Beiträge zu “Nitrokey”

Nitrokey Schlüssel auf weiterem Rechner einrichten

Ausgangspunkt ist ein Nitrokey mit einem installiertem Schlüssel. Dieser Key soll jetzt für die Verwendungen mit SSH auf einem anderen PC eingerichtet werden. Voraussetzung hierfür ist der Import des öffentlichen Schlüssels auf dem neuen Rechner. Diesen öffentlichen Schlüssel habe ich mit folgendem Befehl zuerst von dem Nitrokey exportiert

 gpg --card-status | grep 'General key info'
 gpg --export-ssh-key "Schlüsselnahme von eben" > id_rsa_nitrokey-1.pub

Diesen öffentlichen Schlüssel kann man z.B. auf einem Webserver hinterlegen. Damit der Import auf dem neuen Rechner einfacher geht ist es sinnvoll die URL des öffentlichen Schlüssels auf dem Nitrokey zu hinterlegen.

 gpg --card-edit
 > admin
 > url 
 > "URL des keys"

Auf dem Zielrechner dann notwendige Software installieren

sudo apt install scdaemon

und wieder die gpg Konfiguration wie hier beschrieben anpassen.

vi .gnupg/gpg.conf
   use-agent

vi ~/.gnupg/gpg-agent.conf
  enable-ssh-support

Den öffentlichen Schlüssel besorgen

gpg --card-edit

gpg/card> admin
Admin-Befehle sind erlaubt

gpg/card> fetch

und die bash / zsh rc anpassen

vi ~/.bashrc

 unset SSH_AGENT_PID
 if [ "${gnupg_SSH_AUTH_SOCK_by:-0}" -ne $$ ]; then
 export SSH_AUTH_SOCK="$(gpgconf --list-dirs agent-ssh-socket)"
 fi

dann noch den gpg-agent neustarten

pkill gpg-agent

Dann sollte in einem neuen Terminalfenster nach bei einem Zugriff über ssh wieder die PIN des Nitrokeys abgefragt werden.

10.2.20
Weitere Beiträge zu: Nitrokey  

Vorsatz für 2016: Kennwörter auf Hardware auslagern

Schon seit längerem hadere ich mit der Absicherung meiner Kennwörter über eine Smartcard oder einen USB Stick. Das ist zwar unbequem und ich rechne mit einer langen steilen Gewöhnungskurve aber dieses Jahre werde ich mich diesem Bären stellen.

Wenn man verschiedene Rechner verwendet ist es nicht ganz einfach Kennwörter, Browser-, VPN und SSH Zertifikate zu verwalten. Die für mich bisher sicherste Variante ist ein Passwort Manager wie Keepass. Aber auch diese Variante setzt eine Datei auf dem Rechner voraus die mit einem Kennwort geschützt ist.

Auf dem 32C3 habe ich den Nitrokey Pro kennen gelernt. Dieser bietet Funktionen zu:

  • OpenPGP/ GnuPG E-Mailverschlüsselung
  • Einmalpasswörtern
  • Passwort-Manager

Die Informationen werden kryptografisch in der Hardware gesichert und sollen nicht gestohlen werden können. Der Hauptgrund warum ich hiermit meine ersten Gehversuche im Bereich Hardware Kennwort Tokens machen werde liegt darin, dass Open Source Verfahren verwendet werden und die Entwicklung offen gelegt wurde. Das kann ich zwar nicht selbst nachprüfen aber für mich besser als closed source die niemand prüfen kann.

Das ganze wird sich über einen längeren Zeitraum hinziehen und momentan plane ich das in den Schritten

  • Aufbau einer neuen privaten Certificate Authority mit dedizierter Hardware
  • Nutzung der One Time Password Funktionen in den Diensten die es anbieten
  • Ablage von SSH Schlüsseln auf dem Nitrokey
  • Ablage von Zertifikaten zur Anmeldung auf meinen eigenen Servern.
  • Aufbau einer FreeRadius Anmeldung im WLAN für Openwrt

Mal sehen wie das wird und wie oft ich diese Idee verfluchen werde

1.1.16
Weitere Beiträge zu: Nitrokey  

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


Creative Commons License
This blog is licensed under a Creative Commons License