Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- public:gnupg:gnupg-card-howto [2015/01/06 14:31] – ungewitter
+++ public:gnupg:gnupg-card-howto [2024/07/29 11:40] (aktuell) – [Hauptkey mit Subkeys] jankow@datenkollektiv.net
@@ Zeile 2: / Zeile 2: @@
 <WRAP center round box>
 ===== Andere Anleitungen =====
@@ Zeile 8: / Zeile 9: @@
   * [[http://wiki.fsfe.org/Card_howtos/Card_with_subkeys_using_backups#Create_a_GnuPG_secret_key|Anleitung der Free Software Foundation Europe]]
   * [[http://spin.atomicobject.com/2013/09/25/gpg-gnu-privacy-guard/|Anleitung von spin.atimoicobject.com]]
   *
 ==== Best Practice (Nutzung von Haupt- und Subkeys) für gnupg ====
-  * http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/
+  * [[http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/|http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/]]
-  * http://www.openpgp-schulungen.de/inhalte/
+  * [[http://www.openpgp-schulungen.de/inhalte/|http://www.openpgp-schulungen.de/inhalte/]]
-  * http://blog.andreas-haerter.com/2010/04/12/gnupg-schluesselhierarchie-passender-algorithmus-fuer-jede-aufgabe-schluesselaustausch-ohne-verlust-des-web-of-trust#fn__8
+  * [[http://www.hauke-laging.de/sicherheit/openpgp.html|http://www.hauke-laging.de/sicherheit/openpgp.html]]
-  * https://alexcabal.com/creating-the-perfect-gpg-keypair/
+  * [[http://blog.andreas-haerter.com/2010/04/12/gnupg-schluesselhierarchie-passender-algorithmus-fuer-jede-aufgabe-schluesselaustausch-ohne-verlust-des-web-of-trust#fn__8|http://blog.andreas-haerter.com/2010/04/12/gnupg-schluesselhierarchie-passender-algorithmus-fuer-jede-aufgabe-schluesselaustausch-ohne-verlust-des-web-of-trust#fn__8]]
-  * http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/
+  * [[https://alexcabal.com/creating-the-perfect-gpg-keypair/|https://alexcabal.com/creating-the-perfect-gpg-keypair/]]
+  * [[http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/|http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/]]
 </WRAP>
-====== Grundsätzliche Infos über Smart Cards ======
+===== Nutzung der Gnupg Card =====
+  * Die verschiedenen [[:public:gnupg:gnupg-card-usage|Möglichkeiten zum Einsatz der Karte]]
+===== Grundsätzliche Infos über Smart Cards =====
 Sogenannte Smart Cards können zur Authentifizierung, Verschlüsselung und Signatur mit unterschiedlichen Diensten und Programmen dienen.
@@ Zeile 24: / Zeile 32: @@
 Es gibt zwei unterschiedliche Konzepte:
-  * Die "pki cards" (PKCS#11), siehe hier: [[https://wiki.debian.org/Smartcards]]
+  * Die "pki cards" (PKCS#11), siehe hier: [[https://wiki.debian.org/Smartcards|https://wiki.debian.org/Smartcards]]
-  * und die vor allem unter Linux sehr gut nutzbaren Gnupg-Cards [[https://wiki.debian.org/Smartcards/OpenPGP]]
+  * und die vor allem unter Linux sehr gut nutzbaren Gnupg-Cards [[https://wiki.debian.org/Smartcards/OpenPGP|https://wiki.debian.org/Smartcards/OpenPGP]]
 Während erstere den Quasi-Standard für x509 Zertfikate und eine [[http://de.wikipedia.org/wiki/Public-Key-Infrastruktur|Public-Key-Infrastructure]] darstellen scheint die gnupg Variante unter Linux einfacher einzurichten und besser unterstützt zu sein.
@@ Zeile 31: / Zeile 39: @@
 Ähnliche Konzpete verfolgen auch
-  * der [[http://finninday.net/wiki/index.php/Yubikey|Yubikey]] - eine Mischung aus USB-smartcard und One-Time-Password Generator
+  * der [[http://finninday.net/wiki/index.php/Yubikey|Yubikey]]
+ - eine Mischung aus USB-smartcard und One-Time-Password Generator
   * und der [[https://www.nitrokey.com/de/einleitung|Cryptostick]] der Privacy-Foundation.
@@ Zeile 40: / Zeile 49: @@
 Unterschiede der verschiedenen Systeme:
-| **System** | **Vorteile** | **Nachteile**|
+|**System** |**Vorteile** |**Nachteile** |
-| Gnupg Card | Karten leicher erhältlich und preiswerter. Unterstützung unter Linux einfacher | Authentifizierung mit Clients wie Thunderbird etc. nicht so einfach \\ |
+|Gnupg Card|Karten leicher erhältlich und preiswerter. Unterstützung unter Linux einfacher|Authentifizierung mit Clients wie Thunderbird etc. nicht so einfach|
-| PKCS#11 | De Facto Standard | komplizierter in der Einrichtung, Karten teurer?, Beschaffung komplizierter, Kompatibilität nicht immer gegeben |
+|PKCS#11|De Facto Standard|komplizierter in der Einrichtung, Karten teurer?, Beschaffung komplizierter, Kompatibilität nicht immer gegeben|
-Vor- und Nachteile sind z.B. hier diskutiert worden: http://lists.gnupg.org/pipermail/gnupg-users/2006-February/027936.html
+Vor- und Nachteile sind z.B. hier diskutiert worden: [[http://lists.gnupg.org/pipermail/gnupg-users/2006-February/027936.html|http://lists.gnupg.org/pipermail/gnupg-users/2006-February/027936.html]]
 </WRAP>
@@ Zeile 57: / Zeile 66: @@
   * einen kompatiblen [[https://wiki.debian.org/Smartcards|Cardreader]]
-Beides ist am einfachsten über den Shop von [[http://shop.kernelconcepts.de/|Kernel Concepts]] zu erhalten. Eine Gnupg-Card erhält auch, wer der [[https://fsfe.org/fellowship/|Free Software Foundation Europe]] beitritt.
+Beides ist am einfachsten im [[https://www.floss-shop.de/|FLOSS Shop]] zu erhalten. Eine Gnupg-Card erhält auch, wer der [[https://fsfe.org/fellowship/|Free Software Foundation Europe]] beitritt.
 ===== Software installieren =====
@@ Zeile 64: / Zeile 72: @@
 Als erstes installieren wir die Software. Wichtig: die gnupg-card funktioniert nur mit gnupg Version 2.
-  apt-get install gnupg2 scdaemon gpgsm pcscd
+<code>
+apt-get install gnupg2 scdaemon gpgsm pcscd
+</code>
 <WRAP center round box>
 Wenn der [[http://www.scute.org/|PKCS#11-Support]] verwendet werden soll evtl. auch:
-  apt-get install gnupg-pkcs11-scd
+<code>
+apt-get install gnupg-pkcs11-scd
+</code>
 </WRAP>
 ===== Card-Reader einrichten =====
 In der [[https://www.gnupg.org/howtos/card-howto/en/ch02s03.html|Anleitung der Free Software Foundation Europe]] wird beschrieben, wie der Card-Reader so eingerichtet wird, dass das USB-Device die richtigen Rechte und Gruppenzugehörigkeit erhält.
-<WRAP center round info>
+<WRAP center round info> Unter Debian Wheezy war das für den Gemalteo Shell Token nicht nötig. Der Card-Reader funktionierte nach der Installation der Software "Out of the Box". Das liegt möglicherweise daran, dass die ccid-library noch mal anders funktioniert als die gnupg built in ccid. </WRAP>
-Unter Debian Wheezy war das nicht nötig. Der Card-Reader funktionierte nach der Installation der Software "Out of the Box".
-</WRAP>
 Das Device des Card-Readers muss die richtigen Dateirechte erhalten, damit die User darauf zugreifen können. Das erfolgt mittels udev und wird [[http://wiki.fsfe.org/Card_howtos/Card_reader_setup_%28udev%29|hier beschrieben]]
@@ Zeile 85: / Zeile 96: @@
 Als schneller Workaroundzum Testen oder zur Nutzung innerhalb von Live-Systemen (zur sicheren Generierung der Schlüssel) kann das folgendermaßen getan werden
-  lsusb
+<code>
-  Bus 001 Device 008: ID ... Card-Reader ....
+lsusb
+Bus 001 Device 008: ID ... Card-Reader ....
+</code>
 damit wissen wir die Bus und Device ID:
-  ls -l /dev/bus/usb/001/008
+<code>
+ls -l /dev/bus/usb/001/008
-als temporärer Workaround:
+</code>
-  chmod 666 /dev/bus/usb/001/008
+als temporärer Workaround:
+<code>
+chmod 666 /dev/bus/usb/001/008
+</code>
 ===== Schlüssel erzeugen und auf Karte transferrieren =====
@@ Zeile 105: / Zeile 122: @@
 ==== Hauptkey mit Subkeys ====
-  * Eine ausführlichere Anleitung (incl. Backup der keys findet sich hier: http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/)
+  * Eine ausführlichere Anleitung (incl. Backup der keys findet sich hier: [[http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/|http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/]])
 Das Generieren der Schlüsselpaare findet vorzugsweise auf einem [[http://live.debian.net/|Live-System]] statt, damit sicher gestellt werden kann, dass die Schlüssel nicht bereits bei der Erstellung von Dritten gelesen werden können. Ist der geheime Schlüssel einmal auf der Karte, kann er, so zumindest die Theorie, diese nicht mehr verlassen. Alle Operationen finden auf der Karte statt. Daher lohnt es sich, bei der Erstellung der Schlüssel wirklich sehr sorgfältig vorzugehen:
   * vertrauensvolle Hardware
-  * Live-System möglichst ohne Netzwerkverbindungen
+  * Live-System möglichst ohne Netzwerkverbindungen (wir empfehlen [[https://tails.net/|Tails]])
-Ein angepasstes Live-System mit aller nötigen Software sowohl zum Erzeugen der Keys als auch für die Verwendung der Gnupg-Karte kann beim Datenkollektiv bestellt werden.
-Ihr erhaltet einen USB-Stick mit
-  * angepasstem xfce4 Desktop und allen nötigen Crypto-Tools
-  * einer zusätzlichen LUKS-verschlüsselten Partition, die z.B. für die Backups der privaten Schlüssel dienen kann.
 === Hauptschlüssel-Paar generieren: ===
@@ Zeile 125: / Zeile 135: @@
 Als erstes wird der Hauptschlüssel erstellt, der nur zum Signieren der Unterschlüssel dient:
-  gpg2 --gen-key
+<code>
+gpg --full-generate-key
+</code>
 Bei der Auswahl:
-  RSA (sign only)
+<code>
+RSA (sign only)
+</code>
   * ggf. unbegrenzte Haltbarkeit
@@ Zeile 136: / Zeile 151: @@
 Mit
-  gpg --list-keys
+<code>
+gpg --list-keys
+</code>
 finden wir unsere neue Key-ID heraus. Diese nutzen wir nun zum Editieren des Schlüssels:
-  gpg --expert --edit-key KEYIDXYZ
+<code>
+gpg --expert --edit-key KEYIDXYZ
+</code>
 Im Anschluss generieren wir drei Subkeys für folgende Zwecke:
@@ Zeile 148: / Zeile 167: @@
   - Authentifizieren
-  gpg>  addkey
+<code>
+gpg>  addkey
+</code>
-legt einen neuen Subschlüssel an. Wir müssen jetzt je einen zum Signieren, Verschlüsseln und Authentifizieren anlegen, d.h. die folgende Prozedur wird **dreimal** wiederholt.
+legt einen neuen Subschlüssel an. Wir müssen jetzt je einen zum Signieren, Verschlüsseln und Authentifizieren anlegen, d.h. die folgende Prozedur wird **dreimal**  wiederholt.
 Bei der folgenden Auswahl:
@@ Zeile 169: / Zeile 190: @@
 Jetzt kann mit den angegebenen Buchstaben jeweils eine Fähigkeit zu- oder abgeschaltet werden.
 Zuletzt sichert ein
-  gpg> save
+<code>
+gpg> save
+</code>
 unsere Änderungen.
+==== Backup ====
+Dieser Schritt muss unbedingt vorgenommen werden, **bevor**  die Subkeys auf die Karte transferriert werden, da das Kommando ''keytocard''  die Schlüssel aus dem Schlüsselbund auf die Karte verschiebt. Im Secring auf der Platte bleiben nur Stubs.
+  * Der gesamte Keyring (Unterverzeichnis .gnupg) sollte nach der Prozedur auf ein verschlüsseltes Medium bzw. in einem Container gesichert werden.
+  * eine weitere Variante zum Backup von Keys ist [[http://schnouki.net/posts/2010/03/22/howto-backup-your-gnupg-secret-key-on-paper/|paperkey]]
+ - ein Programm um ausdruckbare Daten zu erhalten und den key auf Papier auszudrucken.
 ==== Schlüssel auf die Gnupg-Karte kopieren ====
+<WRAP center round important> Achtung: Bitte sicher stellen, dass vor dem Kopieren auf die Karte ein Backup mit allen Subkeys auf einem sicheren Medium erstellt wurde. Die folgenden Kommandos löschen die Subkeys aus dem Schlüsselbund und verschieben sie auf die Karte, von der sie zwar benutzt - aber nicht wieder hergestellt werden können. </WRAP>
 Im nächsten Schritt kopieren wir unsere Subkeys auf die gnupg-Karte. Hierfür benötigen wir das Passwort für den geheimen Hauptschlüssel und die Admin-Pin für die Karte.
-  gpg --expert --edit-key KEYIDXYZ
+<code>
+gpg --expert --edit-key KEYIDXYZ
+</code>
 Ein
-  gpg> toggle
+<code>
+gpg> toggle
+</code>
 schaltet in die Ansicht der privaten Schlüssel um.
@@ Zeile 189: / Zeile 227: @@
 Jetzt markieren wir der Reihe nach unsere Subkeys:
-  gpg> key 1
+<code>
+gpg> key 1
+</code>
 und kopieren sie auf die Karte:
-  gpg> keytocard
+<code>
+gpg> keytocard
+</code>
 Das wiederholen wir jetzt mit Schlüssel 2 u. 3. (Die Schlüssel müssen jeweils wieder entsperrt werden.)
-===== Backup =====
+==== öffentlichen Schlüssel exportieren ====
-  * Der gesamte Keyring (Unterverzeichnis .gnupg) sollte nach der Prozedur auf ein verschlüsseltes Medium bzw. in einem Container gesichert werden.
+Den öffentlichen Schlüssel (der nicht auf der Karte gespeichert ist) exportieren wir auf ein zugängliches Medium oder zu einem Keyserver. Wir brauchen diesen später.
-  * eine weitere Variante zum Backup von Keys ist [[http://schnouki.net/posts/2010/03/22/howto-backup-your-gnupg-secret-key-on-paper/|paperkey]] - ein Programm um ausdruckbare Daten zu erhalten und den key auf Papier auszudrucken.
+<code>
+gpg --export --armor KEYID> public_key.asc
+</code>
-===== Nutzung zum Signieren / Verschlüsseln =====
+==== Geheimen Schlüsselbund auf den Nutzer_innen Rechnern erstellen ====
-===== Nutzung für ssh =====
+Auch wenn die geheimen Schlüssel nun auf der Karte sind - und nicht auf den jeweiligen Computern: dennoch muss ein Schlüsselbund mit den Verweisen auf die geheimen Schlüsseln auf die Karte erstellt werden.
-  * http://www.ozonesolutions.com/programming/2014/04/pgp-smart-card-ssh-login-gpg-agent-ubuntu/
+Während bei Smartcards, die von ''gnupg 1''  unterstützt werden ein einfacher Aufruf von
-  * http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/
-  * https://grepular.com/Smart_Cards_and_SSH_Authentication
+<code>
+gpg --card-status
+</code>
-Wir müssen ssh-Support im gpg-agent konfigurieren:
+reicht, um Verweise auf die Karte zu generieren, muss bei ''gnupg 2''  folgender Aufruf erfolgen:
-  echo "enable-ssh-support" >> ~/.gnupg/gpg-agent.conf
+<code>
+gpg2 --secret-keyring .gnupg/secring.gpg --card-status
+</code>
+in manchen Fällen funktioniert dies jedoch nur über den internen Befehl ''fetch''
-==== ssh über mehrere Server (ForwardAgent) ====
+<code>
+$ gpg2 --card-edit
+...
+gpg/card> fetch
+...
+gpg: Total number processed: 1
+gpg:               imported: 1 (RSA: 1)
+$ gpg2 --card-status
+...
+</code>
-  * http://livecipher.blogspot.co.uk/2013/02/ssh-agent-forwarding.html
+<WRAP center round tip 60%> Übrigens bei einer Erweiterung des öffentlichen Schlüssels mit neuen Schlüsseln, deren neue geheime Gegenstücke auf einer neuen Karte sind, müssen erst alle Verweise auf die alte Karte gelöscht werden. </WRAP>
-Damit das funktioniert, muss der ssh-client so konfiguriert werden, dass er "agent-forwarding" untestützt:
+==== Karte wechseln ====
+Beim Ersetzen einer Karte muss folgendes beachtet werden:
-  * /etc/ssh/ssh_config (sytemweit)
+  - Die Keys müssen analog der Anleitung auf die neue Karte kopiert werden
-  * /home/user/.ssh/config (per user)
+<del>  - der Verweis auf den privaten Schlüssel (also nur der Rest des privaten Schlüssels) muss auf den Rechnern, auf denen die Karte zum Einsatz kommt gelöscht werden. Ein ''gpg –delete-secret-keys KEYID''  erledigt das. **Sicher stellen, dass es der Schlüsselbund mit den Verweisen ist, der bearbeitet nicht - und nicht z.B. der mit den Originalschlüsseln**.</del>
+  - seit [[https://www.gnupg.org/faq/whats-new-in-2.1.html|gnpg2.1]] werden die secret Keys nicht mehr in secring.pgp gespeichert - sondern unter ''.gnupg/private-keys-v1.d/''
+  - Die zu den privaten Keys der Karte passenden Verweise müssen aus ''.gnupg/private-keys-v1.d/'' gelöscht werden.
+  - Danach müssen die Verweise auf die neue Karte wieder erstellt werden: ''gpg2 –secret-keyring .gnupg/secring.gpg –card-status''
-  Host *
+**Anzeigen der zur gnupg-Karte passenden Dateien unter ''.gnupg/private-keys-v1.d/'':**
-        ForwardAgent yes
-Eine ausführliche Beschreibung findet sich hier:
+Das ist hier von Werner beschrieben: https://lists.gnupg.org/pipermail/gnupg-users/2016-April/055766.html
-  * http://www.unixwiz.net/techtips/ssh-agent-forwarding.html
+  gpg --with-keygrip -k KEYID
-=== Innerhalb von screen-sessions ===
+Die ausgegebenen Keygrips beziehen sich auf die Dateien unter: ''.gnupg/private-keys-v1.d/''
-Hier steht was dazu:
+  rm ''.gnupg/private-keys-v1.d/KEYGRIP.key''
-  * http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/
+**Achtung: immer Backup des .gnupg-Verzeichnisses machen, damit nicht aus Versehen andere secret Keys gelöscht werden.**
+===== Stolperstellen =====
-Aber mit debian-wheezy sollte das out of the box funktinieren.
+gnupg sollte aus [[https://wiki.gnupg.org/GnomeKeyring|diversen Gründen]] nicht mit dem gnome keyring genutzt werden. Dazu sollten zum einen die Autostart-Einträge der Desktop-Umgebung angepasst werden:
-===== Nutzung für X2Go =====
-  * http://wiki.x2go.org/doku.php/wiki:advanced:authentication:passwordless-gpg-card
+<code>
+mv /etc/xdg/autostart/gnome-keyring-gpg.desktop /etc/xdg/autostart/gnome-keyring-gpg.desktop.inactive
+</code>
-Auch der x2goclient kann auf die ssh-Authentifizierung über gpg-agent mittels gpg-card zurück greifen. x2goclient muss dazu mit der Option:
+beim Aufruf von
-  x2goclient --pgp-card
+<code>
+gpg2 --card-status
+</code>
-gestartet werden.
+gibts ggf. Beschwerden:
-Allerdings beherrscht der x2goclient kein ssh-agent Forwarding. D.h. innerhalb der x2go-Sitzung kann der  lokale gpg-agent für die ssh-Authentifizierung nicht genutzt werden.
+<code>
+gpg: selecting openpgp failed: Nicht unterstütztes Zertifikat
+gpg: OpenPGP Karte ist nicht vorhanden: Nicht unterstütztes Zertifikat
+</code>
-Eleganter ist daher die Nutzung des alternativen X2go-Clients: [[http://wiki.x2go.org/doku.php/doc:usage:pyhoca-gui|pyhoca-gui]].
+Grund: Die Umgebungsvariable GPG_AGENT_INFO ist gesetzt. Erst ab Version 2.1 ignoriert gpg2 diese. Ein
-  apt-get install pyhoca-gui python-cups
+<code>
+unset GPG_AGENT_INFO
+</code>
-Dieser beherrscht nicht nur die Authentifizierung via smart-card out of the box - sondern auch ssh-forward-agent.
+verschafft Linderung und sollte ggf in den Startscripten untergebracht werden.
-===== Nutzung für Pam =====
-  * http://www.schiessle.org/howto/poldi.php
+<WRAP center round tip 60%> Update für Debian Stretch:
-Die dort verwendeten Optionen für poldi-ctrl scheinen in der wheezy-Version noch nicht zu existieren. Evtl. hilft daher folgendes weiter:
+Seit Debian Stretch wird der gpg-agent vom systemd in der user-Session gestartet. Das deaktivieren des gnome-keyring-daemons sollte hier nicht mehr nötig sein. </WRAP>
-  * http://walter.silvergeeks.com/rechner/howto/how-to-anmeldung-mit-smart-card-oder-usb-token-am-lokalen-linux-system/
+===== Erfahrungen mit Kartenlesegeräten =====
-===== Nutzung für Luks =====
-  * http://digitalbrains.com/2014/gpgcryptroot
+Übersicht über unterstützte Kartenlesegeräte:
-  * http://lists.gnupg.org/pipermail/gnupg-users/2009-November/037599.html -> hier wird gezeigt, wie mensch die vier private "DO" data auf der Karte verwenden kann
-  * Hier eine komplette Anleitung für Ubuntu Luks mit 2-Faktor Authentifizierung: https://blog.kumina.nl/2010/07/two-factor-luks-using-ubuntu/
+[[http://pcsclite.alioth.debian.org/ccid/supported.html|http://pcsclite.alioth.debian.org/ccid/supported.html]]
-===== Nutzung mit Passwortmanagern =====
-==== keepassX ====
-  * https://www.keepassx.org/forum/viewtopic.php?f=2&t=2188
-Die dort beschriebene Lösung funktioniert offensichtlich nicht mehr. Schuld daran scheint zu sein, dass der über socat gebildete Socket keine Informationen über die Kodierung des zur Verfügung gestellten Files ausgibt, keepassx darauf aber zurück greifen will.
+Bei der Wahl eines Kartenlesegerätes [[http://ludovicrousseau.blogspot.de/2011/05/extended-apdu-status-per-reader.html|sollte eines mit der Unterstützung]] sogenannter [[http://de.wikipedia.org/wiki/Application_Protocol_Data_Unit|"extended APDU"]] gewählt werden.
-==== pass ====
+Ohne "extended APDU" Unterstützung [[https://bugs.g10code.com/gnupg/issue1105|sind Schlüsselgrößen ab 2048 Bit nicht möglich]].
-Ein Kommandozeilen Passwort-Manager, der Passwörter mittels gpg verschlüsselt und daher auch "smart-card kompatibel" ist: [[http://www.passwordstore.org/|pass]] (in wheezy-backports)
+==== Vollständig unterstützte Kartenleser ====
-  apt-get install -t wheezy-backports pass
+**[[http://pcsclite.alioth.debian.org/ccid/supported.html#0x08E60x3438|gemalto usb shell token v2]]**
-Dieses legt für jeden Passwort-Eintrag eine Datei unterhalb von ''.password-store'' an. Die Baumstruktur wird mittels Unterverzeichnissen erzeugt.
+Ein USB-Kartenleser in USB-Stick Format ohne Keypad
-Features (Auswahl):
+  * funktioniert out of the box mit dem pcscd
-  * git-Integration
+**[[http://pcsclite.alioth.debian.org/ccid/supported.html#0x046A0x003E|http://pcsclite.alioth.debian.org/ccid/supported.html#0x046A0x003E]]**
-  * Mulitline-Passwörter (mit Kommentaren etc.)
-  * Baum-Struktur
+Ein USB-Kartenleser mit Pinpad
-  * Suchen in Passwörtern und Namen des Eintrags
-  * Verschlüsselung der Passwörter für mehrere User-IDs
+  * funktioniert out of the bos mit dem pcscd
+==== Nicht oder nicht vollständig unterstützte Kartenleser ====
+**[[https://www.reiner-sct.com/support/support-anfrage/?product=77304824&productGroup=77304735#choice3|ReinerSCT Secoder]]**
+Für diesen Kartenleser sind zusätzliche Treiber nötig, die sich in den folgenden Debian-Paketen finden:
+<code>
+apt-get install fxcyberjack libifd-cyberjack6
+</code>
+bzw. für Stretch:
+<code>
+apt-get install libifd-cyberjack6
+</code>
+Allerdings scheint trotzdem das Pinpad nicht unterstützt zu werden: [[https://blogs.fsfe.org/jzarl/2013/08/20/card-reader-reinersct-cyberjack-pinpad/|https://blogs.fsfe.org/jzarl/2013/08/20/card-reader-reinersct-cyberjack-pinpad/]]
+**[[http://pcsclite.alioth.debian.org/ccid/shouldwork.html#0x076B0x6622|Omnikey CardMan 6121]]**
+Ein USB-Kartenleser in USB-Stick Format ohne Keypad
+Lt. [[https://www.gnupg.org/howtos/card-howto/en/ch02s02.html|https://www.gnupg.org/howtos/card-howto/en/ch02s02.html]] sollte dieser Cardreader von der gnupg-internen libccid untersützt werden. Allerdings funktioniert das nur aufgrund fehlender [[http://pcsclite.alioth.debian.org/ccid/shouldwork.html#0x076B0x6622| Unterstützung von extended APDU]] nur mit Schlüsseln < 2048 Bit. Bei Schlüsseln ab 2048 Bit wird ein keytocard mit folgendem Fehler beendet:
+<code>
+gpg: ccid_transceive failed: (0x10002)
+gpg: apdu_send_simple(0) failed: invalid value
+</code>
+Laut [[http://askubuntu.com/questions/529535/omnikey-6121-cannot-write-to-openpgp-smartcard|einem Ubuntu-User]] soll es möglich sein, das Gerät auch mit 2048 Bit Schlüsseln zu verwenden. Aufgrund der fehlenden APDU Unterstützung scheint das aber bei der angegebenen Schlüssellänge unwahrscheinlich.
+**[[http://pcsclite.alioth.debian.org/ccid/shouldwork.html#0x076B0x3621|Omnikey 3621]]**
+Dieser Kartenleser mit Pinpad funktioniert nur mit dem gnupg internen ccid Treiber. Um diesen zu nutzen, muss der pcscd gestoppt werden. Beim Schreiben auf die Karte kommt es bei Schlüsseln ab 2048 Bit zu folgender Fehlermeldung:
+<code>
+scdaemon[29150]: apdu_send_simple(0) failed: unknown status error
+scdaemon[29150]: Der Fingerabdruck kann nicht gespeichert werden: Kartenfehler
+gpg: Fehler beim Schreiben des Schlüssels auf die Karte: Kartenfehler
+</code>
-Mittels git und der gpg-Encryption für mehrere User-Ids ist der Passwort-Manager Multi-User fähig. Für einzelne Unterordner können auch verschiedene gpg-IDs zum Verschlüsseln genutzt werden: Auf diese Art können Zugriffsbeschränkungen gesetzt werden.
+Gleiche Ursache: Extended APDU sind nicht unterstützt. Das Pinpad wird wohl auch nicht unterstützt.
-Eine Konvertierung aus einer keepassx xml-Export-Datei gelingt mit folgendem Python-Script:
+\\
-  * http://git.zx2c4.com/password-store/tree/contrib/importers/keepassx2pass.py
--> howto zu [[intern:doku:passwordstore|pass]]