YubiKey 09 – OpenPGP-Schlüssel auf den YubiKey exportieren

In diesem Beitrag werden die erstellen Sub Keys auf den YubiKey exportiert, direkt aus der virtuellen Ubuntu-Umgebung heraus. Dadurch entfällt das lästige hin- und her kopieren irgendwelcher Dateien und das Installieren irgendwelcher Programme auf anderen Geräten. Das virtuelle Betriebssystem wurde ja genau für diesen Zwecke, der Schlüsselverwaltung und -erstellung aufgesetzt.

Achtung, nicht jeder YubiKey ist dafür geeignet. Ich verwende jeweils einen YubiKey 5C NFC und einen YubiKey 5Ci, die diese Funktion unterstützen.

Keys auf YubiKey schreiben

Im letzten Schritt gilt es nun die Sub Keys auf den YubiKey zu schreiben. Der Master Key verbleibt nach wie vor sicher verwahrt in der virtuellen Box und wird nicht auf den Hardwaretoken übertragen.

Schließt dazu den YubiKey an eurem PC an und übergebt ihn an die virtuelle Box.
Nach der Eingabe des Befehlt bekommt ihr die Details angezeigt

  gpg --card-status

Funktioniert der Befehl nicht und ihr erhaltet eine Fehlermeldung, dann schaut euch diesen Beitrag an
YubiKey 05 – YubiKey 05 – VirtualBox für die Erstellung des OpenPGP-Schlüsselpaars und zum Anschluss des YubiKeys vorbereiten

In der Ausgabe seht ihr auch, dass auf dem YubiKey noch keine Keys hinterlegt worden sind.

  Reader ...........:
  Application ID ...:
  Application type .: OpenPGP
  Version ..........:
  Manufacturer .....: Yubico
  Serial number ....:
  Name of cardholder: [not set]
  Language prefs ...: [not set]
  Salutation .......:
  URL of public key : [not set]
  Login data .......: [not set]
  Signature PIN ....: not forced
  Key attributes ...: rsa2048 rsa2048 rsa2048
  Max. PIN lengths .: 127 127 127
  PIN retry counter : 3 0 3
  Signature counter : 0
  KDF setting ......: off
  Signature key ....: [none]
  Encryption key....: [none]
  Authentication key: [none]
  General key info..: [none]

Yubico - YubiKey 5C NFC - Two Factor Authentication USB...
Angebot Yubico YubiKey 5Ci - Two Factor Authentication...

Bevor wir mit dem Export der Sub Keys auf den YubiKey beginnen, solltet ihr noch einen kurzen Blick auf die Zeile “PIN retry counter” werfen.
Die Werte zeigen an, wie oft ihr euren YubiKey PIN falsch eingeben dürft, bevor er gesperrt wird.
In meinem Beitrag habe ich gezeigt, wie das mit dem “YubiKey Manager” eingestellt wird.
YubiKey 5C NFC – Erste Schritte – Installation und Setup

Auch auf der Konsole kann die Einstellung ganz einfach vorgenommen werden, ohne grafischer Tool.

gpg --card-edit
gpg/card> admin
Admin commands are allowed

gpg/card> passwd
gpg: OpenPGP card no. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx detected

1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit

Your selection?

Als erstes ändert ihr die Admin PIN (3), im zweiten Schritt dann noch die normale PIN (1).

Sind PIN (1) und PUK (= Admin PIN 3) für den YubiKey aktiviert, kann es mit dem Export der Schlüssel losgehen.

Beachtet auch hier, dass jeder Sub Key einzeln auf den YubiKey zu exportieren ist.

gpg --expert --edit-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4

Und los geht es mit dem Export des ersten Schlüssels. Dabei handelt es sich um den Sub Key für die Verschlüsselungsnutzbarkeit = encrypt capability (E).

  gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
  This is free software: you are free to change and redistribute it.
  There is NO WARRANTY, to the extent permitted by law.

  Secret key is available.

  sec  rsa4096/5C32B7A2290F8AE4
       created: 2020-12-12  expires: 2025-12-11  usage: C
       trust: ultimate      validity: ultimate
  ssb  rsa4096/AC3DF8B5D579D99A
       created: 2020-12-12  expires: 2025-12-11  usage: E
  ssb  rsa4096/F2F84EBBFEFDC588
       created: 2020-12-12  expires: 2025-12-11  usage: S
  ssb  rsa4096/F122ED392968B430
       created: 2020-12-12  expires: 2025-12-11  usage: A
  [ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

gpg> key 1

sec  rsa4096/5C32B7A2290F8AE4
     created: 2020-12-12  expires: 2025-12-11  usage: C
     trust: ultimate      validity: ultimate
ssb* rsa4096/AC3DF8B5D579D99A
     created: 2020-12-12  expires: 2025-12-11  usage: E
ssb  rsa4096/F2F84EBBFEFDC588
     created: 2020-12-12  expires: 2025-12-11  usage: S
ssb  rsa4096/F122ED392968B430
     created: 2020-12-12  expires: 2025-12-11  usage: A
[ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

gpg> keytocard
Please select where to store the key:
   (2) Encryption key
Your selection? 2

gpg> save

Die anderen beiden Sub Keys exportiert ihr so wie den Ersten auf den YubiKey.

Damit habt ihr alle Keys auf den YubiKey übertragen.

Wenn ihr nun noch einmal

  gpg --card-status


ausführt, solltet ihr das angezeigt bekommen.

Der YubiKey ist fertig und kann nun verwendet werden.

Im nächsten Beitrag wir der öffentliche Schlüssel auf einen Linux-Server übertragen, um sich mit einem YubiKey passwortlos anmelden zu können.
YubiKey 09 – OpenPGP-Schlüssel auf den YubiKey exportieren

(**) Produktpreise und -verfügbarkeit sind zum angegebenen Datum / Uhrzeit korrekt und können sich ändern. Alle Preis- und Verfügbarkeitsinformationen auf https://www.amazon.de/ zum Zeitpunkt des Kaufs gelten für den Kauf dieses Produkts.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.