PGP/HardwaresecurityToken

Aus C3D2
Wechseln zu: Navigation, Suche

Private Schlüssel auf dem Rechner sind keine gute Idee. Zu viel kann passieren. Nicht nur Viren und HAcker sind eine Gefahr, auch der einfache Festplatten-Crash kompliziert das ganze. Oder der Computer wird von "Anderen" (z.B. Arbeitgeber, einem Computer-Service) gewartet…

Mögliche Implementationen für Email Verschlüsselung etc. mit Hardware/Token. Teilweise haben die Produkte weitere Funktionen wie 2-Faktor-Authentifizierung oder Bitcoin Wallets.

Bekannte Produkte
  • Yubikey (keychain proof, OTP, U2F, NFC option, RSA u. ECC support, proprietary since Version 4)
  • Nitrokey (clunky, RSA only, OTP, no U2F, Sorage Feature, endorses OpenSource)
  • fidesmo (NFC option, Bitcoin Hardware Wallet – s.a. 1,2)
  • OpenPGP SmartCard, bzw. Kernelconcept (breakout SC available, RSA only)
  • SIGILANCE (SC, NFC option, RSA 2048 only)
Unterstützende Software
  • *nix: GnuPG
  • Android: K-9 Mail, OpenKeychain, p≡p
  • Windows: GPG4Win, PEP (auch m. Outlook)
Konsortien
  • fido (Schwerpunkt 2FA)
Anleitungen

Tests

Bestellt wurden:

  • Nitrokey Pro
  • OpenPGP SC (SIM breakout) m. Gemalto K30
  • Yubikey NEO

Bitte schreibt auf, was euch interessiert, damit man sich das konkret ansehen kann.

2FA / U2F

Yubikey

vv01f hat einen Yubikey von 2011 (Beschaffung über Mt. Gox), der seit finalem Crash der Börse für andere Dienste umkonfigiert (Yubico OTP auf einem Slot und je nachdem was gerade so benötigt wird auf dem anderen statische oder CR-OTP) ist. Das Gerät funktioniert von Anbeginn einwandfrei. Ist sehr robust – der Transport am Schlüsselbund hat keine Schäden verursacht.

Zur Konfiguration bietet Yubico entsprechende Software an. Die lässt sich leicht selbst kompilieren und hat eine brauchbare GUI (Qt) sowie ausreichend Dokumentation. Die Hersteller-Codes für Vendor-locked Zubikeys kann man bruten oder für ältere als Liste im Netz finden. Es zählt also der Besitz. Privatekeys muss man als Backup bei erstellung wegspeichern, die lassen sich sonst nicht mehr auslesen – das ist ja den Sinn hinter dem Gerät. Bei Verlust wäre die Eskalation den Service darüber zu informieren. Habe ich nicht getestet.

OpenPGP SC

  • Keygen auf der Karte (meist JavaCard)
  • Steuerung mit GnuPG
  • Import von externen Keys auf SC
  • Nutzung am Smartphone (hier liegt ein Android mit NFC vor): Entschlüsseln, Verschlüsseln, Signieren, Verifizieren
    • K9-PEP
    • OpenKeychain

Bitcoin Hardware Wallets

Die Bitcoincard – also was Mycelium Anfangs mal angekündigt hat – ist noch lange keine Realität.

HW.1

vv01f hatte 2014 im CGHQ eine HW.1 von Ledger erhalten. Läuft mit JavaScript im Browser und unterstützt Altcoins wie Litecoin und Dodgecoin. Das Gerät wurde nach dem 31C3 vom Trezor abgelöst.

Trezor

vv01f besitzt seit dem 31C3 einen Trezor, der aber eher unhandlich ist. Für den Betrieb wird ein USB Kabel benötigt. Die Software läuft im Browser mit JavaScript. Der Preis ist recht happig und bei Verlust/Schaden muss ein Gerät gleicher Bauart beschafft werden. Es wurde als Cold-Storage verwendet und von verschlüsselten Paperwallets plus BIP39 abgelöst.