17 October 2018 2018-10-03

Hardware

Meine Hardware für die OpenPGP Smart Cards habe ich bei FLOSS-Shop bestellt. Pünktlich zum letzten Wochenende ist die Bestellung abgekommen:

  • SCM SPR332

  • OpenPGP Smart Card V3.3 (verschiedene Typen)

  • Gemalto Shell Token

Ein paar Tage zuvor habe ich mir einen Yubikey 4 bestellt.

OpenPGP Smart Card V3.3 + MiFare DESFire

Zu der Karte steht auf der Homepage.

Die OpenPGP funktion kann nicht über NFC/RFID verwendet werden. Hierfür ist auf jeden Fall ein Chipkarten-Lesegrerät für kontaktbehaftete Karten notwendig.

Für diese Karte habe ich im Moment noch keinen Anwendungsfall.

OpenPGP Smart Card V3.3

Ich habe eine Karte mit ID000 Ausfräsung um diese als SIM-Karte in den Gemalto Shell Token einzulegen. Außerdem habe ich zwei Karten ohne Ausfräsung, welche ich in dem SCM SPR332 Kartenleser verwenden kann.

IMG 0118

Yubikey 4

Ich finde die Funktionen des YubiKey ganz interessant, aktuell brauche ich diese jedoch nicht. Ich hatte beispielsweise das statische Password für die Anmeldung am Rechner verwendet - ganz lustig, aber nach 2 Tagen war es nervig. Dies muss jedoch jeder für sich entscheiden.

IMG 0119

OpenPGP

Für mich sind die wichtigsten Funktionen OpenPGP zur Verschlüsselung und Signatur der E-Mails. Außerdem nutze ich den Schlüssel für die Anmeldung auf den Servern via SSH. Dies geht auch alles mit einer normalen OpenPGP Karte.

Die Schlüssel können auf dem PC erstellt werden und dann auf die Karte verschoben werden oder man lässt sich die Schlüssel direkt auf der Karte erstellen. Dann kommt man aber nicht mehr an die Schlüssel.

Es gibt die Möglichkeit die Schlüssel auf der "Karte" zu erstellen lassen, wobei der Schlüssel [E] wohl auf dem PC erstellt wird und dann für ein Backup auf die Festplatte kopiert wird. Was zu beachten ist, dies gilt nicht für [SC] und [A]. Diese Schlüssel sind dann also weg. Um den Schlüssel wieder herzustellen, muss man wohl auch zwingend den Public Key haben. Sonst kann man den Schlüssel nicht via gpg --edit-key wieder herstellen. Getestet habe ich dies noch nicht, aber so habe ich es verstanden.

Konzept

Man sollte sich auf jeden Fall erst mal ein Konzept überlegen - macht eigentlich immer Sinn. :-) Bevor man jedoch 20 Schlüssel erstellt und dann nicht mehr weiß wo welcher für was war.

Ich habe mit jetzt einfach zwei "Typen von Daten" definiert. E-Mails und SSH via USB. Auf den Karten die via USB verwendet werden (gemalto Stick) und Yubikey, habe ich die Schlüssel auf der Karte erstellt. Hier habe ich nur ein Backup für den Schlüssel [E]. Der Public key ist auf dem Key-Server, da es ja für die E-Mail-Adressen verwendet wird.

  • Yubikey für meine "Linux" Mails

  • Gemalto und OpenPGP Card für meine privaten und berufliche E-Mail

IMG 0114

D.h. wenn die Dinger weg / kaputt sind, dann kann ich wohl (noch nicht ausprobiert), den Schlüssel [E] wiederherstellen und meine Daten dann wenigsten wieder entschlüsseln. Da der Public Key auf der Key-Server ist und auch auf allen meinen Rechnern, kann ja nix schief gehen.

Der zweite Typ von Daten sind die Daten die lokal verschlüsselt werden. Beispielsweise eine Datei mit Passwörtern.

Ich habe pro Rechner immer einen "lokalen Schlüssel". Da habe ich den public key in der Regel auch nur auf dem PC. Hier habe ich jetzt für meine Workstation den SCM SPR332 verwendet und eine normale OpenPGP Card. Den Schlüssel habe ich auf den PC erstellt und dann noch mal gesichert (auf ein USB-Stick). Dann habe ich die Schlüssel auf die Karte geschrieben und auf dem PC gelöscht.

IMG 0117

Mit diesem Schlüssel kann ich dann z.b. Passwortdateien verschlüsseln. Diesen Schlüssel kann man dann auch für seine ganzen PCs im Netzwerk nehmen, um sich über SSH auf einem NAS, Router (was auch immer) anzumelden.