: Menüfenster der Thunderbird individuellen Einstellungen zu OpenPGP-Schlüssel verwalten}}
+Über den Menüpunkt **[ Schlüss__e__leigenschaften ]** können wir uns nochmal svergewissern ob der Schlüssel für unseren Einsatzzwek entsprechend passt.
+{{ :nitrokey:arch:thunderbird_013.png?nolink&550 |Bild: Menüfenster der Thunderbird individuellen Einstellungen zu OpenPGP-Schlüssel verwalten}}
+Mit einem Klick auf die Schatfläche **[ OK ]** kommen wir zurück zur vorherigen Anzeige.
+{{ :nitrokey:arch:thunderbird_014.png?nolink&550 |Bild: Menüfenster der Thunderbird individuellen Einstellungen zu OpenPGP-Schlüssel verwalten}}
+Dort klicken wir auf die Schlatfläche **[ S__c__hließen ]** und beenden damit den Import des Schlüsselmaterials bzw. des Dummy-Privatekey unseres Nitrokeys.
+Wir sehen nun unsere beiden aktiven Schlüssel:
+{{ :nitrokey:arch:thunderbird_015.png?nolink&550 |Bild: Menüfenster der Thunderbird individuellen Einstellungen zu OpenPGP-Schlüssel verwalten}}
+==== Nitrokey Start und Secure Shell ====
 <WRAP center round important 90%>
@@ Zeile 1206: / Zeile 1240: @@
 Anschliessend lassen sich Verbindungen zu unseren Remote-Systemen erst wieder aufbauen, wenn der GPG-Agent geladen und die Karte nach Eingabe der PIN entsperrt wurde!
+==== Nitrokey Start und Git/Gitlab ====
+<WRAP center round important 90%>
+Git ist an sich kryptographisch sicher, so dass Änderungen sicher nachprüfbar nachverfolgt werden können. Was damit aber noch nicht sichergestellt werden kann, stammt die Änderung auch wirklich von der Person, der wir vertrauen! Git unterstützt hier ein paar Möglichkeiten die Arbeiten an einem Repository zu unterschreiben und auch zu überprüfen.
+</WRAP>
+=== GPG Key-ID ermitteln ===
+Zunächst holen wir uns die Key-ID unseres Users.
+   $ gpg2 -K
+<code>/home/django/.gnupg/pubring.kbx
+-------------------------------
+sec>  ed25519 2024-01-03 [SC]
+C082445CDFB72DECD650350610ED9AEE553353F
+      Card serial no. = FFFE 43243711
+uid           [ultimate] Django (Bastard Operator from Hell [BOfH]) <django@nausch.org>
+ssb>  ed25519 2024-01-03 [A]
+ssb>  cv25519 2024-01-03 [E]</code>
+Die Key-ID unseres Adminusers **''<django@nausch.org>''** lautet also **''610ED9AEE553353F''** (die letzten 16 Stellen reichen hierfür aus).
+=== Git konfigurieren ===
+Nun können wir  Git konfigurieren, damit bei einem Commit Änderungen signiert werden können. Hierzu setzen wir die globale Git Option **''user.signingkey''** - wir setzen diese Option nun auf den zuvor ermittelten Key-ID Wert **''610ED9AEE553353F''**
+   $ git config --global user.signingkey 610ED9AEE553353F!
+Am besten aktivieren wir zusätzlich auch noch die Option, dass automatisch __alle__ Commits automatisch signiert werden.
+   $ git config --local commit.gpgsign true
+=== Unterzeichnung von Commits ===
+Wir sind nun in der Lage einzelne Commits zu unterschreiben, wie in dem nachfolgendem Beispiel. **''git commit -S -m %%"<-%%commit-message%%->"%%''**. Die Option **''-S''** zum Signieren wird jedoch __nur__ benötigt, wenn wir nicht wie zuvor beschrieben, das automatische Signieren der Commits __nicht__ aktiviert wurde!
+<html><pre class="code">
+<font style="color: rgb(25, 100, 5)">✔ </font><font style="color: rgb(196, 160, 0)">~/devel/ansible </font>[<font style="color: rgb(163, 75, 177)">AIDE-19.0 </font>L|<font style="color: rgb(204, 0, 0)">● 6</font>]
+:13 $ git commit -S -m "AIDE 19.0 - auf konfigurierbaren Timer umgestellt"
+[AIDE-19.0 4c03596] AIDE 19.0 - auf konfigurierbaren Timer umgestellt
+files changed, 11 insertions(+), 3 deletions(-)
+</pre>
+</html>
+=== Unterschrift von Commits anzeigen ===
+Zum Anzeigen der Signaturen verwenden wir die Option **''%%--%%show-signature''** beim Befehlsaufruf **''git log''**.
+<html><pre class="code">
+<font style="color: rgb(25, 100, 5)">✔ </font><font style="color: rgb(196, 160, 0)">~/devel/ansible </font>[<font style="color: rgb(163, 75, 177)">AIDE-19.0 </font>L|<font style="color: rgb(25, 100, 5)">✔</font>]
+:01 $ git log --show-signature -1
+<font style="color: rgb(196, 160, 0)">commit 4c035960c07062227aa9e2a4832053e557085484 </font></font><font style="color: rgb(6, 152, 153)">HEAD </font>-> <font style="color: rgb(78, 154, 6">AIDE-19.0</font>, <font style="color: rgb(204, 0, 0)">origin/AIDE-19.0</font>)
+<font style="color: rgb(6, 152, 153)">gpg: Signature made Sun 13 Apr 2025 08:14:51 PM CEST
+gpg:                using EDDSA key 2C082445CDFB72DECD650350610ED9AEE553353F
+gpg: Good signature from "Django (Bastard Operator from Hell [BOfH]) <django@nausch.org>" [ultimate]</font>
+Author: django <django@nausch.org>
+Date:   Sun Apr 13 20:14:51 2025 +0200
+    AIDE 19.0 - auf konfigurierbaren Timer umgestellt
+</pre>
+</html>
+Optional kann man mit der Option **''%G''** beim Aufruf von **''git log''** die Signaturen aller commits prüfen.
+<html><pre class="code">
+<font style="color: rgb(25, 100, 5)">✔ </font><font style="color: rgb(196, 160, 0)">~/devel/ansible </font>[<font style="color: rgb(163, 75, 177)">AIDE-19.0 </font>L|<font style="color: rgb(25, 100, 5)">✔</font>]
+:18 $ git log --pretty="format:%h %G? %aN  %s"
+c03596 G django  AIDE 19.0 - auf konfigurierbaren Timer umgestellt
+f04a39 N Django BOfH  Merge branch 'HIDS0325Logging' into 'main'
+cdff19c N django  Logging nur noch 1x im syslog
+</pre>
+</html>
+Hier sehen wir, dass __**nur**__ der Commit mit der ID **''4c03596''** signiert wurde (gekennzeichnet mit einem **''G''**), die anderen beiden jedoch nicht!
+=== PGP-Public-Key und GitLab ===
+Damit die signierten Commits nun auch in Gitlab überprüft werden können, ist es nötig dass der öffentliche Schlüssel beim Gitlab-Konto hinterlegt wird. Hierzu speichern wir den PGP-Public-Key beim Menüpunkt  **GPG Keys** bei den **User Settings** ab.
+{{ :nitrokey:arch:git_signing_key.png?nolink&900 |Bild: Bildschirmhardcopy Gitlab User Einstellungen - PGP Schlüssel}}
+Bei der Anzeige der Commits in der GitLab Web-UI wird nun mit der Anzeige **Verfied Commit** entsprechend angezeigt, wenn der Commit entsprechend signiert wurde. Somit können wir zweifelsfrei feststellen, dass zum einen der Commit nicht verändert wurde und dass zum anderen der Urheber eben jener verifizierter Admin war|ist.
+{{ :nitrokey:arch:git_signed_commit.png?nolink&900 |Bild: Bildschirmhardcopy Gitlab Sigend Commit}}
+== Zusammenfassung ==
+<WRAP center round tip 90%>
+Ja, Commits oder auch Tags mit einer PGP-Signatur zu versehen, ist sicherlich eine gute und valide Idee. Allerdings nutzt dies wenig wenn nicht alle Beteiligten verstanden und verinnerlicht haben, warum dies in den Standardworkflows zu integrieren und umzusetzen ist. Hierzu ist es wichtig dass zum einen **alle Team-Mitglieder** über einen aktuellen und benutzbaren PGP-Schlüssel verfügen und ihre lokale Git-Umgebung entsprechend konfiguriert haben, dass eben **alle** Commits entsprechend automatisch signiert werden.
+</WRAP>