Einen Yubikey mit Enigmail/Thunderbird für GnuPG einrichten

Bild eines Yubikey Neo

Achtung, diese Anleitung gilt nur bis Thunderbird kleiner als Version 78.0.0 denn für aktuellere Versionen ist Enigmail nicht mehr verfügbar. Ich werde ein Update nachreichen wenn das jetzt eingebaute OpenPGP einen fortgeschrittenen Eindruck macht was derzeit nicht der Fall ist.

GNU Privacy Guard (GnuPG) ist ein Kryptographiesystem was zum Verschlüsseln, Entschlüsseln und der Erzeugung und Verifizierung von Signaturen von Daten dient. Das Open-Source-Emailprogramm Thunderbird bietet mit der Erweiterung Enigmail eine gute Grundlage um sowohl den Yubikey leicht einzurichten als auch für den späteren Gebrauch der Smartcard als Kryptografiesystem für Email.

Zunächst einmal muss Enigmail installiert werden. In Thunderbird kann man unter Extras → Addons nach Addons suchen und installieren. Nachdem Thunderbird mit aktiven Enigmail gestartet ist wird der Yubikey in einen freien USB-Port gesteckt. In der Konsole kann man dann überprüfen ob der Yubikey richtig erkannt wurde:

$ gpg --card-status
Reader ...........: 1050:0116:X:0
Application ID ...: D2760001240102000006073265510000
Version ..........: 2.0
Manufacturer .....: Yubico
Serial number ....: 06353846
Name of cardholder: [not set]
Language prefs ...: [not set]
Sex ..............: unspecified
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 3 3
Signature counter : 0
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

Weiterlesen

Authentifizierung über ssh mit einem Yubikey

Bild eines Yubikey Neo

Als stolzer Besitzer eines Yubikey Neo mit vollständig eingerichteten gpg-Schlüsseln für die Email-Verschlüsselung und -signierung wollte ich den Key auch noch für die Authentifizierung von meinen root-Accounts nutzen. Bisher hatte ich den root-Login verboten und mich immer über su – zu root gemacht wenn ich es brauchte. Leider taugt dieses Verfahren bereits bei scp nicht mehr. Im Internet findet man dazu einen Haufen teils recht komplizierte Anleitungen – kryptographische Verfahren haben leider die Neigung selber recht kryptisch zu werden. Ich suchte jedoch nach einem einfachen und wenig fehlerträchtigen Weg damit die Chance des eigenen Aussperrens recht minimal bleibt. Nun gibt es die Public-Key-Authentifizierung und dazu muss man den private Key immer parat haben – im lokalen Verzeichnis ~/.ssh/ oder auf einem USB-Stick. Wenn man jedoch sowieso einen Yubikey besitzt dann bietet sich dieser jedoch an um diese Aufgabe auch noch zu übernehmen.

Weiterlesen

kais-universum.de