Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
public:gnupg:luks_gnupg_card [2015/03/31 12:33] jankow@datenkollektiv.netpublic:gnupg:luks_gnupg_card [2019/06/14 17:31] (aktuell) jankow@datenkollektiv.net
Zeile 1: Zeile 1:
 ====== Luks mit Gnupg-Card ====== ====== Luks mit Gnupg-Card ======
 +
 +<WRAP center round info 60%>
 +**UPDATE**
 +
 +Für das aktuelle Debian Stretch mit gnupg2 gibt es eine aktualisierte Anleitung: [[public:gnupg:luks_gnupg_card_stretch|Luks mit Gnupg-Card unter Debian Stretch]]
 +</WRAP>
  
  
Zeile 20: Zeile 26:
   * Funktionierendes [[gnupg-card-howto|Setup der Gnupg Card]]   * Funktionierendes [[gnupg-card-howto|Setup der Gnupg Card]]
  
 +**Debian Jessie**:
 +
 +Das Vorgehen ist auch für Debian Jessie getestet. Damit es funktioniert muss in der initramdisk das Verzeichnis /var/run erstellt werden, weil der pcscd nicht mehr startet, wenn er kein PID schreiben kann.
 ===== Ansatz ===== ===== Ansatz =====
  
Zeile 51: Zeile 60:
  
   mkdir -m 700 /etc/keys   mkdir -m 700 /etc/keys
-  dd if=/dev/random bs=1 count=256 | gpg -o /etc/keys/cryptkey.gpg -r Gnupg-ID -ec+  dd if=/dev/random bs=1 count=256 | gpg -e -o /etc/keys/cryptkey.gpg -r Gnupg-ID -ec
   cd /root   cd /root
   mkfifo -m 700 keyfifo   mkfifo -m 700 keyfifo
Zeile 106: Zeile 115:
  
 ==== Für Cardreader ohne Pinpad  ==== ==== Für Cardreader ohne Pinpad  ====
 +
 +<WRAP center round important 60%>
 +Unter Stretch funktionieren die folgenden Skripte für Cardreader ohne Pinpad nicht mehr. Ein funktionierender Ansatz ist hier beschrieben: https://wiki.majic.rs/Openpgp/protecting_luks_decryption_key_in_debian_jessie_us/
 +</WRAP>
  
  
Zeile 114: Zeile 127:
 # quick hack for starting pcscd # quick hack for starting pcscd
 # nur für Kartenleser benötigkt, die nicht von dem gnupg-internen ccid unterstützt werden # nur für Kartenleser benötigkt, die nicht von dem gnupg-internen ccid unterstützt werden
 +mkdir -p /var/run
 pcscd & pcscd &
  
Zeile 250: Zeile 264:
 Wir können diesen Umstand ausnutzen, um auch Kartenleser ohne Pinpad zu nutzen. Wenn der Kartenleser erst eingesteckt wird, wenn das Skript sich schon in der Schleife mit "askpass" befindet, sollte es auch mit der Karte und der Eingabe der PIN über die Tastatur funktionieren. Wir können diesen Umstand ausnutzen, um auch Kartenleser ohne Pinpad zu nutzen. Wenn der Kartenleser erst eingesteckt wird, wenn das Skript sich schon in der Schleife mit "askpass" befindet, sollte es auch mit der Karte und der Eingabe der PIN über die Tastatur funktionieren.
  
-<file /lib/cryptsetup/scripts/decrypt_gnupg_sc>+<file bash /lib/cryptsetup/scripts/decrypt_gnupg_sc>
 #!/bin/sh #!/bin/sh
  
 # quick hack for starting pcscd # quick hack for starting pcscd
 +mkdir -p /var/run
 pcscd & pcscd &