Diederik de Haas schreef op do 15-06-2017 om 16:57 [+0200]: > On donderdag 15 juni 2017 13:57:51 CEST Patrick Kox wrote: > > Ik werk met een 4096 key op een OpenPGP smartcard en dat werkt > > perfect. > > Klinkt interessant ... en veilig :-) > Kan je er iets meer over vertellen? Natuurlijk, Ik gebruik mijn Fellowship of the Free Software Foundation of Europe membership card, maar dat is gewoon een gepersonaliseerde OpenPGP v2 card. maar de volgende werken ook: - OpenPGP card (zie https://www.g10code.com/p-card.html) te koop via Kernel concepts (https://www.floss-shop.de/index.php?cPath=1_26&sort=2a &language=en) je kunt hier ook kiezen voor een GSM-achtige sim met breakout, die kan je dan gebruiken met bijvoorbeeld de Gemalto Shell Token (USB-Stick) maar het dopje van de USB-stick zit er niet echt stevig op, dus ik denk dat je dit wel snel kwijt bent als je hem mee neemt). - Yubikey 4 (voor zover ik weet, werkt het niet met oudere versies van de Yubikey) - Yubikey Nano maar LET OP! dit werkt ENKEL met een GPG sleutel van MAX 2048 en niet met 4096 zoals de Yubikey 4 en de OpenPGP card. Verder is het niet zo heel moeilijk, ik kan bevestigen dat de oude Gemplus (nu Gemalto) USB cardreader goed werkt (GemPC USB_SL) en de ACS ACR38U hier in België populair voor de eID, maar hiervoor moet je de Middleware van de eID installeren. Of tenminste hun APT archive, voor de drivers voor de ACR38U (ik dacht dat deze standaard in de Debian repo's zaten, maar kan ze hier onder Stretch niet vinden, ik heb wel contrib en non-free niet in gebruikt, dus misschien zijn ze daar wel beschikbaar. Dan nu het instellen: 1. zorg dat "gnupg pcscd scdaemon" geïnstalleerd zijn. 2. Genereer de keys (op jouw PC, niet op de kaart, dit maakt het gemakkelijker om bijv. als backup de key op een 2de card of yubikey te zetten). 3. steek de card in de lezer en kijk of deze werkt met "gpg --card- status" 4. als dit werkt kun je met "gpg --card-edit" de card benaderen en bewerken, bijv. naam, url voor publieke sleutel, etc. 5. Voor bepaalde bewerkingen moet je in admin modus zijn, dus moet je eerst admin als commando ingeven om deze vrij te stellen. 6. Wat je nu vooral moet doen is "passwd" ingeven en jouw PIN en Admin PIN instellen (voor de gewone pin moet je minstens 6 tekens hebben en voor de Admin 8 dacht ik, maximum is 256). 7. als de kaart in order is sluit je met quit (exit werkt niet) en sla je op (let er bij het veranderen van de PIN op dat deze echt veranderd is, want dat wordt soms niet goed aangegeven). 8. maak een backup van de secret key ! 9. maak een ascii armor export van de public key en versprijd deze 10 open de key met "gpg --key-edit KEYID" 11 type "toggle" 12 type "keytocard" 13 Exporteer eerst optie 3 14 Exporteer dan optie 1 15 nu moet je de encryptie key selecteren met "key KEYID" 16 Exporteer deze nu ook met keytocard optie 2 17 klaar, "quit" als je bij quit save changes kiest dan wordt de key lokaal verwijderd (dus daarom in stap 8 de backup maken). Als laatste moet je de publieke sleutel importeren EN "gpg --card- status" uitvoeren, dit zal ervoor zorgen dat er op de card wordt gezocht naar de key, als je bijv. 2 kaarten gebruikt (ik heb bijv. een backup in een Gemamto USB-Stick) dan zal er naar deze kaart gevraagd worden ook al zit de 2de kaart in de reader (in GPA key wissen, importeren en gpg --card-status verhelpt dit, maar is omslachtig dus best steeds dezelfde card/yubikey gebruiken). Als alles werkt type je "ssh-add -L" en dit zou de key moeten weergeven die je in ~./ssh/autorized_keys moet zetten. als je nu SSH wil gebruiken naar de PC waarop de key in autorized_keys staat moet je enkel je PIN code ingeven. meer info hier : https://wiki.debian.org/Smartcards/OpenPGP -- ⢀⣴⠾⠻⢶⣦⠀ ⣾⠁⢠⠒⠀⣿⡁ Kind Regards | Met Vriendelijke Groeten ⢿⡄⠘⠷⠚⠋⠀ Patrick Kox ⠈⠳⣄⠀⠀ patrick.kox@proximus.be Digitaly signed with my FSFe Smartcard GPG Key ID: 4096R/4EDAC41C Fingerprint: F327 3448 6151 17C8 5BDE 045E 971A 98CA 4EDA C41C Discover the Debian Administrator's Handbook: → https://debian-handbook.info/get/Ontdek het Debian Beheerders Handboek: → https://debian-handbook.info/get/ Public key download : https://patrickkox.be/patrickkox.asc
Attachment:
signature.asc
Description: This is a digitally signed message part