YubiKey 09 - OpenPGP-Schlüssel auf den YubiKey exportieren

In diesem Beitrag werden die erstellen Sub Keys auf den YubiKey exportiert, direkt aus der virtuellen Ubuntu-Umgebung heraus. Dadurch entfällt das lästige hin- und herkopieren irgendwelcher Dateien und das Installieren irgendwelcher Programme auf anderen Geräten.

Achtung, nicht jeder YubiKey ist dafür geeignet. Ich verwende jeweils einen YubiKey 5C NFC und einen YubiKey 5Ci, die diese Funktion unterstützen.

Keys auf YubiKey schreiben

Im letzten Schritt gilt es nun die Sub Keys auf den YubiKey zu schreiben.
Der Master Key verbleibt nach wie vor sicher verwahrt in der virtuellen Box und wird nicht auf den Hardwaretoken übertragen.

Schließt den YubiKey an eurem PC an und übergebt ihn an die virtuelle Box.
Nach der Eingabe des Befehls bekommt ihr die Details angezeigt

  gpg --card-status

Funktioniert der Befehl nicht und ihr erhaltet eine Fehlermeldung, dann schaut euch diesen Beitrag an

➡ YubiKey 05 – YubiKey 05 – VirtualBox für die Erstellung des OpenPGP-Schlüsselpaars und zum Anschluss des YubiKeys vorbereiten

In der Ausgabe seht ihr auch, dass auf dem YubiKey noch keine Keys hinterlegt worden sind.

  Reader ...........:
  Application ID ...:
  Application type .: OpenPGP
  Version ..........:
  Manufacturer .....: Yubico
  Serial number ....:
  Name of cardholder: [not set]
  Language prefs ...: [not set]
  Salutation .......:
  URL of public key : [not set]
  Login data .......: [not set]
  Signature PIN ....: not forced
  Key attributes ...: rsa2048 rsa2048 rsa2048
  Max. PIN lengths .: 127 127 127
  PIN retry counter : 3 0 3
  Signature counter : 0
  KDF setting ......: off
  Signature key ....: [none]
  Encryption key....: [none]
  Authentication key: [none]
  General key info..: [none]

Gib mir gerne einen Kaffee ☕ aus!

Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕ ausgeben.

Kaffee via Bitcoin

bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj

Bevor wir mit dem Export der Sub Keys auf den YubiKey beginnen, solltet ihr noch einen kurzen Blick auf die Zeile „PIN retry counter“ werfen.

Die Werte zeigen an, wie oft ihr euren YubiKey PIN falsch eingeben dürft, bevor er gesperrt wird.

In meinem Beitrag habe ich gezeigt, wie das mit dem „YubiKey Manager“ eingestellt wird.
➡ YubiKey 5C NFC – Erste Schritte – Installation und Setup

Auch auf der Konsole kann die Einstellung ganz einfach vorgenommen werden, ohne grafisches Tool.

gpg --card-edit
gpg/card> admin
Admin commands are allowed

gpg/card> passwd
gpg: OpenPGP card no. xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx detected

1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit

Your selection?

Als erstes ändert ihr die Admin PIN (3), im zweiten Schritt dann noch die normale PIN (1).

Sind PIN (1) und PUK (= Admin PIN 3) für den YubiKey aktiviert, kann es mit dem Export der Schlüssel losgehen.

Beachtet auch hier, dass jeder Sub Key einzeln auf den YubiKey zu exportieren ist.

gpg --expert --edit-key EE223DBF5644229EFABE52C55C32B7A2290F8AE4

Und los geht es mit dem Export des ersten Schlüssels. Dabei handelt es sich um den Sub Key für die Verschlüsselungsnutzbarkeit = encrypt capability (E).

  gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
  This is free software: you are free to change and redistribute it.
  There is NO WARRANTY, to the extent permitted by law.

  Secret key is available.

  sec  rsa4096/5C32B7A2290F8AE4
       created: 2020-12-12  expires: 2025-12-11  usage: C
       trust: ultimate      validity: ultimate
  ssb  rsa4096/AC3DF8B5D579D99A
       created: 2020-12-12  expires: 2025-12-11  usage: E
  ssb  rsa4096/F2F84EBBFEFDC588
       created: 2020-12-12  expires: 2025-12-11  usage: S
  ssb  rsa4096/F122ED392968B430
       created: 2020-12-12  expires: 2025-12-11  usage: A
  [ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

gpg> key 1

sec  rsa4096/5C32B7A2290F8AE4
     created: 2020-12-12  expires: 2025-12-11  usage: C
     trust: ultimate      validity: ultimate
ssb* rsa4096/AC3DF8B5D579D99A
     created: 2020-12-12  expires: 2025-12-11  usage: E
ssb  rsa4096/F2F84EBBFEFDC588
     created: 2020-12-12  expires: 2025-12-11  usage: S
ssb  rsa4096/F122ED392968B430
     created: 2020-12-12  expires: 2025-12-11  usage: A
[ultimate] (1). test-benutzer <test-benutzer@testlauf.de>

gpg> keytocard
Please select where to store the key:
   (2) Encryption key
Your selection? 2

gpg> save

Die anderen beiden Sub Keys exportiert ihr so wie den Ersten auf den YubiKey.

Wenn ihr nun noch einmal

  gpg --card-status

ausführt, solltet ihr das angezeigt bekommen.

Der YubiKey ist fertig und kann nun verwendet werden.

Im nächsten Beitrag wir der öffentliche Schlüssel auf einen Linux-Server übertragen, um sich mit einem YubiKey passwortlos anmelden zu können.

➡ YubiKey 10 – Öffentlichen GPG-Schlüssel auf Linux-Server übertragen und für passwortlose Anmeldung nutzen

YubiKey Artikel Serie

Die Liste enthält alle Artikel der YubiKey-Serie, die dir genau aufzeigen wie du deinen Hardwaretoken für die unterschiedlichsten Anwendungsgebiete konfigurieren kannst.

Hier geht es zur ➡ YubiKey Themenseite, dort findest du noch mehr Beiträge rund um den YubiKey.

Stefan

ist absolut technik-begeistert und großer Fan von Linux und Open Source. Raspberry Pi Bastler der ersten Stunde und nach wie vor begeistert von dem kleinen Stück Hardware, auf dem er tolle Projekte umsetzt. Teilt hier seine Erfahrungen mit Nextcloud, Pi-hole, YubiKey, Synology und openmadiavault und anderen spannenden IT-Themen. Nutzt Markdown und LaTeX zum Dokumentieren seiner Projekte und Gitea zum Versionieren. Sitzt vor einem 49“ Monitor, nutzt Windows und MacOS zum Arbeiten, Linux auf seinen Servern und virtuellen Maschinen und hört dabei Spotify und MP3s und Radio-Streams über seinen RadioPi.

Trinkt gerne fairen Kaffee und freut sich deshalb sehr über jede Spende.

• • bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj