In diesem Beitrag werden die erstellen Sub Keys auf den YubiKey exportiert, direkt aus der virtuellen Ubuntu-Umgebung heraus. Dadurch entfällt das lästige hin- und her kopieren irgendwelcher Dateien und das Installieren irgendwelcher Programme auf anderen Geräten. Das virtuelle Betriebssystem wurde ja genau für diesen Zwecke, der Schlüsselverwaltung und -erstellung aufgesetzt.
Achtung, nicht jeder YubiKey ist dafür geeignet. Ich verwende jeweils einen YubiKey 5C NFC und einen YubiKey 5Ci, die diese Funktion unterstützen.
Keys auf YubiKey schreiben
Im letzten Schritt gilt es nun die Sub Keys auf den YubiKey zu schreiben. Der Master Key verbleibt nach wie vor sicher verwahrt in der virtuellen Box und wird nicht auf den Hardwaretoken übertragen.
Schließt dazu den YubiKey an eurem PC an und übergebt ihn an die virtuelle Box.
Nach der Eingabe des Befehlt bekommt ihr die Details angezeigt
gpg --card-status
Funktioniert der Befehl nicht und ihr erhaltet eine Fehlermeldung, dann schaut euch diesen Beitrag an
➡ YubiKey 05 – YubiKey 05 – VirtualBox für die Erstellung des OpenPGP-Schlüsselpaars und zum Anschluss des YubiKeys vorbereiten
In der Ausgabe seht ihr auch, dass auf dem YubiKey noch keine Keys hinterlegt worden sind.
Reader ...........:
Application ID ...:
Application type .: OpenPGP
Version ..........:
Manufacturer .....: Yubico
Serial number ....:
Name of cardholder: [not set]
Language prefs ...: [not set]
Salutation .......:
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: not forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 0 3
Signature counter : 0
KDF setting ......: off
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]
Bevor wir mit dem Export der Sub Keys auf den YubiKey beginnen, solltet ihr noch einen kurzen Blick auf die Zeile “PIN retry counter” werfen.
Die Werte zeigen an, wie oft ihr euren YubiKey PIN falsch eingeben dürft, bevor er gesperrt wird.
In meinem Beitrag habe ich gezeigt, wie das mit dem “YubiKey Manager” eingestellt wird.
➡ YubiKey 5C NFC – Erste Schritte – Installation und Setup
Auch auf der Konsole kann die Einstellung ganz einfach vorgenommen werden, ohne grafischer Tool.
gpg --card-edit
gpg/card> admin
Admin commands are allowed
gpg/card> passwd
gpg: OpenPGP card no. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx detected
1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit
Your selection?
Als erstes ändert ihr die Admin PIN (3), im zweiten Schritt dann noch die normale PIN (1).
Sind PIN (1) und PUK (= Admin PIN 3) für den YubiKey aktiviert, kann es mit dem Export der Schlüssel losgehen.
Beachtet auch hier, dass jeder Sub Key einzeln auf den YubiKey zu exportieren ist.
gpg --expert --edit-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4
Und los geht es mit dem Export des ersten Schlüssels. Dabei handelt es sich um den Sub Key für die Verschlüsselungsnutzbarkeit = encrypt capability (E).
gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Secret key is available.
sec rsa4096/5C32B7A2290F8AE4
created: 2020-12-12 expires: 2025-12-11 usage: C
trust: ultimate validity: ultimate
ssb rsa4096/AC3DF8B5D579D99A
created: 2020-12-12 expires: 2025-12-11 usage: E
ssb rsa4096/F2F84EBBFEFDC588
created: 2020-12-12 expires: 2025-12-11 usage: S
ssb rsa4096/F122ED392968B430
created: 2020-12-12 expires: 2025-12-11 usage: A
[ultimate] (1). test-benutzer <test-benutzer@testlauf.de>
gpg> key 1
sec rsa4096/5C32B7A2290F8AE4
created: 2020-12-12 expires: 2025-12-11 usage: C
trust: ultimate validity: ultimate
ssb* rsa4096/AC3DF8B5D579D99A
created: 2020-12-12 expires: 2025-12-11 usage: E
ssb rsa4096/F2F84EBBFEFDC588
created: 2020-12-12 expires: 2025-12-11 usage: S
ssb rsa4096/F122ED392968B430
created: 2020-12-12 expires: 2025-12-11 usage: A
[ultimate] (1). test-benutzer <test-benutzer@testlauf.de>
gpg> keytocard
Please select where to store the key:
(2) Encryption key
Your selection? 2
gpg> save
Die anderen beiden Sub Keys exportiert ihr so wie den Ersten auf den YubiKey.
Damit habt ihr alle Keys auf den YubiKey übertragen.
Wenn ihr nun noch einmal
gpg --card-status
ausführt, solltet ihr das angezeigt bekommen.
Der YubiKey ist fertig und kann nun verwendet werden.
Im nächsten Beitrag wir der öffentliche Schlüssel auf einen Linux-Server übertragen, um sich mit einem YubiKey passwortlos anmelden zu können.
➡ YubiKey 09 – OpenPGP-Schlüssel auf den YubiKey exportieren
Seit Anfang des Jahrtausends absolut Linux-begeistert und Fan von Open Source. Raspberry Pi Bastler der ersten Stunde und nach wie vor begeistert von dem kleinen Stück Hardware, auf dem
er tolle Projekte umsetzt. Teilt hier seine Erfahrungen mit Nextcloud, Pi-hole, YubiKey und zu anderen spannenden IT-Themen. Nutzt
beruflich viel Excel. Sitzt vor einem riesen 49″ Monitor, nutzt Windows zum Arbeiten, Linux auf seinen Servern und virtuellen Maschinen und hört dabei Spotify und Musik über seinen RadioPi.
(**) Produktpreise und -verfügbarkeit sind zum angegebenen Datum / Uhrzeit korrekt und können sich ändern. Alle Preis- und Verfügbarkeitsinformationen auf https://www.amazon.de/ zum Zeitpunkt des Kaufs gelten für den Kauf dieses Produkts.