Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- public:gnupg:gnupg-card-howto [2015/03/26 15:59] – [Erfahrungen mit Kartenlesegeräten] jankow@datenkollektiv.net
+++ public:gnupg:gnupg-card-howto [2024/07/29 11:40] (aktuell) – [Hauptkey mit Subkeys] jankow@datenkollektiv.net
@@ Zeile 2: / Zeile 2: @@
 <WRAP center round box>
 ===== Andere Anleitungen =====
@@ Zeile 8: / Zeile 9: @@
   * [[http://wiki.fsfe.org/Card_howtos/Card_with_subkeys_using_backups#Create_a_GnuPG_secret_key|Anleitung der Free Software Foundation Europe]]
   * [[http://spin.atomicobject.com/2013/09/25/gpg-gnu-privacy-guard/|Anleitung von spin.atimoicobject.com]]
   *
 ==== Best Practice (Nutzung von Haupt- und Subkeys) für gnupg ====
-  * http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/
+  * [[http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/|http://www.openpgp-schulungen.de/kurzinfo/schluesselqualitaet/]]
-  * http://www.openpgp-schulungen.de/inhalte/
+  * [[http://www.openpgp-schulungen.de/inhalte/|http://www.openpgp-schulungen.de/inhalte/]]
-  * http://www.hauke-laging.de/sicherheit/openpgp.html
+  * [[http://www.hauke-laging.de/sicherheit/openpgp.html|http://www.hauke-laging.de/sicherheit/openpgp.html]]
-  * http://blog.andreas-haerter.com/2010/04/12/gnupg-schluesselhierarchie-passender-algorithmus-fuer-jede-aufgabe-schluesselaustausch-ohne-verlust-des-web-of-trust#fn__8
+  * [[http://blog.andreas-haerter.com/2010/04/12/gnupg-schluesselhierarchie-passender-algorithmus-fuer-jede-aufgabe-schluesselaustausch-ohne-verlust-des-web-of-trust#fn__8|http://blog.andreas-haerter.com/2010/04/12/gnupg-schluesselhierarchie-passender-algorithmus-fuer-jede-aufgabe-schluesselaustausch-ohne-verlust-des-web-of-trust#fn__8]]
-  * https://alexcabal.com/creating-the-perfect-gpg-keypair/
+  * [[https://alexcabal.com/creating-the-perfect-gpg-keypair/|https://alexcabal.com/creating-the-perfect-gpg-keypair/]]
-  * http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/
+  * [[http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/|http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/]]
 </WRAP>
 ===== Nutzung der Gnupg Card =====
-  * Die verschiedenen [[gnupg-card-usage|Möglichkeiten zum Einsatz der Karte]]
+  * Die verschiedenen [[:public:gnupg:gnupg-card-usage|Möglichkeiten zum Einsatz der Karte]]
 ===== Grundsätzliche Infos über Smart Cards =====
@@ Zeile 29: / Zeile 32: @@
 Es gibt zwei unterschiedliche Konzepte:
-  * Die "pki cards" (PKCS#11), siehe hier: [[https://wiki.debian.org/Smartcards]]
+  * Die "pki cards" (PKCS#11), siehe hier: [[https://wiki.debian.org/Smartcards|https://wiki.debian.org/Smartcards]]
-  * und die vor allem unter Linux sehr gut nutzbaren Gnupg-Cards [[https://wiki.debian.org/Smartcards/OpenPGP]]
+  * und die vor allem unter Linux sehr gut nutzbaren Gnupg-Cards [[https://wiki.debian.org/Smartcards/OpenPGP|https://wiki.debian.org/Smartcards/OpenPGP]]
 Während erstere den Quasi-Standard für x509 Zertfikate und eine [[http://de.wikipedia.org/wiki/Public-Key-Infrastruktur|Public-Key-Infrastructure]] darstellen scheint die gnupg Variante unter Linux einfacher einzurichten und besser unterstützt zu sein.
@@ Zeile 36: / Zeile 39: @@
 Ähnliche Konzpete verfolgen auch
-  * der [[http://finninday.net/wiki/index.php/Yubikey|Yubikey]] - eine Mischung aus USB-smartcard und One-Time-Password Generator
+  * der [[http://finninday.net/wiki/index.php/Yubikey|Yubikey]]
+ - eine Mischung aus USB-smartcard und One-Time-Password Generator
   * und der [[https://www.nitrokey.com/de/einleitung|Cryptostick]] der Privacy-Foundation.
@@ Zeile 45: / Zeile 49: @@
 Unterschiede der verschiedenen Systeme:
-| **System** | **Vorteile** | **Nachteile**|
+|**System** |**Vorteile** |**Nachteile** |
-| Gnupg Card | Karten leicher erhältlich und preiswerter. Unterstützung unter Linux einfacher | Authentifizierung mit Clients wie Thunderbird etc. nicht so einfach \\ |
+|Gnupg Card|Karten leicher erhältlich und preiswerter. Unterstützung unter Linux einfacher|Authentifizierung mit Clients wie Thunderbird etc. nicht so einfach|
-| PKCS#11 | De Facto Standard | komplizierter in der Einrichtung, Karten teurer?, Beschaffung komplizierter, Kompatibilität nicht immer gegeben |
+|PKCS#11|De Facto Standard|komplizierter in der Einrichtung, Karten teurer?, Beschaffung komplizierter, Kompatibilität nicht immer gegeben|
-Vor- und Nachteile sind z.B. hier diskutiert worden: http://lists.gnupg.org/pipermail/gnupg-users/2006-February/027936.html
+Vor- und Nachteile sind z.B. hier diskutiert worden: [[http://lists.gnupg.org/pipermail/gnupg-users/2006-February/027936.html|http://lists.gnupg.org/pipermail/gnupg-users/2006-February/027936.html]]
 </WRAP>
@@ Zeile 62: / Zeile 66: @@
   * einen kompatiblen [[https://wiki.debian.org/Smartcards|Cardreader]]
-Beides ist am einfachsten über den Shop von [[http://shop.kernelconcepts.de/|Kernel Concepts]] zu erhalten. Eine Gnupg-Card erhält auch, wer der [[https://fsfe.org/fellowship/|Free Software Foundation Europe]] beitritt.
+Beides ist am einfachsten im [[https://www.floss-shop.de/|FLOSS Shop]] zu erhalten. Eine Gnupg-Card erhält auch, wer der [[https://fsfe.org/fellowship/|Free Software Foundation Europe]] beitritt.
 ===== Software installieren =====
@@ Zeile 69: / Zeile 72: @@
 Als erstes installieren wir die Software. Wichtig: die gnupg-card funktioniert nur mit gnupg Version 2.
-  apt-get install gnupg2 scdaemon gpgsm pcscd
+<code>
+apt-get install gnupg2 scdaemon gpgsm pcscd
+</code>
 <WRAP center round box>
 Wenn der [[http://www.scute.org/|PKCS#11-Support]] verwendet werden soll evtl. auch:
-  apt-get install gnupg-pkcs11-scd
+<code>
+apt-get install gnupg-pkcs11-scd
+</code>
 </WRAP>
 ===== Card-Reader einrichten =====
 In der [[https://www.gnupg.org/howtos/card-howto/en/ch02s03.html|Anleitung der Free Software Foundation Europe]] wird beschrieben, wie der Card-Reader so eingerichtet wird, dass das USB-Device die richtigen Rechte und Gruppenzugehörigkeit erhält.
-<WRAP center round info>
+<WRAP center round info> Unter Debian Wheezy war das für den Gemalteo Shell Token nicht nötig. Der Card-Reader funktionierte nach der Installation der Software "Out of the Box". Das liegt möglicherweise daran, dass die ccid-library noch mal anders funktioniert als die gnupg built in ccid. </WRAP>
-Unter Debian Wheezy war das für den Gemalteo Shell Token nicht nötig. Der Card-Reader funktionierte nach der Installation der Software "Out of the Box". Das liegt möglicherweise daran, dass die ccid-library noch mal anders funktioniert als die gnupg built in ccid.
-</WRAP>
 Das Device des Card-Readers muss die richtigen Dateirechte erhalten, damit die User darauf zugreifen können. Das erfolgt mittels udev und wird [[http://wiki.fsfe.org/Card_howtos/Card_reader_setup_%28udev%29|hier beschrieben]]
@@ Zeile 90: / Zeile 96: @@
 Als schneller Workaroundzum Testen oder zur Nutzung innerhalb von Live-Systemen (zur sicheren Generierung der Schlüssel) kann das folgendermaßen getan werden
-  lsusb
+<code>
-  Bus 001 Device 008: ID ... Card-Reader ....
+lsusb
+Bus 001 Device 008: ID ... Card-Reader ....
+</code>
 damit wissen wir die Bus und Device ID:
-  ls -l /dev/bus/usb/001/008
+<code>
+ls -l /dev/bus/usb/001/008
-als temporärer Workaround:
+</code>
-  chmod 666 /dev/bus/usb/001/008
+als temporärer Workaround:
+<code>
+chmod 666 /dev/bus/usb/001/008
+</code>
 ===== Schlüssel erzeugen und auf Karte transferrieren =====
@@ Zeile 110: / Zeile 122: @@
 ==== Hauptkey mit Subkeys ====
-  * Eine ausführlichere Anleitung (incl. Backup der keys findet sich hier: http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/)
+  * Eine ausführlichere Anleitung (incl. Backup der keys findet sich hier: [[http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/|http://www.bootc.net/archives/2013/06/07/generating-a-new-gnupg-key/]])
 Das Generieren der Schlüsselpaare findet vorzugsweise auf einem [[http://live.debian.net/|Live-System]] statt, damit sicher gestellt werden kann, dass die Schlüssel nicht bereits bei der Erstellung von Dritten gelesen werden können. Ist der geheime Schlüssel einmal auf der Karte, kann er, so zumindest die Theorie, diese nicht mehr verlassen. Alle Operationen finden auf der Karte statt. Daher lohnt es sich, bei der Erstellung der Schlüssel wirklich sehr sorgfältig vorzugehen:
   * vertrauensvolle Hardware
-  * Live-System möglichst ohne Netzwerkverbindungen
+  * Live-System möglichst ohne Netzwerkverbindungen (wir empfehlen [[https://tails.net/|Tails]])
-Ein angepasstes Live-System mit aller nötigen Software sowohl zum Erzeugen der Keys als auch für die Verwendung der Gnupg-Karte kann beim [[kontakt@datenkollektiv.net|Datenkollektiv]] bestellt werden.
-Ihr erhaltet einen Bootbaren USB-Stick mit
-  * angepasstem xfce4 Desktop und allen nötigen Crypto-Tools
-  * einer zusätzlichen LUKS-verschlüsselten Partition, die z.B. für die Backups der privaten Schlüssel dienen kann.
 === Hauptschlüssel-Paar generieren: ===
@@ Zeile 130: / Zeile 135: @@
 Als erstes wird der Hauptschlüssel erstellt, der nur zum Signieren der Unterschlüssel dient:
-  gpg2 --gen-key
+<code>
+gpg --full-generate-key
+</code>
 Bei der Auswahl:
-  RSA (sign only)
+<code>
+RSA (sign only)
+</code>
   * ggf. unbegrenzte Haltbarkeit
@@ Zeile 141: / Zeile 151: @@
 Mit
-  gpg --list-keys
+<code>
+gpg --list-keys
+</code>
 finden wir unsere neue Key-ID heraus. Diese nutzen wir nun zum Editieren des Schlüssels:
-  gpg --expert --edit-key KEYIDXYZ
+<code>
+gpg --expert --edit-key KEYIDXYZ
+</code>
 Im Anschluss generieren wir drei Subkeys für folgende Zwecke:
@@ Zeile 153: / Zeile 167: @@
   - Authentifizieren
-  gpg>  addkey
+<code>
+gpg>  addkey
+</code>
-legt einen neuen Subschlüssel an. Wir müssen jetzt je einen zum Signieren, Verschlüsseln und Authentifizieren anlegen, d.h. die folgende Prozedur wird **dreimal** wiederholt.
+legt einen neuen Subschlüssel an. Wir müssen jetzt je einen zum Signieren, Verschlüsseln und Authentifizieren anlegen, d.h. die folgende Prozedur wird **dreimal**  wiederholt.
 Bei der folgenden Auswahl:
@@ Zeile 174: / Zeile 190: @@
 Jetzt kann mit den angegebenen Buchstaben jeweils eine Fähigkeit zu- oder abgeschaltet werden.
 Zuletzt sichert ein
-  gpg> save
+<code>
+gpg> save
+</code>
 unsere Änderungen.
+==== Backup ====
-===== Backup =====
+Dieser Schritt muss unbedingt vorgenommen werden, **bevor**  die Subkeys auf die Karte transferriert werden, da das Kommando ''keytocard''  die Schlüssel aus dem Schlüsselbund auf die Karte verschiebt. Im Secring auf der Platte bleiben nur Stubs.
-Dieser Schritt muss unbedingt vorgenommen werden, **bevor** die Subkeys auf die Karte transferriert werden, da das Kommando ''keytocard'' die Schlüssel aus dem Schlüsselbund auf die Karte verschiebt. Im Secring auf der Platte bleiben nur Stubs.
   * Der gesamte Keyring (Unterverzeichnis .gnupg) sollte nach der Prozedur auf ein verschlüsseltes Medium bzw. in einem Container gesichert werden.
-  * eine weitere Variante zum Backup von Keys ist [[http://schnouki.net/posts/2010/03/22/howto-backup-your-gnupg-secret-key-on-paper/|paperkey]] - ein Programm um ausdruckbare Daten zu erhalten und den key auf Papier auszudrucken.
+  * eine weitere Variante zum Backup von Keys ist [[http://schnouki.net/posts/2010/03/22/howto-backup-your-gnupg-secret-key-on-paper/|paperkey]]
+ - ein Programm um ausdruckbare Daten zu erhalten und den key auf Papier auszudrucken.
 ==== Schlüssel auf die Gnupg-Karte kopieren ====
+<WRAP center round important> Achtung: Bitte sicher stellen, dass vor dem Kopieren auf die Karte ein Backup mit allen Subkeys auf einem sicheren Medium erstellt wurde. Die folgenden Kommandos löschen die Subkeys aus dem Schlüsselbund und verschieben sie auf die Karte, von der sie zwar benutzt - aber nicht wieder hergestellt werden können. </WRAP>
 Im nächsten Schritt kopieren wir unsere Subkeys auf die gnupg-Karte. Hierfür benötigen wir das Passwort für den geheimen Hauptschlüssel und die Admin-Pin für die Karte.
-  gpg --expert --edit-key KEYIDXYZ
+<code>
+gpg --expert --edit-key KEYIDXYZ
+</code>
 Ein
-  gpg> toggle
+<code>
+gpg> toggle
+</code>
 schaltet in die Ansicht der privaten Schlüssel um.
@@ Zeile 204: / Zeile 227: @@
 Jetzt markieren wir der Reihe nach unsere Subkeys:
-  gpg> key 1
+<code>
+gpg> key 1
+</code>
 und kopieren sie auf die Karte:
-  gpg> keytocard
+<code>
+gpg> keytocard
+</code>
 Das wiederholen wir jetzt mit Schlüssel 2 u. 3. (Die Schlüssel müssen jeweils wieder entsperrt werden.)
@@ Zeile 216: / Zeile 243: @@
 Den öffentlichen Schlüssel (der nicht auf der Karte gespeichert ist) exportieren wir auf ein zugängliches Medium oder zu einem Keyserver. Wir brauchen diesen später.
-  gpg --export --armor KEYID > public_key.asc
+<code>
+gpg --export --armor KEYID> public_key.asc
+</code>
+==== Geheimen Schlüsselbund auf den Nutzer_innen Rechnern erstellen ====
+Auch wenn die geheimen Schlüssel nun auf der Karte sind - und nicht auf den jeweiligen Computern: dennoch muss ein Schlüsselbund mit den Verweisen auf die geheimen Schlüsseln auf die Karte erstellt werden.
+Während bei Smartcards, die von ''gnupg 1''  unterstützt werden ein einfacher Aufruf von
+<code>
+gpg --card-status
+</code>
+reicht, um Verweise auf die Karte zu generieren, muss bei ''gnupg 2''  folgender Aufruf erfolgen:
+<code>
+gpg2 --secret-keyring .gnupg/secring.gpg --card-status
+</code>
+in manchen Fällen funktioniert dies jedoch nur über den internen Befehl ''fetch''
+<code>
+$ gpg2 --card-edit
+...
+gpg/card> fetch
+...
+gpg: Total number processed: 1
+gpg:               imported: 1 (RSA: 1)
+$ gpg2 --card-status
+...
+</code>
+<WRAP center round tip 60%> Übrigens bei einer Erweiterung des öffentlichen Schlüssels mit neuen Schlüsseln, deren neue geheime Gegenstücke auf einer neuen Karte sind, müssen erst alle Verweise auf die alte Karte gelöscht werden. </WRAP>
+==== Karte wechseln ====
+Beim Ersetzen einer Karte muss folgendes beachtet werden:
+  - Die Keys müssen analog der Anleitung auf die neue Karte kopiert werden
+<del>  - der Verweis auf den privaten Schlüssel (also nur der Rest des privaten Schlüssels) muss auf den Rechnern, auf denen die Karte zum Einsatz kommt gelöscht werden. Ein ''gpg –delete-secret-keys KEYID''  erledigt das. **Sicher stellen, dass es der Schlüsselbund mit den Verweisen ist, der bearbeitet nicht - und nicht z.B. der mit den Originalschlüsseln**.</del>
+  - seit [[https://www.gnupg.org/faq/whats-new-in-2.1.html|gnpg2.1]] werden die secret Keys nicht mehr in secring.pgp gespeichert - sondern unter ''.gnupg/private-keys-v1.d/''
+  - Die zu den privaten Keys der Karte passenden Verweise müssen aus ''.gnupg/private-keys-v1.d/'' gelöscht werden.
+  - Danach müssen die Verweise auf die neue Karte wieder erstellt werden: ''gpg2 –secret-keyring .gnupg/secring.gpg –card-status''
+**Anzeigen der zur gnupg-Karte passenden Dateien unter ''.gnupg/private-keys-v1.d/'':**
+Das ist hier von Werner beschrieben: https://lists.gnupg.org/pipermail/gnupg-users/2016-April/055766.html
+  gpg --with-keygrip -k KEYID
+Die ausgegebenen Keygrips beziehen sich auf die Dateien unter: ''.gnupg/private-keys-v1.d/''
+  rm ''.gnupg/private-keys-v1.d/KEYGRIP.key''
+**Achtung: immer Backup des .gnupg-Verzeichnisses machen, damit nicht aus Versehen andere secret Keys gelöscht werden.**
+===== Stolperstellen =====
+gnupg sollte aus [[https://wiki.gnupg.org/GnomeKeyring|diversen Gründen]] nicht mit dem gnome keyring genutzt werden. Dazu sollten zum einen die Autostart-Einträge der Desktop-Umgebung angepasst werden:
+<code>
+mv /etc/xdg/autostart/gnome-keyring-gpg.desktop /etc/xdg/autostart/gnome-keyring-gpg.desktop.inactive
+</code>
+beim Aufruf von
+<code>
+gpg2 --card-status
+</code>
+gibts ggf. Beschwerden:
+<code>
+gpg: selecting openpgp failed: Nicht unterstütztes Zertifikat
+gpg: OpenPGP Karte ist nicht vorhanden: Nicht unterstütztes Zertifikat
+</code>
+Grund: Die Umgebungsvariable GPG_AGENT_INFO ist gesetzt. Erst ab Version 2.1 ignoriert gpg2 diese. Ein
+<code>
+unset GPG_AGENT_INFO
+</code>
+verschafft Linderung und sollte ggf in den Startscripten untergebracht werden.
+<WRAP center round tip 60%> Update für Debian Stretch:
+Seit Debian Stretch wird der gpg-agent vom systemd in der user-Session gestartet. Das deaktivieren des gnome-keyring-daemons sollte hier nicht mehr nötig sein. </WRAP>
 ===== Erfahrungen mit Kartenlesegeräten =====
@@ Zeile 222: / Zeile 336: @@
 Übersicht über unterstützte Kartenlesegeräte:
-http://pcsclite.alioth.debian.org/ccid/supported.html
+[[http://pcsclite.alioth.debian.org/ccid/supported.html|http://pcsclite.alioth.debian.org/ccid/supported.html]]
 Bei der Wahl eines Kartenlesegerätes [[http://ludovicrousseau.blogspot.de/2011/05/extended-apdu-status-per-reader.html|sollte eines mit der Unterstützung]] sogenannter [[http://de.wikipedia.org/wiki/Application_Protocol_Data_Unit|"extended APDU"]] gewählt werden.
 Ohne "extended APDU" Unterstützung [[https://bugs.g10code.com/gnupg/issue1105|sind Schlüsselgrößen ab 2048 Bit nicht möglich]].
+==== Vollständig unterstützte Kartenleser ====
 **[[http://pcsclite.alioth.debian.org/ccid/supported.html#0x08E60x3438|gemalto usb shell token v2]]**
@@ Zeile 233: / Zeile 349: @@
   * funktioniert out of the box mit dem pcscd
+**[[http://pcsclite.alioth.debian.org/ccid/supported.html#0x046A0x003E|http://pcsclite.alioth.debian.org/ccid/supported.html#0x046A0x003E]]**
+Ein USB-Kartenleser mit Pinpad
+  * funktioniert out of the bos mit dem pcscd
+==== Nicht oder nicht vollständig unterstützte Kartenleser ====
+**[[https://www.reiner-sct.com/support/support-anfrage/?product=77304824&productGroup=77304735#choice3|ReinerSCT Secoder]]**
+Für diesen Kartenleser sind zusätzliche Treiber nötig, die sich in den folgenden Debian-Paketen finden:
+<code>
+apt-get install fxcyberjack libifd-cyberjack6
+</code>
+bzw. für Stretch:
+<code>
+apt-get install libifd-cyberjack6
+</code>
+Allerdings scheint trotzdem das Pinpad nicht unterstützt zu werden: [[https://blogs.fsfe.org/jzarl/2013/08/20/card-reader-reinersct-cyberjack-pinpad/|https://blogs.fsfe.org/jzarl/2013/08/20/card-reader-reinersct-cyberjack-pinpad/]]
 **[[http://pcsclite.alioth.debian.org/ccid/shouldwork.html#0x076B0x6622|Omnikey CardMan 6121]]**
@@ Zeile 238: / Zeile 378: @@
 Ein USB-Kartenleser in USB-Stick Format ohne Keypad
-Lt. https://www.gnupg.org/howtos/card-howto/en/ch02s02.html sollte dieser Cardreader von der gnupg-internen libccid untersützt werden. Allerdings funktioniert das nur aufgrund fehlender [[http://pcsclite.alioth.debian.org/ccid/shouldwork.html#0x076B0x6622| Unterstützung von extended APDU]] nur mit Schlüsseln < 2048 Bit. Bei Schlüsseln ab 2048 Bit wird ein keytocard mit folgendem Fehler beendet:
+Lt. [[https://www.gnupg.org/howtos/card-howto/en/ch02s02.html|https://www.gnupg.org/howtos/card-howto/en/ch02s02.html]] sollte dieser Cardreader von der gnupg-internen libccid untersützt werden. Allerdings funktioniert das nur aufgrund fehlender [[http://pcsclite.alioth.debian.org/ccid/shouldwork.html#0x076B0x6622| Unterstützung von extended APDU]] nur mit Schlüsseln < 2048 Bit. Bei Schlüsseln ab 2048 Bit wird ein keytocard mit folgendem Fehler beendet:
 <code>
@@ Zeile 257: / Zeile 397: @@
 </code>
-Gleiche Ursache: Extended APDU sind nicht unterstützt.
+Gleiche Ursache: Extended APDU sind nicht unterstützt. Das Pinpad wird wohl auch nicht unterstützt.
+\\