In diesem Beitrag werden die erstellen Sub Keys auf den YubiKey exportiert, direkt aus der virtuellen Ubuntu-Umgebung heraus. Dadurch entfällt das lästige hin- und herkopieren irgendwelcher Dateien und das Installieren irgendwelcher Programme auf anderen Geräten.
Achtung, nicht jeder YubiKey ist dafür geeignet. Ich verwende jeweils einen YubiKey 5C NFC und einen YubiKey 5Ci, die diese Funktion unterstützen.
Keys auf YubiKey schreiben
Im letzten Schritt gilt es nun die Sub Keys auf den YubiKey zu schreiben.
Der Master Key verbleibt nach wie vor sicher verwahrt in der virtuellen Box und wird nicht auf den Hardwaretoken übertragen.
Schließt den YubiKey an eurem PC an und übergebt ihn an die virtuelle Box.
Nach der Eingabe des Befehls bekommt ihr die Details angezeigt
gpg --card-status
Funktioniert der Befehl nicht und ihr erhaltet eine Fehlermeldung, dann schaut euch diesen Beitrag an
In der Ausgabe seht ihr auch, dass auf dem YubiKey noch keine Keys hinterlegt worden sind.
Reader ...........:
Application ID ...:
Application type .: OpenPGP
Version ..........:
Manufacturer .....: Yubico
Serial number ....:
Name of cardholder: [not set]
Language prefs ...: [not set]
Salutation .......:
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: not forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 0 3
Signature counter : 0
KDF setting ......: off
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]
Gib mir gerne einen Kaffee ☕ aus!
Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕ ausgeben.
bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj
Bevor wir mit dem Export der Sub Keys auf den YubiKey beginnen, solltet ihr noch einen kurzen Blick auf die Zeile „PIN retry counter“ werfen.
Die Werte zeigen an, wie oft ihr euren YubiKey PIN falsch eingeben dürft, bevor er gesperrt wird.
In meinem Beitrag habe ich gezeigt, wie das mit dem „YubiKey Manager“ eingestellt wird.
➡ YubiKey 5C NFC – Erste Schritte – Installation und Setup
Auch auf der Konsole kann die Einstellung ganz einfach vorgenommen werden, ohne grafisches Tool.
gpg --card-edit
gpg/card> admin
Admin commands are allowed
gpg/card> passwd
gpg: OpenPGP card no. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx detected
1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit
Your selection?
Als erstes ändert ihr die Admin PIN (3), im zweiten Schritt dann noch die normale PIN (1).
Sind PIN (1) und PUK (= Admin PIN 3) für den YubiKey aktiviert, kann es mit dem Export der Schlüssel losgehen.
Beachtet auch hier, dass jeder Sub Key einzeln auf den YubiKey zu exportieren ist.
gpg --expert --edit-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4
Und los geht es mit dem Export des ersten Schlüssels. Dabei handelt es sich um den Sub Key für die Verschlüsselungsnutzbarkeit = encrypt capability (E).
gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Secret key is available.
sec rsa4096/5C32B7A2290F8AE4
created: 2020-12-12 expires: 2025-12-11 usage: C
trust: ultimate validity: ultimate
ssb rsa4096/AC3DF8B5D579D99A
created: 2020-12-12 expires: 2025-12-11 usage: E
ssb rsa4096/F2F84EBBFEFDC588
created: 2020-12-12 expires: 2025-12-11 usage: S
ssb rsa4096/F122ED392968B430
created: 2020-12-12 expires: 2025-12-11 usage: A
[ultimate] (1). test-benutzer <test-benutzer@testlauf.de>
gpg> key 1
sec rsa4096/5C32B7A2290F8AE4
created: 2020-12-12 expires: 2025-12-11 usage: C
trust: ultimate validity: ultimate
ssb* rsa4096/AC3DF8B5D579D99A
created: 2020-12-12 expires: 2025-12-11 usage: E
ssb rsa4096/F2F84EBBFEFDC588
created: 2020-12-12 expires: 2025-12-11 usage: S
ssb rsa4096/F122ED392968B430
created: 2020-12-12 expires: 2025-12-11 usage: A
[ultimate] (1). test-benutzer <test-benutzer@testlauf.de>
gpg> keytocard
Please select where to store the key:
(2) Encryption key
Your selection? 2
gpg> save
Die anderen beiden Sub Keys exportiert ihr so wie den Ersten auf den YubiKey.
Wenn ihr nun noch einmal
gpg --card-status
ausführt, solltet ihr das angezeigt bekommen.
Der YubiKey ist fertig und kann nun verwendet werden.
Im nächsten Beitrag wir der öffentliche Schlüssel auf einen Linux-Server übertragen, um sich mit einem YubiKey passwortlos anmelden zu können.
Gib mir gerne einen Kaffee ☕ aus!
Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕ ausgeben.
bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj
Hier geht es zur ➡ YubiKey Themenseite, dort findest du noch mehr Beiträge rund um den YubiKey.

ist absolut technik-begeistert und großer Fan von Linux und Open Source. Raspberry Pi Bastler der ersten Stunde und nach wie vor begeistert von dem kleinen Stück Hardware, auf dem er tolle Projekte umsetzt. Teilt hier seine Erfahrungen mit Nextcloud, Pi-hole, YubiKey, Synology und openmediavault und anderen spannenden IT-Themen. Nutzt Markdown und LaTeX zum Dokumentieren seiner Projekte und Gitea zum Versionieren. Sitzt vor einem 49“ Monitor, nutzt Windows und MacOS zum Arbeiten, Linux auf seinen Servern und virtuellen Maschinen und hört dabei Spotify und MP3s und Radio-Streams über seinen RadioPi.