Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- public:gnupg:gnupg-card-howto [2015/02/27 23:11] – [Nutzung für Luks] ungewitter
+++ public:gnupg:gnupg-card-howto [2024/07/29 11:40] (aktuell) – [Hauptkey mit Subkeys] jankow@datenkollektiv.net
@@ Zeile 2: / Zeile 2: @@
 <WRAP center round box>
 ===== Andere Anleitungen =====
@@ Zeile 8: / Zeile 9: @@
   * [[http://wiki.fsfe.org/Card_howtos/Card_with_subkeys_using_backups#Create_a_GnuPG_secret_key|Anleitung der Free Software Foundation Europe]]
   * [[http://spin.atomicobject.com/2013/09/25/gpg-gnu-privacy-guard/|Anleitung von spin.atimoicobject.com]]
   *
 ==== Best Practice (Nutzung von Haupt- und Subkeys) für gnupg ====
-  * http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/
+  * [[http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/|http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/]]
-  * http://www.openpgp-schulungen.de/inhalte/
+  * [[http://www.openpgp-schulungen.de/inhalte/|http://www.openpgp-schulungen.de/inhalte/]]
-  * http://blog.andreas-haerter.com/2010/04/12/gnupg-schluesselhierarchie-passender-algorithmus-fuer-jede-aufgabe-schluesselaustausch-ohne-verlust-des-web-of-trust#fn__8
+  * [[http://www.hauke-laging.de/sicherheit/openpgp.html|http://www.hauke-laging.de/sicherheit/openpgp.html]]
-  * https://alexcabal.com/creating-the-perfect-gpg-keypair/
+  * [[http://blog.andreas-haerter.com/2010/04/12/gnupg-schluesselhierarchie-passender-algorithmus-fuer-jede-aufgabe-schluesselaustausch-ohne-verlust-des-web-of-trust#fn__8|http://blog.andreas-haerter.com/2010/04/12/gnupg-schluesselhierarchie-passender-algorithmus-fuer-jede-aufgabe-schluesselaustausch-ohne-verlust-des-web-of-trust#fn__8]]
-  * http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/
+  * [[https://alexcabal.com/creating-the-perfect-gpg-keypair/|https://alexcabal.com/creating-the-perfect-gpg-keypair/]]
+  * [[http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/|http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/]]
 </WRAP>
+===== Nutzung der Gnupg Card =====
+  * Die verschiedenen [[:public:gnupg:gnupg-card-usage|Möglichkeiten zum Einsatz der Karte]]
 ===== Grundsätzliche Infos über Smart Cards =====
@@ Zeile 24: / Zeile 32: @@
 Es gibt zwei unterschiedliche Konzepte:
-  * Die "pki cards" (PKCS#11), siehe hier: [[https://wiki.debian.org/Smartcards]]
+  * Die "pki cards" (PKCS#11), siehe hier: [[https://wiki.debian.org/Smartcards|https://wiki.debian.org/Smartcards]]
-  * und die vor allem unter Linux sehr gut nutzbaren Gnupg-Cards [[https://wiki.debian.org/Smartcards/OpenPGP]]
+  * und die vor allem unter Linux sehr gut nutzbaren Gnupg-Cards [[https://wiki.debian.org/Smartcards/OpenPGP|https://wiki.debian.org/Smartcards/OpenPGP]]
 Während erstere den Quasi-Standard für x509 Zertfikate und eine [[http://de.wikipedia.org/wiki/Public-Key-Infrastruktur|Public-Key-Infrastructure]] darstellen scheint die gnupg Variante unter Linux einfacher einzurichten und besser unterstützt zu sein.
@@ Zeile 31: / Zeile 39: @@
 Ähnliche Konzpete verfolgen auch
-  * der [[http://finninday.net/wiki/index.php/Yubikey|Yubikey]] - eine Mischung aus USB-smartcard und One-Time-Password Generator
+  * der [[http://finninday.net/wiki/index.php/Yubikey|Yubikey]]
+ - eine Mischung aus USB-smartcard und One-Time-Password Generator
   * und der [[https://www.nitrokey.com/de/einleitung|Cryptostick]] der Privacy-Foundation.
@@ Zeile 40: / Zeile 49: @@
 Unterschiede der verschiedenen Systeme:
-| **System** | **Vorteile** | **Nachteile**|
+|**System** |**Vorteile** |**Nachteile** |
-| Gnupg Card | Karten leicher erhältlich und preiswerter. Unterstützung unter Linux einfacher | Authentifizierung mit Clients wie Thunderbird etc. nicht so einfach \\ |
+|Gnupg Card|Karten leicher erhältlich und preiswerter. Unterstützung unter Linux einfacher|Authentifizierung mit Clients wie Thunderbird etc. nicht so einfach|
-| PKCS#11 | De Facto Standard | komplizierter in der Einrichtung, Karten teurer?, Beschaffung komplizierter, Kompatibilität nicht immer gegeben |
+|PKCS#11|De Facto Standard|komplizierter in der Einrichtung, Karten teurer?, Beschaffung komplizierter, Kompatibilität nicht immer gegeben|
-Vor- und Nachteile sind z.B. hier diskutiert worden: http://lists.gnupg.org/pipermail/gnupg-users/2006-February/027936.html
+Vor- und Nachteile sind z.B. hier diskutiert worden: [[http://lists.gnupg.org/pipermail/gnupg-users/2006-February/027936.html|http://lists.gnupg.org/pipermail/gnupg-users/2006-February/027936.html]]
 </WRAP>
@@ Zeile 57: / Zeile 66: @@
   * einen kompatiblen [[https://wiki.debian.org/Smartcards|Cardreader]]
-Beides ist am einfachsten über den Shop von [[http://shop.kernelconcepts.de/|Kernel Concepts]] zu erhalten. Eine Gnupg-Card erhält auch, wer der [[https://fsfe.org/fellowship/|Free Software Foundation Europe]] beitritt.
+Beides ist am einfachsten im [[https://www.floss-shop.de/|FLOSS Shop]] zu erhalten. Eine Gnupg-Card erhält auch, wer der [[https://fsfe.org/fellowship/|Free Software Foundation Europe]] beitritt.
 ===== Software installieren =====
@@ Zeile 64: / Zeile 72: @@
 Als erstes installieren wir die Software. Wichtig: die gnupg-card funktioniert nur mit gnupg Version 2.
-  apt-get install gnupg2 scdaemon gpgsm pcscd
+<code>
+apt-get install gnupg2 scdaemon gpgsm pcscd
+</code>
 <WRAP center round box>
 Wenn der [[http://www.scute.org/|PKCS#11-Support]] verwendet werden soll evtl. auch:
-  apt-get install gnupg-pkcs11-scd
+<code>
+apt-get install gnupg-pkcs11-scd
+</code>
 </WRAP>
 ===== Card-Reader einrichten =====
 In der [[https://www.gnupg.org/howtos/card-howto/en/ch02s03.html|Anleitung der Free Software Foundation Europe]] wird beschrieben, wie der Card-Reader so eingerichtet wird, dass das USB-Device die richtigen Rechte und Gruppenzugehörigkeit erhält.
-<WRAP center round info>
+<WRAP center round info> Unter Debian Wheezy war das für den Gemalteo Shell Token nicht nötig. Der Card-Reader funktionierte nach der Installation der Software "Out of the Box". Das liegt möglicherweise daran, dass die ccid-library noch mal anders funktioniert als die gnupg built in ccid. </WRAP>
-Unter Debian Wheezy war das nicht nötig. Der Card-Reader funktionierte nach der Installation der Software "Out of the Box".
-</WRAP>
 Das Device des Card-Readers muss die richtigen Dateirechte erhalten, damit die User darauf zugreifen können. Das erfolgt mittels udev und wird [[http://wiki.fsfe.org/Card_howtos/Card_reader_setup_%28udev%29|hier beschrieben]]
@@ Zeile 85: / Zeile 96: @@
 Als schneller Workaroundzum Testen oder zur Nutzung innerhalb von Live-Systemen (zur sicheren Generierung der Schlüssel) kann das folgendermaßen getan werden
-  lsusb
+<code>
-  Bus 001 Device 008: ID ... Card-Reader ....
+lsusb
+Bus 001 Device 008: ID ... Card-Reader ....
+</code>
 damit wissen wir die Bus und Device ID:
-  ls -l /dev/bus/usb/001/008
+<code>
+ls -l /dev/bus/usb/001/008
-als temporärer Workaround:
+</code>
-  chmod 666 /dev/bus/usb/001/008
+als temporärer Workaround:
+<code>
+chmod 666 /dev/bus/usb/001/008
+</code>
 ===== Schlüssel erzeugen und auf Karte transferrieren =====
@@ Zeile 105: / Zeile 122: @@
 ==== Hauptkey mit Subkeys ====
-  * Eine ausführlichere Anleitung (incl. Backup der keys findet sich hier: http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/)
+  * Eine ausführlichere Anleitung (incl. Backup der keys findet sich hier: [[http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/|http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/]])
 Das Generieren der Schlüsselpaare findet vorzugsweise auf einem [[http://live.debian.net/|Live-System]] statt, damit sicher gestellt werden kann, dass die Schlüssel nicht bereits bei der Erstellung von Dritten gelesen werden können. Ist der geheime Schlüssel einmal auf der Karte, kann er, so zumindest die Theorie, diese nicht mehr verlassen. Alle Operationen finden auf der Karte statt. Daher lohnt es sich, bei der Erstellung der Schlüssel wirklich sehr sorgfältig vorzugehen:
   * vertrauensvolle Hardware
-  * Live-System möglichst ohne Netzwerkverbindungen
+  * Live-System möglichst ohne Netzwerkverbindungen (wir empfehlen [[https://tails.net/|Tails]])
-Ein angepasstes Live-System mit aller nötigen Software sowohl zum Erzeugen der Keys als auch für die Verwendung der Gnupg-Karte kann beim [[kontakt@datenkollektiv.net|Datenkollektiv]] bestellt werden.
-Ihr erhaltet einen Bootbaren USB-Stick mit
-  * angepasstem xfce4 Desktop und allen nötigen Crypto-Tools
-  * einer zusätzlichen LUKS-verschlüsselten Partition, die z.B. für die Backups der privaten Schlüssel dienen kann.
 === Hauptschlüssel-Paar generieren: ===
@@ Zeile 125: / Zeile 135: @@
 Als erstes wird der Hauptschlüssel erstellt, der nur zum Signieren der Unterschlüssel dient:
-  gpg2 --gen-key
+<code>
+gpg --full-generate-key
+</code>
 Bei der Auswahl:
-  RSA (sign only)
+<code>
+RSA (sign only)
+</code>
   * ggf. unbegrenzte Haltbarkeit
@@ Zeile 136: / Zeile 151: @@
 Mit
-  gpg --list-keys
+<code>
+gpg --list-keys
+</code>
 finden wir unsere neue Key-ID heraus. Diese nutzen wir nun zum Editieren des Schlüssels:
-  gpg --expert --edit-key KEYIDXYZ
+<code>
+gpg --expert --edit-key KEYIDXYZ
+</code>
 Im Anschluss generieren wir drei Subkeys für folgende Zwecke:
@@ Zeile 148: / Zeile 167: @@
   - Authentifizieren
-  gpg>  addkey
+<code>
+gpg>  addkey
+</code>
-legt einen neuen Subschlüssel an. Wir müssen jetzt je einen zum Signieren, Verschlüsseln und Authentifizieren anlegen, d.h. die folgende Prozedur wird **dreimal** wiederholt.
+legt einen neuen Subschlüssel an. Wir müssen jetzt je einen zum Signieren, Verschlüsseln und Authentifizieren anlegen, d.h. die folgende Prozedur wird **dreimal**  wiederholt.
 Bei der folgenden Auswahl:
@@ Zeile 169: / Zeile 190: @@
 Jetzt kann mit den angegebenen Buchstaben jeweils eine Fähigkeit zu- oder abgeschaltet werden.
 Zuletzt sichert ein
-  gpg> save
+<code>
+gpg> save
+</code>
 unsere Änderungen.
+==== Backup ====
+Dieser Schritt muss unbedingt vorgenommen werden, **bevor**  die Subkeys auf die Karte transferriert werden, da das Kommando ''keytocard''  die Schlüssel aus dem Schlüsselbund auf die Karte verschiebt. Im Secring auf der Platte bleiben nur Stubs.
+  * Der gesamte Keyring (Unterverzeichnis .gnupg) sollte nach der Prozedur auf ein verschlüsseltes Medium bzw. in einem Container gesichert werden.
+  * eine weitere Variante zum Backup von Keys ist [[http://schnouki.net/posts/2010/03/22/howto-backup-your-gnupg-secret-key-on-paper/|paperkey]]
+ - ein Programm um ausdruckbare Daten zu erhalten und den key auf Papier auszudrucken.
 ==== Schlüssel auf die Gnupg-Karte kopieren ====
+<WRAP center round important> Achtung: Bitte sicher stellen, dass vor dem Kopieren auf die Karte ein Backup mit allen Subkeys auf einem sicheren Medium erstellt wurde. Die folgenden Kommandos löschen die Subkeys aus dem Schlüsselbund und verschieben sie auf die Karte, von der sie zwar benutzt - aber nicht wieder hergestellt werden können. </WRAP>
 Im nächsten Schritt kopieren wir unsere Subkeys auf die gnupg-Karte. Hierfür benötigen wir das Passwort für den geheimen Hauptschlüssel und die Admin-Pin für die Karte.
-  gpg --expert --edit-key KEYIDXYZ
+<code>
+gpg --expert --edit-key KEYIDXYZ
+</code>
 Ein
-  gpg> toggle
+<code>
+gpg> toggle
+</code>
 schaltet in die Ansicht der privaten Schlüssel um.
@@ Zeile 189: / Zeile 227: @@
 Jetzt markieren wir der Reihe nach unsere Subkeys:
-  gpg> key 1
+<code>
+gpg> key 1
+</code>
 und kopieren sie auf die Karte:
-  gpg> keytocard
+<code>
+gpg> keytocard
+</code>
 Das wiederholen wir jetzt mit Schlüssel 2 u. 3. (Die Schlüssel müssen jeweils wieder entsperrt werden.)
@@ Zeile 201: / Zeile 243: @@
 Den öffentlichen Schlüssel (der nicht auf der Karte gespeichert ist) exportieren wir auf ein zugängliches Medium oder zu einem Keyserver. Wir brauchen diesen später.
-  gpg --export --armor KEYID > public_key.asc
+<code>
+gpg --export --armor KEYID> public_key.asc
+</code>
-===== Backup =====
+==== Geheimen Schlüsselbund auf den Nutzer_innen Rechnern erstellen ====
-  * Der gesamte Keyring (Unterverzeichnis .gnupg) sollte nach der Prozedur auf ein verschlüsseltes Medium bzw. in einem Container gesichert werden.
+Auch wenn die geheimen Schlüssel nun auf der Karte sind - und nicht auf den jeweiligen Computern: dennoch muss ein Schlüsselbund mit den Verweisen auf die geheimen Schlüsseln auf die Karte erstellt werden.
-  * eine weitere Variante zum Backup von Keys ist [[http://schnouki.net/posts/2010/03/22/howto-backup-your-gnupg-secret-key-on-paper/|paperkey]] - ein Programm um ausdruckbare Daten zu erhalten und den key auf Papier auszudrucken.
+Während bei Smartcards, die von ''gnupg 1''  unterstützt werden ein einfacher Aufruf von
-===== Nutzung der Gnupg-Card =====
+<code>
+gpg --card-status
+</code>
-Die Gnupg-Card kann vielfältig genutzt werden:
+reicht, um Verweise auf die Karte zu generieren, muss bei ''gnupg 2''  folgender Aufruf erfolgen:
-  * Authentifizieren:
+<code>
-    * Login auf lokalen oder (per ssh) entfernten Servern
+gpg2 --secret-keyring .gnupg/secring.gpg --card-status
-    * Signieren und Verschlüsseln von E-Mails und Dateien
+</code>
-    * In Zusammenarbeit mit Passwort-Managern als sichere Möglichkeit, Passwörter zu verwalten.
-==== Verschlüsseln und Signieren ====
+in manchen Fällen funktioniert dies jedoch nur über den internen Befehl ''fetch''
-Die Nutzung der GPG-Funktion funktioniert genau wie gewohnt. Für die Nutzung ist es allerdings noch notwendig, den öffentlichen Schlüssel der beim Erstellen des Schlüsselpaares gewonnen wurde in den jeweiligen Keyring zu kopieren. Auf der Karte selbst sind nur die privaten Schlüssel.
+<code>
+$ gpg2 --card-edit
+...
+gpg/card> fetch
+...
+gpg: Total number processed: 1
+gpg:               imported: 1 (RSA: 1)
+$ gpg2 --card-status
+...
+</code>
-==== Login und Authentifizierung ====
+<WRAP center round tip 60%> Übrigens bei einer Erweiterung des öffentlichen Schlüssels mit neuen Schlüsseln, deren neue geheime Gegenstücke auf einer neuen Karte sind, müssen erst alle Verweise auf die alte Karte gelöscht werden. </WRAP>
-=== Login in lokalen Linux-Rechner ===
+==== Karte wechseln ====
-Die Linux-Pam und die verschiedenen Session-Manager können mit GnuPG-Card umgehen.
+Beim Ersetzen einer Karte muss folgendes beachtet werden:
-  * http://www.schiessle.org/howto/poldi.php
+  - Die Keys müssen analog der Anleitung auf die neue Karte kopiert werden
+<del>  - der Verweis auf den privaten Schlüssel (also nur der Rest des privaten Schlüssels) muss auf den Rechnern, auf denen die Karte zum Einsatz kommt gelöscht werden. Ein ''gpg –delete-secret-keys KEYID''  erledigt das. **Sicher stellen, dass es der Schlüsselbund mit den Verweisen ist, der bearbeitet nicht - und nicht z.B. der mit den Originalschlüsseln**.</del>
+  - seit [[https://www.gnupg.org/faq/whats-new-in-2.1.html|gnpg2.1]] werden die secret Keys nicht mehr in secring.pgp gespeichert - sondern unter ''.gnupg/private-keys-v1.d/''
+  - Die zu den privaten Keys der Karte passenden Verweise müssen aus ''.gnupg/private-keys-v1.d/'' gelöscht werden.
+  - Danach müssen die Verweise auf die neue Karte wieder erstellt werden: ''gpg2 –secret-keyring .gnupg/secring.gpg –card-status''
-Die dort verwendeten Optionen für poldi-ctrl scheinen in der wheezy-Version noch nicht zu existieren. Folgendes Information hilft weiter:
+**Anzeigen der zur gnupg-Karte passenden Dateien unter ''.gnupg/private-keys-v1.d/'':**
-  * http://walter.silvergeeks.com/rechner/howto/how-to-anmeldung-mit-smart-card-oder-usb-token-am-lokalen-linux-system/
+Das ist hier von Werner beschrieben: https://lists.gnupg.org/pipermail/gnupg-users/2016-April/055766.html
-**Einrichten des Poldi-Moduls:**
+  gpg --with-keygrip -k KEYID
-Das Packet muss installiert werden:
+Die ausgegebenen Keygrips beziehen sich auf die Dateien unter: ''.gnupg/private-keys-v1.d/''
-  apt-get install libpam-poldi
-Ein
-  poldi-ctrl -d
+  rm ''.gnupg/private-keys-v1.d/KEYGRIP.key''
-testet, ob die Karte erkannt wird.
+**Achtung: immer Backup des .gnupg-Verzeichnisses machen, damit nicht aus Versehen andere secret Keys gelöscht werden.**
+===== Stolperstellen =====
-Mit
-  poldi-ctrl -s
+gnupg sollte aus [[https://wiki.gnupg.org/GnomeKeyring|diversen Gründen]] nicht mit dem gnome keyring genutzt werden. Dazu sollten zum einen die Autostart-Einträge der Desktop-Umgebung angepasst werden:
-finden wir die Seriennummer der Karte heraus (''gnupg --card-status'' würde auch funktionieren).
+<code>
+mv /etc/xdg/autostart/gnome-keyring-gpg.desktop /etc/xdg/autostart/gnome-keyring-gpg.desktop.inactive
-Jetzt müssen wir unter /etc/poldi/localdb/users eine Kartei der User anlegen, für die die Authentifizierung mit der jeweiligen Karte eingerichtet werden soll. Z.B. mit:
+</code>
-  echo "`poldi-ctrl -s` USERNAME" | tee -a /etc/poldi/localdb/users
+beim Aufruf von
-Unter /etc/poldi/localdb/keys/ muss jetzt für jede Karte eine Datei mit der Seriennummer als Dateiname angelegt werden, die den public Key der Karte enthält. Das geht einfach mit:
+<code>
+gpg2 --card-status
+</code>
-  poldi-ctrl -s > serialno.txt
+gibts ggf. Beschwerden:
-  poldi-ctrl -k | tee -a /etc/poldi/localdb/keys/`cat serialno.txt
-Damit sollte Poldi fertig konfiguriert sein.
+<code>
+gpg: selecting openpgp failed: Nicht unterstütztes Zertifikat
+gpg: OpenPGP Karte ist nicht vorhanden: Nicht unterstütztes Zertifikat
+</code>
-Nach der grundlegenden Einrichtung der Smartcard, kann das Pam-Poldi-Modul zur /etc/pam.d/common-auth hinzugefügt werden. Alle Authentifikationen, die auf die common-auth zurückgreifen (u.a. xscreensaver, sudo) können dann auch via smartcard authentifizieren. Wenn das Modul am Anfang der common-auth hinzugefügt wird und alle anderen Einträge bleiben, ist die Gnupg Card ein **zusätzliches** Authentifizierungsmittel. Bitte immer testen, so lange noch eine offene Konsole verfügbar ist, um die Änderungen ggf. zu korrigieren. Sonst sperrt mensch sich leicht aus.
+Grund: Die Umgebungsvariable GPG_AGENT_INFO ist gesetzt. Erst ab Version 2.1 ignoriert gpg2 diese. Ein
 <code>
---- a/pam.d/common-auth
+unset GPG_AGENT_INFO
-+++ b/pam.d/common-auth
-@@ -13,6 +13,8 @@
- # pam-auth-update to manage selection of other modules.  See
- # pam-auth-update(8) for details.
-+# with smartcard
-+auth sufficient pam_poldi.so
- # here are the per-package modules (the "Primary" block)
- auth   [success=1 default=ignore]      pam_unix.so nullok_secure
- # here's the fallback if no module succeeds
 </code>
+verschafft Linderung und sollte ggf in den Startscripten untergebracht werden.
-=== Nutzung für ssh ===
+<WRAP center round tip 60%> Update für Debian Stretch:
-  * http://www.ozonesolutions.com/programming/2014/04/pgp-smart-card-ssh-login-gpg-agent-ubuntu/
+Seit Debian Stretch wird der gpg-agent vom systemd in der user-Session gestartet. Das deaktivieren des gnome-keyring-daemons sollte hier nicht mehr nötig sein. </WRAP>
-  * http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/
-  * https://grepular.com/Smart_Cards_and_SSH_Authentication
-Wir müssen ssh-Support im gpg-agent konfigurieren:
+===== Erfahrungen mit Kartenlesegeräten =====
-  echo "enable-ssh-support" >> ~/.gnupg/gpg-agent.conf
+Übersicht über unterstützte Kartenlesegeräte:
-=== ssh über mehrere Server (ForwardAgent) ===
+[[http://pcsclite.alioth.debian.org/ccid/supported.html|http://pcsclite.alioth.debian.org/ccid/supported.html]]
-  * http://livecipher.blogspot.co.uk/2013/02/ssh-agent-forwarding.html
+Bei der Wahl eines Kartenlesegerätes [[http://ludovicrousseau.blogspot.de/2011/05/extended-apdu-status-per-reader.html|sollte eines mit der Unterstützung]] sogenannter [[http://de.wikipedia.org/wiki/Application_Protocol_Data_Unit|"extended APDU"]] gewählt werden.
-Damit das funktioniert, muss der ssh-client so konfiguriert werden, dass er "agent-forwarding" untestützt:
+Ohne "extended APDU" Unterstützung [[https://bugs.g10code.com/gnupg/issue1105|sind Schlüsselgrößen ab 2048 Bit nicht möglich]].
+==== Vollständig unterstützte Kartenleser ====
-  * /etc/ssh/ssh_config (sytemweit)
+**[[http://pcsclite.alioth.debian.org/ccid/supported.html#0x08E60x3438|gemalto usb shell token v2]]**
-  * /home/user/.ssh/config (per user)
-  Host *
+Ein USB-Kartenleser in USB-Stick Format ohne Keypad
-        ForwardAgent yes
-Eine ausführliche Beschreibung findet sich hier:
+  * funktioniert out of the box mit dem pcscd
-  * http://www.unixwiz.net/techtips/ssh-agent-forwarding.html
+**[[http://pcsclite.alioth.debian.org/ccid/supported.html#0x046A0x003E|http://pcsclite.alioth.debian.org/ccid/supported.html#0x046A0x003E]]**
-=== Innerhalb von screen-sessions ===
+Ein USB-Kartenleser mit Pinpad
-Hier steht was dazu:
+  * funktioniert out of the bos mit dem pcscd
-  * http://www.bootc.net/archives/2013/06/09/my-perfect-gnupg-ssh-agent-setup/
+==== Nicht oder nicht vollständig unterstützte Kartenleser ====
-Aber mit debian-wheezy sollte das out of the box funktinieren.
+**[[https://www.reiner-sct.com/support/support-anfrage/?product=77304824&productGroup=77304735#choice3|ReinerSCT Secoder]]**
-===== Nutzung für X2Go =====
+Für diesen Kartenleser sind zusätzliche Treiber nötig, die sich in den folgenden Debian-Paketen finden:
-  * http://wiki.x2go.org/doku.php/wiki:advanced:authentication:passwordless-gpg-card
+<code>
+apt-get install fxcyberjack libifd-cyberjack6
+</code>
-Auch der x2goclient kann auf die ssh-Authentifizierung über gpg-agent mittels gpg-card zurück greifen. x2goclient muss dazu mit der Option:
+bzw. für Stretch:
-  x2goclient --pgp-card
+<code>
+apt-get install libifd-cyberjack6
+</code>
-gestartet werden.
+Allerdings scheint trotzdem das Pinpad nicht unterstützt zu werden: [[https://blogs.fsfe.org/jzarl/2013/08/20/card-reader-reinersct-cyberjack-pinpad/|https://blogs.fsfe.org/jzarl/2013/08/20/card-reader-reinersct-cyberjack-pinpad/]]
-Allerdings beherrscht der x2goclient kein ssh-agent Forwarding. D.h. innerhalb der x2go-Sitzung kann der  lokale gpg-agent für die ssh-Authentifizierung nicht genutzt werden.
+**[[http://pcsclite.alioth.debian.org/ccid/shouldwork.html#0x076B0x6622|Omnikey CardMan 6121]]**
-Eleganter ist daher die Nutzung des alternativen X2go-Clients: [[http://wiki.x2go.org/doku.php/doc:usage:pyhoca-gui|pyhoca-gui]].
+Ein USB-Kartenleser in USB-Stick Format ohne Keypad
-  apt-get install pyhoca-gui python-cups
+Lt. [[https://www.gnupg.org/howtos/card-howto/en/ch02s02.html|https://www.gnupg.org/howtos/card-howto/en/ch02s02.html]] sollte dieser Cardreader von der gnupg-internen libccid untersützt werden. Allerdings funktioniert das nur aufgrund fehlender [[http://pcsclite.alioth.debian.org/ccid/shouldwork.html#0x076B0x6622| Unterstützung von extended APDU]] nur mit Schlüsseln < 2048 Bit. Bei Schlüsseln ab 2048 Bit wird ein keytocard mit folgendem Fehler beendet:
-Dieser beherrscht nicht nur die Authentifizierung via smart-card out of the box - sondern auch ssh-forward-agent.
+<code>
+gpg: ccid_transceive failed: (0x10002)
+gpg: apdu_send_simple(0) failed: invalid value
+</code>
-===== Nutzung für Luks =====
+Laut [[http://askubuntu.com/questions/529535/omnikey-6121-cannot-write-to-openpgp-smartcard|einem Ubuntu-User]] soll es möglich sein, das Gerät auch mit 2048 Bit Schlüsseln zu verwenden. Aufgrund der fehlenden APDU Unterstützung scheint das aber bei der angegebenen Schlüssellänge unwahrscheinlich.
-Praktisch wäre, die Gnupg-Card auch zum entschlüsseln von Luks-Partitionen beim Booten vollverschlüsselter Systeme nutzen zu können.
+**[[http://pcsclite.alioth.debian.org/ccid/shouldwork.html#0x076B0x3621|Omnikey 3621]]**
-Ein kleines Howto für Debian Wheezy findet sich unter [[..:gnupg:luks_gnupg_card|Luks mit Gnupg Card]]
+Dieser Kartenleser mit Pinpad funktioniert nur mit dem gnupg internen ccid Treiber. Um diesen zu nutzen, muss der pcscd gestoppt werden. Beim Schreiben auf die Karte kommt es bei Schlüsseln ab 2048 Bit zu folgender Fehlermeldung:
-===== Nutzung mit Passwortmanagern =====
+<code>
+scdaemon[29150]: apdu_send_simple(0) failed: unknown status error
-==== keepassX ====
+scdaemon[29150]: Der Fingerabdruck kann nicht gespeichert werden: Kartenfehler
-  * https://www.keepassx.org/forum/viewtopic.php?f=2&t=2188
+gpg: Fehler beim Schreiben des Schlüssels auf die Karte: Kartenfehler
+</code>
-Die dort beschriebene Lösung funktioniert offensichtlich nicht mehr. Schuld daran scheint zu sein, dass der über socat gebildete Socket keine Informationen über die Kodierung des zur Verfügung gestellten Files ausgibt, keepassx darauf aber zurück greifen will.
-Davon abgesehen, ist die Lösung über pipes nicht unbedingt ideal, weil diese auf einem Multi-User-System nicht wirklich sicher sind.
-==== pass ====
-Ein Kommandozeilen Passwort-Manager, der Passwörter mittels gpg verschlüsselt und daher auch "smart-card kompatibel" ist: [[http://www.passwordstore.org/|pass]] (in wheezy-backports)
-  apt-get install -t wheezy-backports pass
-Dieses legt für jeden Passwort-Eintrag eine Datei unterhalb von ''.password-store'' an. Die Baumstruktur wird mittels Unterverzeichnissen erzeugt.
-Features (Auswahl):
-  * git-Integration
-  * Mulitline-Passwörter (mit Kommentaren etc.)
-  * Baum-Struktur
-  * Suchen in Passwörtern und Namen des Eintrags
-  * Verschlüsselung der Passwörter für mehrere User-IDs
-Mittels git und der gpg-Encryption für mehrere User-Ids ist der Passwort-Manager Multi-User fähig. Für einzelne Unterordner können auch verschiedene gpg-IDs zum Verschlüsseln genutzt werden: Auf diese Art können Zugriffsbeschränkungen gesetzt werden.
+Gleiche Ursache: Extended APDU sind nicht unterstützt. Das Pinpad wird wohl auch nicht unterstützt.
-Eine Konvertierung aus einer keepassx xml-Export-Datei gelingt mit folgendem Python-Script:
+\\
-  * http://git.zx2c4.com/password-store/tree/contrib/importers/keepassx2pass.py
--> howto zu [[intern:doku:passwordstore|pass]]