| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung |
| nitrokey:linuxmint:3cnfc [22.07.2023 11:25. ] – [Nitrokey App 2] django | nitrokey:linuxmint:3cnfc [18.11.2024 18:55. ] (aktuell) – Externe Bearbeitung 127.0.0.1 |
|---|
| ====== Nitrokey 3C NFC und Nitrokey 3A mini in der Praxis unter Linux Mint 21.1 (Vera) ====== | ====== Nitrokey 3C NFC und Nitrokey 3A mini in der Praxis unter Linux Mint 21.2 (Victoria) ====== |
| {{:nitrokey:linuxmint:nitrokey_3.png?300 |Bild: Nitrokey 3C NFC und 3A mini USB-Stick}} In diesem Kapitel befassen wir uns eingehend mit dem [[https://shop.nitrokey.com/de_DE/shop/product/nk3cn-nitrokey-3c-nfc-148|Nitrokey 3C NFC]] und [[https://shop.nitrokey.com/de_DE/shop/product/nk3am-nitrokey-3a-mini-149|Nitrokey 3A mini]] unter **[[https://linuxmint.com/|Linux Mint 21.1 (Vera)]]**. Weitere Informationen zu den [[https://www.nitrokey.com/de#comparison|Nitrokey-Sticks]] findet man auch [[https://www.nitrokey.com/de/documentation/installation|hier]] bzw. im [[https://support.nitrokey.com/c/nitrokey-support|Support Forum]]. | {{:nitrokey:linuxmint:nitrokey_3.png?300 |Bild: Nitrokey 3C NFC und 3A mini USB-Stick}} In diesem Kapitel befassen wir uns eingehend mit dem [[https://shop.nitrokey.com/de_DE/shop/product/nk3cn-nitrokey-3c-nfc-148|Nitrokey 3C NFC]] und [[https://shop.nitrokey.com/de_DE/shop/product/nk3am-nitrokey-3a-mini-149|Nitrokey 3A mini]] unter **[[https://linuxmint.com/|Linux Mint 21.2 (Victoria)]]**. Weitere Informationen zu den [[https://www.nitrokey.com/de#comparison|Nitrokey-Sticks]] findet man auch [[https://www.nitrokey.com/de/documentation/installation|hier]] bzw. im [[https://support.nitrokey.com/c/nitrokey-support|Support Forum]]. |
| |
| //**Der neue Nitrokey 3 wahlweise mit mit NFC, USB-C oder USB-A Mini sowie Rust, Common Criteria EAL 6+** | //**Der neue Nitrokey 3 wahlweise mit mit NFC, USB-C oder USB-A Mini sowie Rust, Common Criteria EAL 6+** |
| Der neue Nitrokey 3 ist der beste Nitrokey den wir je entwickelt haben. Er bietet erstmals NFC, USB-C. Der Nitrokey 3 vereint die Funktionen vorheriger Nitrokey Modelle: FIDO2, Einmalpasswörter, OpenPGP Chipkarte, Curve25519, Passwort-Manager, Common Criteria EAL 6+ zertifiziertes Secure Element, Firmware-Updates. Damit werden Ihre Accounts zuverlässig gegen Phishing und Passwort-Diebstahl geschützt und Ihre Kommunikation und Daten verschlüsselt. Mit starker Hardware-Verschlüsselung, vertrauenswürdig dank Open Source, Qualität made in Germany.// <sup>\\ Quelle: https://shop.nitrokey.com/de_DE/shop/product/nk3cn-nitrokey-3c-nfc-148</sup> | Der neue Nitrokey 3 ist der beste Nitrokey den wir je entwickelt haben. Er bietet erstmals NFC, USB-C. Der Nitrokey 3 vereint die Funktionen vorheriger Nitrokey Modelle: FIDO2, Einmalpasswörter, OpenPGP Chipkarte, Curve25519, Passwort-Manager, Common Criteria EAL 6+ zertifiziertes Secure Element, Firmware-Updates. Damit werden Ihre Accounts zuverlässig gegen Phishing und Passwort-Diebstahl geschützt und Ihre Kommunikation und Daten verschlüsselt. Mit starker Hardware-Verschlüsselung, vertrauenswürdig dank Open Source, Qualität made in Germany.// <sup>\\ Quelle: https://shop.nitrokey.com/de_DE/shop/product/nk3cn-nitrokey-3c-nfc-148</sup> |
| |
| Mit Hilfe von asymmetrischen Schlüsselmaterials (PGP und S/MIME) können eMails sowie Dateien und ganze Festplatten verschlüsselt und natürlich auch wieder entschlüsselt werden. Hierzu verwenden wir den [[https://shop.nitrokey.com/de_DE/shop/product/nk3cn-nitrokey-3c-nfc-148|Nitrokey 3C NFC]] welcher [[https://shop.nitrokey.com/de_DE/shop|hier]] für einen Betrag von 49 € erstanden werden kann. In dem folgenden Beitrag gehen wir auf die Verwendung unter [[https://linuxmint.com/|Linux Mint 21.1 Cinnamon]] ein. | Mit Hilfe von asymmetrischen Schlüsselmaterials (PGP und S/MIME) können eMails sowie Dateien und ganze Festplatten verschlüsselt und natürlich auch wieder entschlüsselt werden. Hierzu verwenden wir den [[https://shop.nitrokey.com/de_DE/shop/product/nk3cn-nitrokey-3c-nfc-148|Nitrokey 3C NFC]] welcher [[https://shop.nitrokey.com/de_DE/shop|hier]] für einen Betrag von 49 € erstanden werden kann. In dem folgenden Beitrag gehen wir auf die Verwendung unter [[https://linuxmint.com/|Linux Mint 21.2 (Victoria)]] ein. |
| |
| |
| |
| ===== udev-Regeln ===== | ===== udev-Regeln ===== |
| Für den Betrieb unter **[[https://linuxmint.com/|Linux Mint 21.1]]** insbesondere beim **[[nitrokey:nitropadx230|NitroPad X230]]** müssen wir uns noch passende udev-Definitionen **[[https://www.nitrokey.com/sites/default/files/41-nitrokey.rules|hier]]** besorgen. | Für den Betrieb unter **[[https://linuxmint.com/|Linux Mint 21.2]]** insbesondere beim **[[nitrokey:nitropadx230|NitroPad X230]]** müssen wir uns noch passende udev-Definitionen **[[https://www.nitrokey.com/sites/default/files/41-nitrokey.rules|hier]]** besorgen. |
| |
| Wir wechseln also erst einmal in das entsprechende Konfigurationsverzeichnis ''/etc/udev/rules.d/''. | Wir wechseln also erst einmal in das entsprechende Konfigurationsverzeichnis ''/etc/udev/rules.d/''. |
| |
| <WRAP center round important 90%> | <WRAP center round important 90%> |
| Unter **Ubuntu 22.04 LTS** und auch unter **Linux Mint 21.1 (Vera)** scheitert aktuell((Stand: Juli 2023)) der Start des Programms leider noch mit der Fehlermeldung: | Unter **Ubuntu 22.04 LTS** und auch unter **Linux Mint 21.2 (Victoria)** scheitert aktuell((Stand: Juli 2023)) der Start des Programms leider noch mit der Fehlermeldung: |
| <code>Traceback (most recent call last): | <code>Traceback (most recent call last): |
| File "nitrokeyapp/__main__.py", line 6, in <module> | File "nitrokeyapp/__main__.py", line 6, in <module> |
| |
| Real name: Django aka [BOfH] | Real name: Django aka [BOfH] |
| Email address: secmail@mailserver.guru | Email address: secmail@nausch.org |
| Comment: Bastard Operator from Hell | Comment: Bastard Operator from Hell |
| You selected this USER-ID: | You selected this USER-ID: |
| "Django aka [BOfH] (Bastard Operator from Hell) <secmail@mailserver.guru>" | "Django aka [BOfH] (Bastard Operator from Hell) <secmail@nausch.org>" |
| |
| Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o | Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o |
| pub rsa2048 2018-11-26 [SC] | pub rsa2048 2018-11-26 [SC] |
| E65B2BDF79A2E2E4C28F6E062E22436430385B49 | E65B2BDF79A2E2E4C28F6E062E22436430385B49 |
| uid Django aka [BOfH] (Bastard Operator from Hell) <secmail@mailserver.guru> | uid Django aka [BOfH] (Bastard Operator from Hell) <secmail@nausch.org> |
| sub rsa2048 2018-11-26 [A] | sub rsa2048 2018-11-26 [A] |
| sub rsa2048 2018-11-26 [E]</code> | sub rsa2048 2018-11-26 [E]</code> |
| Reader ...........: Nitrokey Nitrokey 3 [CCID/ICCD Interface] 00 00 | Reader ...........: Nitrokey Nitrokey 3 [CCID/ICCD Interface] 00 00 |
| |
| Ferner muss auf dem Rechner, an dem der Stick angesteckt und administriert werden soll, GnuPG in Version 2.1.16 oder höher installiert sein. Bei Linux Mint 21.1 ist dies kein Problem da aktuell((Mai '23)) die Version 2.2.27 bereitgestellt wird. Bei Bedarf können wir die Version z.B. wie folgt abfragen. | Ferner muss auf dem Rechner, an dem der Stick angesteckt und administriert werden soll, GnuPG in Version 2.1.16 oder höher installiert sein. Bei Linux Mint 21.2 ist dies kein Problem da aktuell((Mai '23)) die Version 2.2.27 bereitgestellt wird. Bei Bedarf können wir die Version z.B. wie folgt abfragen. |
| $ gpg2 --version | grep gpg | $ gpg2 --version | grep gpg |
| |
| |
| Real name: Django [BOfH] | Real name: Django [BOfH] |
| Email address: secmail@mailserver.guru | Email address: secmail@nausch.org |
| Comment: Bastard Operator from Hell | Comment: Bastard Operator from Hell |
| You selected this USER-ID: | You selected this USER-ID: |
| "Django [BOfH] (Bastard Operator from Hell) <secmail@mailserver.guru>" | "Django [BOfH] (Bastard Operator from Hell) <secmail@nausch.org>" |
| |
| Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o | Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? o |
| created ....: 2023-05-13 20:29:18 | created ....: 2023-05-13 20:29:18 |
| General key info..: | General key info..: |
| pub ed25519/8A088B4A80BBD384 2023-05-13 Django [BOfH] (Bastard Operator from Hell) <secmail@mailserver.guru> | pub ed25519/8A088B4A80BBD384 2023-05-13 Django [BOfH] (Bastard Operator from Hell) <secmail@nausch.org> |
| sec> ed25519/8A088B4A80BBD384 created: 2023-05-13 expires: never | sec> ed25519/8A088B4A80BBD384 created: 2023-05-13 expires: never |
| card-no: 000F 762D73BE | card-no: 000F 762D73BE |
| <code>pub ed25519 2023-05-13 [SC] | <code>pub ed25519 2023-05-13 [SC] |
| 4FEC76FF42F8B44C6903D0A88A088B4A80BBD384 | 4FEC76FF42F8B44C6903D0A88A088B4A80BBD384 |
| uid Django [BOfH] (Bastard Operator from Hell) <secmail@mailserver.guru> | uid Django [BOfH] (Bastard Operator from Hell) <secmail@nausch.org> |
| sub ed25519 2023-05-13 [A] | sub ed25519 2023-05-13 [A] |
| sub cv25519 2023-05-13 [E] | sub cv25519 2023-05-13 [E] |
| 4FEC76FF42F8B44C6903D0A88A088B4A80BBD384 | 4FEC76FF42F8B44C6903D0A88A088B4A80BBD384 |
| Card serial no. = 000F 762D73BE | Card serial no. = 000F 762D73BE |
| uid [ultimate] Django [BOfH] (Bastard Operator from Hell) <secmail@mailserver.guru> | uid [ultimate] Django [BOfH] (Bastard Operator from Hell) <secmail@nausch.org> |
| ssb> ed25519 2023-05-13 [A] | ssb> ed25519 2023-05-13 [A] |
| ssb> cv25519 2023-05-13 [E] | ssb> cv25519 2023-05-13 [E] |
| pub ed25519 2023-05-13 [SC] | pub ed25519 2023-05-13 [SC] |
| 4FEC76FF42F8B44C6903D0A88A088B4A80BBD384 | 4FEC76FF42F8B44C6903D0A88A088B4A80BBD384 |
| uid [ultimate] Django [BOfH] (Bastard Operator from Hell) <secmail@mailserver.guru> | uid [ultimate] Django [BOfH] (Bastard Operator from Hell) <secmail@nausch.org> |
| sub ed25519 2023-05-13 [A] | sub ed25519 2023-05-13 [A] |
| sub cv25519 2023-05-13 [E] | sub cv25519 2023-05-13 [E] |
| === Öffentlichen Schlüssel ausgeben === | === Öffentlichen Schlüssel ausgeben === |
| Damit wir später unseren öffentlichen Schlüssel auch weitergeben oder zu einem [[https://keyserver.nausch.org|Keyserver]] hoch laden, exportieren wir diesen in eine Datei. | Damit wir später unseren öffentlichen Schlüssel auch weitergeben oder zu einem [[https://keyserver.nausch.org|Keyserver]] hoch laden, exportieren wir diesen in eine Datei. |
| $ gpg --export --armor secmail@mailserver.guru > secmail@mailserver.guru.pubkey | $ gpg --export --armor secmail@nausch.org > secmail@nausch.org.pubkey |
| |
| Diese Datei enthält unseren Schlüssel in ASCII-lesbarer Form. | Diese Datei enthält unseren Schlüssel in ASCII-lesbarer Form. |
| $ cat secmail@mailserver.guru.pubkey | $ cat secmail@nausch.org.pubkey |
| <file key secmail@mailserver.guru.pubkey>-----BEGIN PGP PUBLIC KEY BLOCK----- | <file key secmail@nausch.org.pubkey>-----BEGIN PGP PUBLIC KEY BLOCK----- |
| |
| mDMEZF/zHhYJKwYBBAHaRw8BAQdAEOQB0s+yG70M1P9yAck5asjV1acQirjk6Bzo | mDMEZF/zHhYJKwYBBAHaRw8BAQdAEOQB0s+yG70M1P9yAck5asjV1acQirjk6Bzo |
| |
| - Zunächst legen wir uns erst einmal ein beliebiges Testdokument an. <code> $ date >> testdatei.txt</code> Die Datei hat nun folgenden Inhalt:<code> $ cat testdatei.txt</code><code>Sat May 13 06:25:41 PM CEST 2023</code> | - Zunächst legen wir uns erst einmal ein beliebiges Testdokument an. <code> $ date >> testdatei.txt</code> Die Datei hat nun folgenden Inhalt:<code> $ cat testdatei.txt</code><code>Sat May 13 06:25:41 PM CEST 2023</code> |
| - Nun verschlüsseln wir dieses Textdokument: <code> $ gpg2 -o testdatei.txt.pgp -a -r django@mailserver.guru -e testdatei.txt</code><code>gpg: checking the trustdb | - Nun verschlüsseln wir dieses Textdokument: <code> $ gpg2 -o testdatei.txt.pgp -a -r django@nausch.org -e testdatei.txt</code><code>gpg: checking the trustdb |
| gpg: marginals needed: 3 completes needed: 1 trust model: pgp | gpg: marginals needed: 3 completes needed: 1 trust model: pgp |
| gpg: depth: 0 valid: 4 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 4u</code> Wir haben also nun zwei Dokumente auf der Platte liegen. <code> $ ll testdatei.txt*</code><code>-rw-rw-r-- 1 django django 33 May 13 18:25 testdatei.txt | gpg: depth: 0 valid: 4 signed: 0 trust: 0-, 0q, 0n, 0m, 0f, 4u</code> Wir haben also nun zwei Dokumente auf der Platte liegen. <code> $ ll testdatei.txt*</code><code>-rw-rw-r-- 1 django django 33 May 13 18:25 testdatei.txt |
| -----END PGP MESSAGE-----</code> | -----END PGP MESSAGE-----</code> |
| - Nun entschlüsseln wir unser Dokument wieder.<code> $ gpg2 --decrypt testdatei.txt.pgp > testdatei-entschlüsselt.txt</code><code>gpg: encrypted with 2048-bit RSA key, ID E7EAD30658E98E14, created 2023-05-13 | - Nun entschlüsseln wir unser Dokument wieder.<code> $ gpg2 --decrypt testdatei.txt.pgp > testdatei-entschlüsselt.txt</code><code>gpg: encrypted with 2048-bit RSA key, ID E7EAD30658E98E14, created 2023-05-13 |
| "Django <django@mailserver.guru>"</code> Den Inhalt dieser Datei können wir nun nach erfolgter Entschlüsselung natürlich wieder lesen.<code> $ cat testdatei-entschlüsselt.txt</code><code>Sat May 13 06:25:41 PM CEST 2023</code> | "Django <django@nausch.org>"</code> Den Inhalt dieser Datei können wir nun nach erfolgter Entschlüsselung natürlich wieder lesen.<code> $ cat testdatei-entschlüsselt.txt</code><code>Sat May 13 06:25:41 PM CEST 2023</code> |
| |
| === Signieren === | === Signieren === |
| ����цi�����\ʝ�l΄Y�-���}�vqR����M"�Z��]�.�>5��o[�+��?���v������V��Y�K��� D�E�"� | ����цi�����\ʝ�l΄Y�-���}�vqR����M"�Z��]�.�>5��o[�+��?���v������V��Y�K��� D�E�"� |
| �<�SU�`�z�����K��r5�4 | �<�SU�`�z�����K��r5�4 |
| 9�.��j2�$�K+�;qW�3���/a��w�Lg�N��;�c+���^�z��</code> Die Datei beinhaltet die Signatur zu unserer Datei, also entsprechender Zahlensalat.<code> $ file textdatei.txt.gpg</code><code>textdatei.txt.gpg: data</code> Dieses Vorgehen macht jedoch nur Sinn, wenn mit der Option ''%%--%%encrypt'' gleichzeitig die Datei verschlüsselt werden soll. Wir signieren nun die Datei mit dem privat-key und verschlüsseln die Datei mit dem public-key unseres eigenen Schlüssels auf dem Nitrokey 3C NFC. So kann die Datei nur von uns selbst wieder aufgemacht werden, sofern man im Besitz des Nitrokey 3C NFC und der zugehörigen PIN ist!<code> $ gpg --encrypt --sign -r secmail@mailserver.guru textdatei.txt</code><code>gpg: detected reader `Nitrokey Nitrokey 3CNFC (FSIJ-1.2.10-43243711) 00 00' | 9�.��j2�$�K+�;qW�3���/a��w�Lg�N��;�c+���^�z��</code> Die Datei beinhaltet die Signatur zu unserer Datei, also entsprechender Zahlensalat.<code> $ file textdatei.txt.gpg</code><code>textdatei.txt.gpg: data</code> Dieses Vorgehen macht jedoch nur Sinn, wenn mit der Option ''%%--%%encrypt'' gleichzeitig die Datei verschlüsselt werden soll. Wir signieren nun die Datei mit dem privat-key und verschlüsseln die Datei mit dem public-key unseres eigenen Schlüssels auf dem Nitrokey 3C NFC. So kann die Datei nur von uns selbst wieder aufgemacht werden, sofern man im Besitz des Nitrokey 3C NFC und der zugehörigen PIN ist!<code> $ gpg --encrypt --sign -r secmail@nausch.org textdatei.txt</code><code>gpg: detected reader `Nitrokey Nitrokey 3CNFC (FSIJ-1.2.10-43243711) 00 00' |
| gpg: signatures created so far: 8 | gpg: signatures created so far: 8 |
| |
| -----END PGP SIGNATURE-----</code> Mit ''gpg %%-–%%verify'' können wir die Signatur der Datei überprüfen:<code> $ gpg --verify textdatei.txt.asc</code><code>gpg: Signature made Sat 13 May 2023 06:43:34 PM CEST | -----END PGP SIGNATURE-----</code> Mit ''gpg %%-–%%verify'' können wir die Signatur der Datei überprüfen:<code> $ gpg --verify textdatei.txt.asc</code><code>gpg: Signature made Sat 13 May 2023 06:43:34 PM CEST |
| gpg: using RSA key E487AC832B033C4F84C5F3D54AC0EAA81F4867CF | gpg: using RSA key E487AC832B033C4F84C5F3D54AC0EAA81F4867CF |
| gpg: Good signature from "Django <django@mailserver.guru>" [ultimate] | gpg: Good signature from "Django <django@nausch.org>" [ultimate] |
| gpg: WARNING: not a detached signature; file 'textdatei.txt' was NOT verified!</code>Wir verändern nun zu Testzwecken den Inhalt der Testdatei, in dem wir den Text verfälschen. <code> $ vim textdatei.txt.asc</code><code>-----BEGIN PGP SIGNED MESSAGE----- | gpg: WARNING: not a detached signature; file 'textdatei.txt' was NOT verified!</code>Wir verändern nun zu Testzwecken den Inhalt der Testdatei, in dem wir den Text verfälschen. <code> $ vim textdatei.txt.asc</code><code>-----BEGIN PGP SIGNED MESSAGE----- |
| Hash: SHA256 | Hash: SHA256 |
| -----END PGP SIGNATURE-----</code>Nun überprüfen wir die Signatur der Testdatei, was natürlich postwendend als **BAD signature** angeprangert wird. <code> $ gpg --verify textdatei.txt.asc</code><code>gpg: Signature made Sat 13 May 2023 06:43:34 PM CEST | -----END PGP SIGNATURE-----</code>Nun überprüfen wir die Signatur der Testdatei, was natürlich postwendend als **BAD signature** angeprangert wird. <code> $ gpg --verify textdatei.txt.asc</code><code>gpg: Signature made Sat 13 May 2023 06:43:34 PM CEST |
| gpg: using RSA key ID E487AC832B033C4F84C5F3D54AC0EAA81F4867CF | gpg: using RSA key ID E487AC832B033C4F84C5F3D54AC0EAA81F4867CF |
| gpg: BAD signature from "Django aka [BOfH] (Bastard Operator from Hell) <secmail@mailserver.guru>"</code> | gpg: BAD signature from "Django aka [BOfH] (Bastard Operator from Hell) <secmail@nausch.org>"</code> |
| |
| ==== Nitrokey 3C NFC und Thunderbird ==== | ==== Nitrokey 3C NFC und Thunderbird ==== |
| === Öffentlichen Schlüssel importieren === | === Öffentlichen Schlüssel importieren === |
| Damit wir unseren PGP-Schlüssel unseres **Nitrokey 3C NFC** zum Verschlüsseln und auch zum Signieren verwenden können, müssen wir noch den öffentlichen Schlüssel dem Thunderbird bekannt machen. Wie bereits beim Abschnitt [[#oeffentlichen_schluessel_ausgeben|GnuPG - Öffentlichen Schlüssel ausgeben]] angesprochen, holen wir uns nun noch unseren public-key aus dem **Nitrokey 3C NFC** und speichern diesen in eine Datei. | Damit wir unseren PGP-Schlüssel unseres **Nitrokey 3C NFC** zum Verschlüsseln und auch zum Signieren verwenden können, müssen wir noch den öffentlichen Schlüssel dem Thunderbird bekannt machen. Wie bereits beim Abschnitt [[#oeffentlichen_schluessel_ausgeben|GnuPG - Öffentlichen Schlüssel ausgeben]] angesprochen, holen wir uns nun noch unseren public-key aus dem **Nitrokey 3C NFC** und speichern diesen in eine Datei. |
| $ gpg --export --armor secmail@mailserver.guru > secmail@mailserver.guru.pubkey | $ gpg --export --armor secmail@nausch.org > secmail@nausch.org.pubkey |
| |
| Rechts im sog. "Hamburger-Menü" finden wir den Auswahlpunkt **Extras**. | Rechts im sog. "Hamburger-Menü" finden wir den Auswahlpunkt **Extras**. |
| * **[[wiki:start#sicherheit-_und_vertraulichkeit|Zurück zu Projekte und Themenkapitel]]** | * **[[wiki:start#sicherheit-_und_vertraulichkeit|Zurück zu Projekte und Themenkapitel]]** |
| * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** | * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** |
| | |
django