nitrokey:linuxmint:pro

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
nitrokey:linuxmint:pro [30.08.2020 18:54. ] – [CSR mit Hilfe des micro-ca-tool erstellen] djangonitrokey:linuxmint:pro [03.11.2021 16:54. ] (aktuell) – [Nitrokey-App] django
Zeile 62: Zeile 62:
  
 Diese Pakete installieren wir, falls diese nicht bereits im System vorhanden sind, bei Bedarf mit Hilfe von **apt**. Diese Pakete installieren wir, falls diese nicht bereits im System vorhanden sind, bei Bedarf mit Hilfe von **apt**.
-   apt-get install scdaemon libccid+   $ sudo apt install scdaemon libccid
  
 /*  /* 
Zeile 108: Zeile 108:
  
 Alternativ können wir natürlich das Programm auch direkt auf der Konsole starten: Alternativ können wir natürlich das Programm auch direkt auf der Konsole starten:
-   nextcloud-app+   nitrokey-app
  
 Ein Hinweis zur Nitrokey App wird ausgegeben. Ein Hinweis zur Nitrokey App wird ausgegeben.
Zeile 216: Zeile 216:
 ==== GnuPG  ==== ==== GnuPG  ====
 Da es sich bei der Chipkarte des **Nitrokey Pro** um eine standardkompatible OpenPGP-Karte handelt, kann der Kryptostick mit Hilfe von **[[https://www.gnupg.org/|GnuPG]]** verwaltet werden. Hierzu installieren wir uns das Paket **gnupg2**, sofern es nicht bereits bei der Erstkonfiguration unseres Rechner installiert wurde. Da es sich bei der Chipkarte des **Nitrokey Pro** um eine standardkompatible OpenPGP-Karte handelt, kann der Kryptostick mit Hilfe von **[[https://www.gnupg.org/|GnuPG]]** verwaltet werden. Hierzu installieren wir uns das Paket **gnupg2**, sofern es nicht bereits bei der Erstkonfiguration unseres Rechner installiert wurde.
-   apt-get install gpg+   $ sudo apt install gpg
  
 Alle Sicherheitsfunktionen wie z.B. das Erzeugen/Speichern von GPG-Schlüsseln, das Verschlüsseln/Entschlüsseln einer Datei, das Signieren einer Nachricht, die auf der Hardware ausgeführt werden, können mit Hilfe des Befehls **gpg** gesteuert werden.  Alle Sicherheitsfunktionen wie z.B. das Erzeugen/Speichern von GPG-Schlüsseln, das Verschlüsseln/Entschlüsseln einer Datei, das Signieren einer Nachricht, die auf der Hardware ausgeführt werden, können mit Hilfe des Befehls **gpg** gesteuert werden. 
Zeile 1622: Zeile 1622:
  
 Die passende **''pkcs#11''** Provider-Library befindet sich im PAket **opensc** welches wir uns nun noch installieren, falle diese Datei noch nicht installiert wurde. Die passende **''pkcs#11''** Provider-Library befindet sich im PAket **opensc** welches wir uns nun noch installieren, falle diese Datei noch nicht installiert wurde.
-   $ sudo apt-get install opensc+   $ sudo apt install opensc
  
 */ */
Zeile 1790: Zeile 1790:
  
 === S/MIME  (X.509) === === S/MIME  (X.509) ===
-== Vorbereitung - micro-ca-tool ==+== Vorbereitungen - micro-ca-tool und libengine-pkcs11-openssl==
 Damit wir ein X.509-Zertifikat bei einer **[[https://de.wikipedia.org/wiki/Zertifizierungsstelle|CA]]**((**C**ertification **A**uthority => Zertifizierungsstelle)) bezioehen können, benötigen wir einen **[[https://de.wikipedia.org/wiki/Certificate_Signing_Request|CSR]]**((**C**ertificate **S**igning **R**equest)). Für die Erstellung dieses **CSR**s verwenden wir das **[[https://github.com/sektioneins/micro-ca-tool|micro-ca-tool]]**. Damit wir ein X.509-Zertifikat bei einer **[[https://de.wikipedia.org/wiki/Zertifizierungsstelle|CA]]**((**C**ertification **A**uthority => Zertifizierungsstelle)) bezioehen können, benötigen wir einen **[[https://de.wikipedia.org/wiki/Certificate_Signing_Request|CSR]]**((**C**ertificate **S**igning **R**equest)). Für die Erstellung dieses **CSR**s verwenden wir das **[[https://github.com/sektioneins/micro-ca-tool|micro-ca-tool]]**.
  
-Bevor wir es von **[[https://github.com|GitHub]]** herunterladen legen wir uns ein entsprechendes Verzeichnis im Homeverzeichnis **''~/''** unseres Admin-Users an.+Bevor wir es von **[[https://github.com|GitHub]]** herunterladen installieren wir noch die benötigte **libengine**: 
 +   $ sudo apt install libengine-pkcs11-openssl 
 + 
 +Anschließend legen wir uns ein entsprechendes Verzeichnis für das Toool im Homeverzeichnis **''~/''** unseres Admin-Users an.
    $ mkdir ~/nitrokey    $ mkdir ~/nitrokey
  
Zeile 1804: Zeile 1807:
    $ ln -s ~/nitrokey/micro-ca-tool/micro-ca-tool ~/bin/micro-ca-tool    $ ln -s ~/nitrokey/micro-ca-tool/micro-ca-tool ~/bin/micro-ca-tool
  
-Mit der Option **##-h''** können wir uns einen Hilfetext von **micro-ca-tool** anzeigen lassen.+Mit der Option **''-h''** können wir uns einen Hilfetext von **micro-ca-tool** anzeigen lassen.
    $ micro-ca-tool -h    $ micro-ca-tool -h
 <code>                 mmm    mm         mmmmmmm               ""# <code>                 mmm    mm         mmmmmmm               ""#
Zeile 1844: Zeile 1847:
  
 == CSR mit Hilfe des micro-ca-tool erstellen == == CSR mit Hilfe des micro-ca-tool erstellen ==
-Den **CSR**((**C**ertificate **S**igning **R**equest )) oder auf Deutsch **//[[https://de.wikipedia.org/wiki/Certificate_Signing_Request|Zertifikatsignierungsanforderung]]//** erstellen wir der Einfachheit halber mit Hilfe des **''micro-ca-tool''**.+Den **CSR**((**C**ertificate **S**igning **R**equest)) oder auf Deutsch **//[[https://de.wikipedia.org/wiki/Certificate_Signing_Request|Zertifikatsignierungsanforderung]]//** erstellen wir der Einfachheit halber mit Hilfe des **''micro-ca-tool''**.
  
 Das Tool hält alle relevanten Konfigurationsparameter in einer zugehörigen Datei **''micro-ca-tool.config''** vor. Das Tool hält alle relevanten Konfigurationsparameter in einer zugehörigen Datei **''micro-ca-tool.config''** vor.
Zeile 1856: Zeile 1859:
 </file> </file>
  
-FIXME+Nun erzeugen wir uns einen **CSR** denn wir später bei der **CA** unseres Vertrauens einreichen vund bitten werden, dass diese den CSR signieren und uns siomit ein Zertifikat auisstellen mögen. 
  
 +Wir müssen dem **''micro-ca-tool''** nun nur noch folgende Parameter mitgeben
 +  * **Subject** : Im Falle eines X.509 für eMailverschlüsselung ist diese die eMailadresse des betreffenden Kontos, in unserem Falle also **''/CN=django@mailserver.guru''**
 +  * **CSR Filename** : Dateiname der CSR-Datei
 +  * **Private Key** : Zum Erstellen und Signieren des CSR muss des Tool wiossen wo es den privatzen Schlüssel auf der Karte findet. Wir lassen uns also erst  einmal zur Sicherheit den Inhalt der OpenPGP-SmartCard anzeigen. <code> $ micro-ca-tool sc i</code><code>                mmm    mm         mmmmmmm               ""#
 +           m"   "   ##            #     mmm    mmm     #
 + #   #         #       #  #           #    #" "#  #" "#    #
 + #   #   """   #       #mm#   """     #    #   #  #   #    #
 + #mmm#        "mmm" #    #          #    "#m#"  "#m#"    "mm
 + #
 + "               (C) 2015 SektionEins GmbH / Ben Fuhrmannek
 +                 https://sektioneins.com/
 +                 https://github.com/sektioneins/micro-ca-tool
 +[#] Version: 0.1
 +Using reader with a card: Nitrokey Nitrokey Pro (000034D40000000000000000) 00 00
 +Private RSA Key [Signature key]
 + Object Flags   : [0x03], private, modifiable
 + Usage          : [0x20C], sign, signRecover, nonRepudiation
 + Access Flags   : [0x1D], sensitive, alwaysSensitive, neverExtract, local
 + ModLength      : 4096
 + Key ref        : 0 (0x00)
 + Native         : yes
 + Auth ID        : 01
 + ID             : 01
 + MD:guid        : 48870840-df64-70eb-2bc0-105a4f678b41
 +
 +Private RSA Key [Encryption key]
 + Object Flags   : [0x03], private, modifiable
 + Usage          : [0x22], decrypt, unwrap
 + Access Flags   : [0x1D], sensitive, alwaysSensitive, neverExtract, local
 + ModLength      : 4096
 + Key ref        : 1 (0x01)
 + Native         : yes
 + Auth ID        : 02
 + ID             : 02
 + MD:guid        : 7b0d3403-7bbc-a9cc-a3e2-213e3296ecb2
 +
 +Private RSA Key [Authentication key]
 + Object Flags   : [0x03], private, modifiable
 + Usage          : [0x222], decrypt, unwrap, nonRepudiation
 + Access Flags   : [0x1D], sensitive, alwaysSensitive, neverExtract, local
 + ModLength      : 4096
 + Key ref        : 2 (0x02)
 + Native         : yes
 + Auth ID        : 02
 + ID             : 03
 + MD:guid        : c805d2b2-2d84-3703-089a-3d691d17e5b3
 +
 +Public RSA Key [Signature key]
 + Object Flags   : [0x02], modifiable
 + Usage          : [0xC0], verify, verifyRecover
 + Access Flags   : [0x02], extract
 + ModLength      : 4096
 + Key ref        : 0 (0x00)
 + Native         : no
 + Path           : b601
 + ID             : 01
 +
 +Public RSA Key [Encryption key]
 + Object Flags   : [0x02], modifiable
 + Usage          : [0x11], encrypt, wrap
 + Access Flags   : [0x02], extract
 + ModLength      : 4096
 + Key ref        : 0 (0x00)
 + Native         : no
 + Path           : b801
 + ID             : 02
 +
 +Public RSA Key [Authentication key]
 + Object Flags   : [0x02], modifiable
 + Usage          : [0x51], encrypt, wrap, verify
 + Access Flags   : [0x02], extract
 + ModLength      : 4096
 + Key ref        : 0 (0x00)
 + Native         : no
 + Path           : a401
 + ID             : 03
 +
 +</code> In unsererm Fall ist das der Schlüssel **''01:01''**. <code>Using reader with a card: Nitrokey Nitrokey Pro (000034D40000000000000000) 00 00
 +Private RSA Key [Signature key]
 + Object Flags   : [0x03], private, modifiable
 + Usage          : [0x20C], sign, signRecover, nonRepudiation
 + Access Flags   : [0x1D], sensitive, alwaysSensitive, neverExtract, local
 + ModLength      : 4096
 + Key ref        : 0 (0x00)
 + Native         : yes
 + Auth ID        : 01
 + ID             : 01
 + MD:guid        : 48870840-df64-70eb-2bc0-105a4f678b41</code>
  
 +Wir rufen nun also das Tool **''micro-ca-tool''** wir folgt auf und geben dann die entsprechenden Daten an:
    $ micro-ca-tool sc new-csr    $ micro-ca-tool sc new-csr
 <code>                 mmm    mm         mmmmmmm               ""# <code>                 mmm    mm         mmmmmmm               ""#
Zeile 1884: Zeile 1976:
 OpenSSL></code> OpenSSL></code>
  
 +Nach Eingabe der **USER**-PIN wird der CSR im aktuell genutzten Pfad gespeichert. Bei Interesse können wir mit dem Befehl **''openssl''** uns den Inhalt dieses CSRs ausgeben und anzeigen lassen.
    $ openssl req -noout -text -in django-mailserver-guru-csr.pem    $ openssl req -noout -text -in django-mailserver-guru-csr.pem
 +
 <code>Certificate Request: <code>Certificate Request:
     Data:     Data:
Zeile 1962: Zeile 2056:
          f9:20:49:1a:fd:75:65:1a</code>          f9:20:49:1a:fd:75:65:1a</code>
  
 +Die Date laden wir nun entweder auf der WEB-GUI der CA hoch oder kopieren den Inhalt der Datei und fügen diese im Betreffenden Formularfeld ein, welches die CA zur Verfügung stellt.
    $ cat django-mailserver-guru-csr.pem    $ cat django-mailserver-guru-csr.pem
 <code>-----BEGIN CERTIFICATE REQUEST----- <code>-----BEGIN CERTIFICATE REQUEST-----
Zeile 1988: Zeile 2083:
 gLJ8xkk9RpmDzY8IZ6XHjepm0y9ZOwlZD+FpYuF84sgEfW27J2MIwfxaHAeJHhs3 gLJ8xkk9RpmDzY8IZ6XHjepm0y9ZOwlZD+FpYuF84sgEfW27J2MIwfxaHAeJHhs3
 hHljMyK8alhaPlUwb9B5DRpZ+SBJGv11ZRo= hHljMyK8alhaPlUwb9B5DRpZ+SBJGv11ZRo=
------END CERTIFICATE REQUEST-----</code> +-----END CERTIFICATE REQUEST-----</code>Nach erfolgter Verifizierung durch die CA wird uns diese ein Zertifikat präsentieren oder zum Download anbieten.
    $ vim django-mailserver-guru-certificat.pem    $ vim django-mailserver-guru-certificat.pem
  
-/* 
 <code>-----BEGIN CERTIFICATE----- <code>-----BEGIN CERTIFICATE-----
 MIIGfzCCBGegAwIBAgIDFKmlMA0GCSqGSIb3DQEBCwUAMHkxEDAOBgNVBAoTB1Jv MIIGfzCCBGegAwIBAgIDFKmlMA0GCSqGSIb3DQEBCwUAMHkxEDAOBgNVBAoTB1Jv
 b3QgQ0ExHjAcBgNVBAsTFWh0dHA6Ly93d3cuY2FjZXJ0Lm9yZzEiMCAGA1UEAxMZ b3QgQ0ExHjAcBgNVBAsTFWh0dHA6Ly93d3cuY2FjZXJ0Lm9yZzEiMCAGA1UEAxMZ
 +dEBjYWNlcnQub3JnMB4XDTIwMDgzMDE4MDgyNVoXDTIyMDgzMDE4MDgyNVowQTEY
 Q0EgQ2VydCBTaWduaW5nIEF1dGhvcml0eTEhMB8GCSqGSIb3DQEJARYSc3VwcG9y Q0EgQ2VydCBTaWduaW5nIEF1dGhvcml0eTEhMB8GCSqGSIb3DQEJARYSc3VwcG9y
-dEBjYWNlcnQub3JnMB4XDTIwMDgzMDE4MDgyNVoXDTIyMDgzMDE4MDgyNVowQTEY 
 MBYGA1UEAxMPQ0FjZXJ0IFdvVCBVc2VyMSUwIwYJKoZIhvcNAQkBFhZkamFuZ29A MBYGA1UEAxMPQ0FjZXJ0IFdvVCBVc2VyMSUwIwYJKoZIhvcNAQkBFhZkamFuZ29A
 bWFpbHNlcnZlci5ndXJ1MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA bWFpbHNlcnZlci5ndXJ1MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA
Zeile 2008: Zeile 2101:
 yueJvJVLymTB0tQuYQENeFZeBFoA4OeTymHCL9QDzv1omL7RT9a4y0Acff5tM3Zw yueJvJVLymTB0tQuYQENeFZeBFoA4OeTymHCL9QDzv1omL7RT9a4y0Acff5tM3Zw
 UJ5pVNDW6YqFqjfuzpSNsa1Umk1cOb8LJAZitgXd7hdHBBde82qmsczEwHA8QzvB UJ5pVNDW6YqFqjfuzpSNsa1Umk1cOb8LJAZitgXd7hdHBBde82qmsczEwHA8QzvB
 +AOWdpzbTbnL5mo8MxbVbFLT6KdAo4vHQ24BEUgBDKDsVvuG4HrEQXXGy5owreqjz
 6uJzaEEij6TWFJ5eUN7g897fXaG9REE6uid4THg5i/FgF4uZYbMTKX/UAhR2QjQ5 6uJzaEEij6TWFJ5eUN7g897fXaG9REE6uid4THg5i/FgF4uZYbMTKX/UAhR2QjQ5
-AOWdpzbTbnL5mo8MxbVbFLT6KdAo4vHQ24BEUgBDKDsVvuG4HrEQXXGy5owreqjz 
 kI23KdhYzjbiflm3Ebjsx0EiB+zOg2cQxEqwkhJLolkCAwEAAaOCAUYwggFCMAwG kI23KdhYzjbiflm3Ebjsx0EiB+zOg2cQxEqwkhJLolkCAwEAAaOCAUYwggFCMAwG
 A1UdEwEB/wQCMAAwVgYJYIZIAYb4QgENBEkWR1RvIGdldCB5b3VyIG93biBjZXJ0 A1UdEwEB/wQCMAAwVgYJYIZIAYb4QgENBEkWR1RvIGdldCB5b3VyIG93biBjZXJ0
Zeile 2016: Zeile 2109:
 AwIGCisGAQQBgjcKAwQGCisGAQQBgjcKAwMGCWCGSAGG+EIEATAyBggrBgEFBQcB AwIGCisGAQQBgjcKAwQGCisGAQQBgjcKAwMGCWCGSAGG+EIEATAyBggrBgEFBQcB
 AQQmMCQwIgYIKwYBBQUHMAGGFmh0dHA6Ly9vY3NwLmNhY2VydC5vcmcwMQYDVR0f AQQmMCQwIgYIKwYBBQUHMAGGFmh0dHA6Ly9vY3NwLmNhY2VydC5vcmcwMQYDVR0f
-BCowKDAmoCSgIoYgaHR0cDovL2NybC5jYWNlcnQub3JnL3Jldm9rZS5jcmwwIQYD 
 VR0RBBowGIEWZGphbmdvQG1haWxzZXJ2ZXIuZ3VydTANBgkqhkiG9w0BAQsFAAOC VR0RBBowGIEWZGphbmdvQG1haWxzZXJ2ZXIuZ3VydTANBgkqhkiG9w0BAQsFAAOC
 +BCowKDAmoCSgIoYgaHR0cDovL2NybC5jYWNlcnQub3JnL3Jldm9rZS5jcmwwIQYD
 AgEACkbMXEhM1FGXrJUWXwkmld3vEulz62u8Frzcv/966o4qFs2UiXQ44rZNJQf6 AgEACkbMXEhM1FGXrJUWXwkmld3vEulz62u8Frzcv/966o4qFs2UiXQ44rZNJQf6
 Gu5+26SlnyjCFtF3nHVY005abfri3Bvc0BNAiibodV1SFnSk9AuHFRRSGtaw4TLk Gu5+26SlnyjCFtF3nHVY005abfri3Bvc0BNAiibodV1SFnSk9AuHFRRSGtaw4TLk
Zeile 2031: Zeile 2124:
 -----END CERTIFICATE----- -----END CERTIFICATE-----
 </code>  </code> 
-*/ 
  
 +Dieses Zertifikatsfile importieren wir nun mit Hilfe des Prgramms **''pkcs15-init''** in die OpenPGP Smart-Card des Nitrokey Pros.
    $ pkcs15-init --store-certificate  django-mailserver-guru-certificat.pem --id 3    $ pkcs15-init --store-certificate  django-mailserver-guru-certificat.pem --id 3
  
Zeile 2039: Zeile 2132:
   Please enter Security officer PIN [Admin PIN]:   Please enter Security officer PIN [Admin PIN]:
  
-/+Beim Import werden wir wie erwartet nach der **ADMIN**-PIN gefragt. 
-<code>[#] SMARTCARD MENU + 
- |          i  List public keys, private keys and certificates +Zum Schluss können wir uns nocheinmal anzeigen lassen und somit überzeugen, dass das betreffende Zertifikat richtig importiert wurde. 
- |        ssh  Show SSH public key with pkcs15-tool +   $ micro-ca-tool sc i 
-      ssh11  Show SSH public key with openssh via PKCS#11 +<code>                 mmm    mm         mmmmmmm               ""
-    new-key  Generate new public/private key pair on smartcard + m           m"   "   ##            #     mmm    mmm     # 
-    new-csr  Generate Certificate Signing Request + #   #         #       #  #           #    #" "#  #" "#    # 
- |  store-key  Store private key on smartcard + #   #   """   #       #mm#   """     #    #   #  #   #    # 
- |  store-crt  Store certificate on smartcard + #mmm#        "mmm"   #          #    "#m#"  "#m#"    "mm 
- |   read-crt  Retrieve certificate from smartcard + # 
- | cryptostick-reset-REALLY  Reset Cryptostick + Nitrokey Pro/Start to defaults +               (C) 2015 SektionEins GmbH / Ben Fuhrmannek 
- |   <Return>  Back +                 https://sektioneins.com/ 
-SC> i+                 https://github.com/sektioneins/micro-ca-tool 
 +[#] Version: 0.1
 Using reader with a card: Nitrokey Nitrokey Pro (000034D40000000000000000) 00 00 Using reader with a card: Nitrokey Nitrokey Pro (000034D40000000000000000) 00 00
 +X.509 Certificate [Cardholder certificate]
 + Object Flags   : [0x00]
 + Authority      : no
 + Path           : 3f007f21
 + ID             : 03
 + Encoded serial : 02 03 14A9A5
 +
 Private RSA Key [Signature key] Private RSA Key [Signature key]
  Object Flags   : [0x03], private, modifiable  Object Flags   : [0x03], private, modifiable
Zeile 2116: Zeile 2217:
  ID             : 03  ID             : 03
  
- 
-[#] SMARTCARD MENU 
-          i  List public keys, private keys and certificates 
-        ssh  Show SSH public key with pkcs15-tool 
-      ssh11  Show SSH public key with openssh via PKCS#11 
-    new-key  Generate new public/private key pair on smartcard 
-    new-csr  Generate Certificate Signing Request 
-  store-key  Store private key on smartcard 
-  store-crt  Store certificate on smartcard 
-   read-crt  Retrieve certificate from smartcard 
- | cryptostick-reset-REALLY  Reset Cryptostick + Nitrokey Pro/Start to defaults 
-   <Return>  Back 
 </code> </code>
-*/+ 
 +== Vorbereitungen - Thunderbird Einstellungen == 
 + 
 +Nun müssen wir die PGP-Unterstützung und den zugehörigen PGP-Key dem Konto zuweisen. Dazu klicken wir erneut auf das Menü-Icon rechts oben am Bildschirm (das Icon mit den drei Querstreifen) wählen nun den Menüpunkt **Preferences** aus. 
 + 
 +{{ :nitrokey:thunderbird_mint_06.png?nolink&800 |Bild: Bildschirmhardcoby von Thunderbild - Auswahl Preferences Menü}} 
 + 
 +Die Einstelungen zu den Konten finden wir unter dem Menüpunkt **Account Settings**. 
 + 
 +{{ :nitrokey:thunderbird_mint_07.png?nolink&800 |Bild: Bildschirmhardcoby von Thunderbild - Auswahl Account-Settings Menü}} 
 + 
 +In dem Fenster zu den Account-Einstellungen wählen wir dann den Punkt **Security** aus. 
 + 
 +{{ :nitrokey:thunderbird_mint_13.png?nolink&600 |Bild: Bildschirmhardcopy Thunderbird-Account-Einstellungen - Punkt Security}} 
 + 
 +Hier klicken wir dann auf die Schaltfläche **[ Securit__y__ Devices ]** 
 + 
 +{{ :nitrokey:thunderbird_mint_14.png?nolink&600 |Bild: Bildschirmhardcopy Thunderbird-Account-Einstellungen - Punkt Security Devices}} 
 + 
 +Damit Thunderbird auf die OpenPGP-SmartCard des Nitrokey Pro zugreifen kann, müssen wir noch die dazu benötigte Bibliothek **''/usr/lib/x86_64-linux-gnu/opensc-pkcs11.so''**. Wir klicken also dazu die Schaltfläche **[ __L__oad ]** an und wäheln dann den Speicherort dieser Bibliothek entsprechend aus. 
 + 
 +{{ :nitrokey:thunderbird_mint_15.png?nolink&350 |Bild: Bildschirmhardcopy Thunderbird-Account-Einstellungen - Load PKC#S11 Device Treiber Auswahl}} 
 + 
 +Zum Sichern der Eingaben klicken wir hier auf die Schaltfläche **[ OK ]**. Da auf die OpenPGP-SmartVCard des Nitrokey zugegriffen werden muss, wird entsprechend nach der **USER**-PIN gefragt.  
 + 
 +{{ :nitrokey:thunderbird_mint_16.png?nolink&350 |Bild: Bildschirmhardcopy Thunderbird-Account-Einstellungen - Load PKC#S11 Device Treiber Auswahl}} 
 + 
 +Da nur ein Zertifikat auf dem Nitrokey Pro gespeichert ist, fällt die Auswahl für das betreffende Zertifikat nicht sonderlich schwer. 
 + 
 +{{ :nitrokey:thunderbird_mint_17.png?nolink&450 |Bild: Bildschirmhardcopy Thunderbird-Account-Einstellungen - Auswahl Zertifikat}} 
 + 
 +Zum Sichern der Eingaben klicken wir auch hier auf die Schaltfläche **[ OK ]**. 
 + 
 +{{ :nitrokey:thunderbird_mint_18.png?nolink&525 |Bild: Bildschirmhardcopy Thunderbird-Account-Einstellungen - Auswahl Zertifikat}} 
 + 
 +Da wir ja mit dem Zertifikat unsere ausgehende Post signieren wollen und natürlich eingehende verschlüsselte Nachrichten entschlüsseln wollen, bejahren wir diese Frage hier natürlich mit einem Klick auf die Schaltfläche **[ __Y__es ]**. 
 + 
 +{{ :nitrokey:thunderbird_mint_19.png?nolink&600 |Bild: Bildschirmhardcoby von Thunderbild - Auswahl Account-Settings Menü}} 
 + 
 +Sobald wir nun eine Nachricht verschicken die signiert werden soll, wird vor dem Versand die PIN abgefragt und die Nachricht mit dem Signatur-Unterschlüssel unterschrieben. 
 + 
 +{{ :nitrokey:thunderbird_mint_20.png?nolink&600 |Bild: Bildschirmhardcoby von Thunderbild - Abfrage User PIN bei Versand/Signierung einer eMail}} 
 + 
 +Sobald wir eine verschlüsselte Nachricht öffnen, werden wir nach der PIN gefragt, damit der Schlüssel zum Entschlüsseln auf der SmartCard freigeschalten werden kann. 
 + 
 +{{ :nitrokey:thunderbird_mint_21.png?nolink&801 |Bild: Bildschirmhardcoby von Thunderbild - Abfrage User PIN beim Versuch eine verschlüsselte eMail zu öffnen}} 
 + 
 +Nach eingabe der USER-PIN wird die Anchricht mit Hilfe des [[#schluessel_auf_dem_nitrokey_pro_generieren|secret-keys]] auf der OpenPGP-SmartCard entschlüsselt und angezeigt. 
 + 
 +{{ :nitrokey:thunderbird_mint_22.png?nolink&800 |Bild: Bildschirmhardcoby von Thunderbild - Anzeige der entschlüsselten eMail}} 
 + 
 +Über das Schloß-Symbol in der eMailansicht können wir uns Details zu der verschlüsselten Nachricht bzw. zum verwendetetn Schlüssel anzeigen lassen. 
 + 
 +{{ :nitrokey:thunderbird_mint_23.png?nolink&400 |Bild: Bildschirmhardcoby von Thunderbild - Details zur Mailverschlüsselung}} 
 + 
 +====== Links ====== 
 +  * **[[wiki:start#sicherheit-_und_vertraulichkeit|Zurück zu Projekte und Themenkapitel]]** 
 +  * **[[http://dokuwiki.nausch.org/doku.php/|Zurück zur Startseite]]** 
 + 
  • nitrokey/linuxmint/pro.1598813685.txt.gz
  • Zuletzt geändert: 30.08.2020 18:54.
  • von django