Raspberry Pi | Nextcloud | LaTeX | Linux | macOS | openmediavault | Synology | YubiKey | Docker | Ansible | OpenWRT
Eine Anmeldung an einem entfernten Server mit SSH ist im Linux-Umfeld zur Administration keine große Sache und schnell eingerichtet. Als Besitzer eines YubiKeys kann man das alles noch ein wenig effizienter und eleganter lösen.
Ein Windows-System ist dafür no anzupassen. Im Standard kann das Betriebssystem die Daten des YubiKeys noch nicht auslesen und für die Anmeldung verwenden.
Die Anmeldung an einem Linux-Server ist mit einem YubiKey ohne die Eingabe eines Passworts möglich. Die Administration wird damit erheblich erleichtert und die Sicherheit erhöht.
In diesem Beitrag werden die erstellen Sub Keys auf den YubiKey exportiert, direkt aus der virtuellen Ubuntu-Umgebung heraus. Dadurch entfällt das lästige hin- und herkopieren irgendwelcher Dateien und das Installieren irgendwelcher Programme auf anderen Geräten.
In diesem Beitrag möchte ich nur ein paar hilfreiche Befehle aufführen, um die Verwaltung mit Schlüsselpaare ein wenig zu vereinfachen.
Das Passwort eines Master Keys ebenso die Gültigkeit von Haupt- und Unterschlüsseln lässt sich sehr einfach und schnell anpassen.
Die Schlüsselpaare sind erstellt und im Schlüsselbund in der virtuellen Box vorhanden. Nun sind noch ein paar Kleinigkeiten,
vorzunehmen.
Ein Revoke Zertifikat benötigt ihr, um einen über das Schlüsselnetzwerk veröffentlichen Schlüssel zu widerrufen, da eine Löschung von einmal veröffentlichen Schlüssel nicht nicht mehr möglich ist.
Im ersten Schritt erstellen wir das Revoke Zertifikat zum „zurückziehen“ der Schlüssel von öffentlichen Schlüsselservern.
Im GPG-Manual steht dazu
„–gen-revoke – Erzeugt ein Widerrufszertifikat für den gesamten Schlüssel. Um einen Unterschlüssel oder eine Signatur zu widerrufen, verwenden Sie den Befehl –edit.“
Quelle: https://www.gnupg.org/gph/de/manual/r1023.html
gpg --output EE223DBF5644229EFABE52C55C32B7A2290F8AE4.rev --gen-revoke EE223DBF5644229EFABE52C55C32B7A2290F8AE4
sec rsa4096/5C32B7A2290F8AE4 2020-12-12 test-benutzer <test-benutzer@testlauf.de>
Create a revocation certificate for this key? (y/N) y
Please select the reason for the revocation:
0 = No reason specified
1 = Key has been compromised
2 = Key is superseded
3 = Key is no longer used
Q = Cancel
(Probably you want to select 1 here)
Your decision?
Enter an optional description; end it with an empty line:
>
Reason for revocation: Key has been compromised
(No description given)
Is this okay? (y/N) y
ASCII armoured output forced.
Revocation certificate created.
Please move it to a medium which you can hide away; if Mallory gets
access to this certificate he can use it to make your key unusable.
It is smart to print this certificate and store it away, just in case
your media become unreadable. But have some caution: The print system of
your machine might store the data and make it available to others!
dev@dev-VirtualBox:~$Die Ausgabe in deutscher Sprache am Ende lautet übersetzt wie folgt und sollte zwingend befolgt werden.
„Bitte speichern Sie es auf einem Medium, welches Sie wegschließen können; falls Mallory (ein Angreifer) Zugang zu diesem Zertifikat erhält, kann er Ihren Schlüssel unbrauchbar machen. Es wäre klug, dieses Widerrufszertifikat auch auszudrucken und sicher aufzubewahren, falls das ursprüngliche Medium nicht mehr lesbar ist. Aber Obacht: Das
Drucksystem kann unter Umständen anderen Nutzern eine Kopie zugänglich machen.“
Das Revoke Zertifikat wird in eine neu Datei in euer Home-Verzeichnis geschrieben.
Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕ ausgeben.
bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj
Bei diesem Export handelt es sich um den privaten Schlüssel. Behandelt die exportierte Datei wie das Revoke Zertifikat!
gpg --export-secret-keys --armor EE223DBF5644229EFABE52C55C32B7A2290F8AE4 > EE223DBF5644229EFABE52C55C32B7A2290F8AE4.priv.ascAuch mit diesem Befehl wird eine neue Datei in eurem Home-Verzeichnis erstellt.
Bei diesem Export handelt es sich um den privaten Schlüssel. Behandelt die exportierte Datei wie das Revoke Zertifikat!
gpg --export-secret-subkeys --armor EE223DBF5644229EFABE52C55C32B7A2290F8AE4 > EE223DBF5644229EFABE52C55C32B7A2290F8AE4.sub_priv.ascEbenfalls taucht nach dem Ausführen des Befehls eine neue Datei im Home-Verzeichnis eures Benutzers auf.
Die drei Dateien solltet ihr zwingend an einem sehr sicheren Ort aufbewahren. Derjenige der im Besitz der Dateien ist, kann sonst eure Schlüssel kompromittieren.
Auflistung in der Konsole
ls -la… oder grafisch.
Die ganzen Schlüssel bringen euch nichts, wenn die Gegenseite nicht im Besitz eures öffentlichen Schlüssels ist. Diesen könnt ihr beliebig teilen und weitergeben.
Exportieren lässt er sich ganz einfach mit dem Befehl.
gpg --export-ssh-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4 > EE223DBF5644229EFABE52C55C32B7A2290F8AE4.pup.sshDer öffentliche Schüssel landet so auch im Home-Verzeichnis eures Benutzers.
Im nächsten Beitrag stelle ich noch einige hilfreiche Befehle für das Management der Schlüsselpaare vor
➡ YubiKey 08 – Hilfreiche GPG-Befehle zur Verwaltung von Schlüsselpaaren
Hier geht es zur ➡ YubiKey Themenseite, dort findest du noch mehr Beiträge rund um den YubiKey.
Die virtuelle Umgebung mit einem aktuellen Ubuntu ist fertig. Die wichtigsten Voraussetzungen sind erfüllt, der am Host angeschlossene YubiKey wird an das Gast-System durchgereicht und dort als Smart Card erkannt.
Die Erstellung eines OpenPGP-Schlüsselpaares ist eigentlich recht schnell erledigt, wenn das Setup stimmt. Eine virtuelle Umgebung hilft!
Bevor man aber loslegt sollte man sich ein paar Gedanken, wie man sein Schlüsselpaar erzeugen möchte.