PGP/HardwaresecurityToken: Unterschied zwischen den Versionen
W01f (Diskussion | Beiträge) K (Links to bitcoin wallets, features mentioned) |
W01f (Diskussion | Beiträge) K (nur mal notieren) |
||
Zeile 24: | Zeile 24: | ||
* [http://wiki.datenkollektiv.net/public/gnupg/gnupg-card-howto GnuPG-Card Anleitung] | * [http://wiki.datenkollektiv.net/public/gnupg/gnupg-card-howto GnuPG-Card Anleitung] | ||
* [http://wiki.datenkollektiv.net/public/gnupg/gnupg-card-usage Nutzung der Gnupg-Card] | * [http://wiki.datenkollektiv.net/public/gnupg/gnupg-card-usage Nutzung der Gnupg-Card] | ||
=== Tests === | |||
Bitte schreibt auf, was euch interessiert, damit man sich das konkret ansehen kann. | |||
=== 2FA / U2F === | |||
==== Yubikey ==== | |||
vv01f hat einen Yubikey von 2011 (Beschaffung über Mt. Gox), der seit finalem Crash der Börse für andere Dienste umkonfigiert (Yubico OTP auf einem Slot und je nachdem was gerade so benötigt wird auf dem anderen statische oder CR-OTP) ist. | |||
Das Gerät funktioniert von Anbeginn einwandfrei. Ist sehr robust – der Transport am Schlüsselbund hat keine Schäden verursacht. | |||
Zur Konfiguration bietet [https://www.yubico.com/support/knowledge-base/categories/articles/yubikey-personalization-tools/ Yubico] entsprechende [https://github.com/Yubico/ Software] an. Die lässt sich leicht selbst kompilieren und hat eine brauchbare GUI (Qt) sowie ausreichend Dokumentation. Die Hersteller-Codes für Vendor-locked Zubikeys kann man bruten oder für ältere als Liste im Netz finden. Es zählt also der Besitz. Privatekeys muss man als Backup bei erstellung wegspeichern, die lassen sich sonst nicht mehr auslesen – das ist ja den Sinn hinter dem Gerät. | |||
Bei Verlust wäre die Eskalation den Service darüber zu informieren. Habe ich nicht getestet. | |||
=== OpenPGP SC === | |||
* Keygen auf der Karte (meist JavaCard) | |||
* Steuerung mit GnuPG | |||
* Import von externen Keys auf SC | |||
* Nutzung am Smartphone (hier liegt ein Android mit NFC vor): Entschlüsseln, Verschlüsseln, Signieren, Verifizieren | |||
** K9-PEP | |||
** OpenKeychain | |||
=== Bitcoin Hardware Wallets === | |||
==== Trezor ==== | |||
vv01f besitzt einen [https://bitcointrezor.com/ Trezor], der aber eher unhandlich ist. | |||
Für den Betrieb wird ein USB Kabel benötigt. Die Software läuft im Browser mit JavaScript. | |||
Wurde als Cold-Storage verwendet und von verschlüsselten Paperwallets plus BIP39 abgelöst. |
Version vom 5. Oktober 2016, 11:36 Uhr
Mögliche Implementationen für Email Verschlüsselung etc. mit Hardware/Token. Teilweise haben die Produkte weitere Funktionen wie 2-Faktor-Authentifizierung oder Bitcoin Wallets.
- Bekannte Produkte
- Yubikey (keychain proof, NFC option, RSA u. ECC support, proprietary since Version 4)
- Nitrokey (clunky, RSA only, Sorage Feature, endorses OpenSource)
- fidesmo (NFC option, Bitcoin Hardware Wallet – s.a. 1,2)
- OpenPGP SmartCard, bzw. Kernelconcept (breakout SC available, RSA only)
- SIGILANCE (SC, NFC option, RSA 2048 only)
- Unterstützende Software
- *nix: GnuPG
- Android: K-9 Mail, OpenKeychain, PEP
- Windows: GPG4Win, PEP (auch m. Outlook)
- Konsortien
- fido (Schwerpunkt 2FA)
- Anleitungen
Tests
Bitte schreibt auf, was euch interessiert, damit man sich das konkret ansehen kann.
2FA / U2F
Yubikey
vv01f hat einen Yubikey von 2011 (Beschaffung über Mt. Gox), der seit finalem Crash der Börse für andere Dienste umkonfigiert (Yubico OTP auf einem Slot und je nachdem was gerade so benötigt wird auf dem anderen statische oder CR-OTP) ist. Das Gerät funktioniert von Anbeginn einwandfrei. Ist sehr robust – der Transport am Schlüsselbund hat keine Schäden verursacht.
Zur Konfiguration bietet Yubico entsprechende Software an. Die lässt sich leicht selbst kompilieren und hat eine brauchbare GUI (Qt) sowie ausreichend Dokumentation. Die Hersteller-Codes für Vendor-locked Zubikeys kann man bruten oder für ältere als Liste im Netz finden. Es zählt also der Besitz. Privatekeys muss man als Backup bei erstellung wegspeichern, die lassen sich sonst nicht mehr auslesen – das ist ja den Sinn hinter dem Gerät. Bei Verlust wäre die Eskalation den Service darüber zu informieren. Habe ich nicht getestet.
OpenPGP SC
- Keygen auf der Karte (meist JavaCard)
- Steuerung mit GnuPG
- Import von externen Keys auf SC
- Nutzung am Smartphone (hier liegt ein Android mit NFC vor): Entschlüsseln, Verschlüsseln, Signieren, Verifizieren
- K9-PEP
- OpenKeychain
Bitcoin Hardware Wallets
Trezor
vv01f besitzt einen Trezor, der aber eher unhandlich ist. Für den Betrieb wird ein USB Kabel benötigt. Die Software läuft im Browser mit JavaScript. Wurde als Cold-Storage verwendet und von verschlüsselten Paperwallets plus BIP39 abgelöst.