| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| yubikey4hk:funktionen:openpgp [2020-07-01 09:51] – ↷ Page moved from forum_2.0:yubikey4hk:funktionen:openpgp to yubikey4hk:funktionen:openpgp Maximilian Barger | yubikey4hk:funktionen:openpgp [2023-09-22 20:40] (current) – external edit 127.0.0.1 |
|---|
| ====== OpenPGP ====== | ====== OpenPGP ====== |
| Hier geht es um die generelle Schlüsselerstellung für den OpenPGP Dienst auf den YubiKeys. | Hier geht es um die generelle Schlüsselerstellung für den OpenPGP Dienst auf den YubiKeys. |
| Allgemeine Informationen sind auf der [[forum_2.0:yubikey4hk:yubikey_kurzbeschreibung#Funktionen|YubyKey Kurzbeschreibung]] Seite zu finden. | Allgemeine Informationen sind auf der [[yubikey4hk:yubikey_kurzbeschreibung#Funktionen|YubyKey Kurzbeschreibung]] Seite zu finden. |
| Wenn Yubico davon spricht "OpenPGP" als Funktionalität zu bieten, ist damit eine Implementierung der "OpenPGP Smart Card Application" Spezifikation gemeint. Also eine Spezifikation, wie genau man den OpenPGP Standard ([[https://tools.ietf.org/html/rfc4880|RFC4880]]) auf eine Smart Card (nach [[https://en.wikipedia.org/wiki/ISO/IEC_7816|ISO/IEC 7816]]) bekommt. In unserem Fall ist die Smart Card der YubiKey, der die Funktionalität als CCID zur Verfügung stellt. Die jeweils aktuellste Version der "OpenPGP Smart Card Application" gibt es auf der Seite von [[https://gnupg.org/ftp/specs/|GnuPG]]. Mit der derzeitigen Firmwareversion 5.2.4 implementiert der YubiKey Version [[https://gnupg.org/ftp/specs/OpenPGP-smart-card-application-3.4.0.pdf|3.4]]. <sup>[[#Quellen|[3]]]</sup> | Wenn Yubico davon spricht "OpenPGP" als Funktionalität zu bieten, ist damit eine Implementierung der "OpenPGP Smart Card Application" Spezifikation gemeint. Also eine Spezifikation, wie genau man den OpenPGP Standard ([[https://tools.ietf.org/html/rfc4880|RFC4880]]) auf eine Smart Card (nach [[https://en.wikipedia.org/wiki/ISO/IEC_7816|ISO/IEC 7816]]) bekommt. In unserem Fall ist die Smart Card der YubiKey, der die Funktionalität als CCID zur Verfügung stellt. Die jeweils aktuellste Version der "OpenPGP Smart Card Application" gibt es auf der Seite von [[https://gnupg.org/ftp/specs/|GnuPG]]. Mit der derzeitigen Firmwareversion 5.2.4 implementiert der YubiKey Version [[https://gnupg.org/ftp/specs/OpenPGP-smart-card-application-3.4.0.pdf|3.4]]. <sup>[[#Quellen|[3]]]</sup> |
| |
| Voraussetzung für die folgende Einrichtung: | Voraussetzung für die folgende Einrichtung: |
| |
| * Yubico Management Tools (Anleitung: [[forum_2.0:yubikey4hk:yubikey_verwaltung#Installation|YubiKey Verwaltung]]) | * Yubico Management Tools (Anleitung: [[yubikey4hk:yubikey_verwaltung#Installation|YubiKey Verwaltung]]) |
| * [[https://gnupg.org/software/index.html|GnuPG-Software]] (Linux) bzw. dessen Implementierung für Windows [[https://www.gpg4win.org/| Gpg4win]] bzw. eine andere GPG Implementierung eigener Wahl. | * [[https://gnupg.org/software/index.html|GnuPG-Software]] (Linux) bzw. dessen Implementierung für Windows [[https://www.gpg4win.org/| Gpg4win]] bzw. eine andere GPG Implementierung eigener Wahl. |
| ===== Schlüsselerzeugung ===== | ===== Schlüsselerzeugung ===== |
| * RSA 3072 | * RSA 3072 |
| * RSA 4096 | * RSA 4096 |
| Unterstützte Algorithmen (ECC):<sup>[[#Quellen|[3]]]</sup> Zusätzliche Erläuterung im Kapitel [[forum_2.0:yubikey4hk:funktionen:openpgp#sicherheitserwaegung|Sicherheitserwägung]] | Unterstützte Algorithmen (ECC):<sup>[[#Quellen|[3]]]</sup> Zusätzliche Erläuterung im Kapitel [[yubikey4hk:funktionen:openpgp#sicherheitserwaegung|Sicherheitserwägung]] |
| * <del>secp256r1 (NIST P-256)</del> laut NSA nicht mehr sicher. <sup>[[#Quellen|[8]]]</sup> | * <del>secp256r1 (NIST P-256)</del> laut NSA nicht mehr sicher. <sup>[[#Quellen|[8]]]</sup> |
| * <del>secp256k1</del> laut NSA nicht mehr sicher. <sup>[[#Quellen|[8]]]</sup> | * <del>secp256k1</del> laut NSA nicht mehr sicher. <sup>[[#Quellen|[8]]]</sup> |
| gpg --output ./revoke.asc --gen-revoke 13AFCE85 | gpg --output ./revoke.asc --gen-revoke 13AFCE85 |
| </code> | </code> |
| Weitere Informationen und die Anleitung zum Schlüssel widerrufen gibt es im Artikel [[forum_2.0:yubikey4hk:funktionen:openpgp:e-mail_verschluesselung#Schlüssel widerrufen|Schlüssel widerrufen]]. | Weitere Informationen und die Anleitung zum Schlüssel widerrufen gibt es im Artikel [[yubikey4hk:funktionen:openpgp:e-mail_verschluesselung#Schlüssel widerrufen|Schlüssel widerrufen]]. |
| ==== Backup ==== | ==== Backup ==== |
| Der Speicherort sollte offenkundig nicht irgendein (Cloud)System wie OwnCloud, welches vom Internet aus erreichbar ist, sein. Am Besten eignet sich dazu ein sogenannter "cold storage". Damit meint man ein Speichermedium, dass nur für den Zugriff und am Besten verschlüsselt aktiviert wird. Dazu eignen sich z.B. USB- Sticks, CD/DVDs, externe Festplatten oder Magnetbänder. Es spricht außerdem auch nichts dagegen den Schlüssel ausgedruckt auf Papier in einem Safe aufzubewahren. Ein Backup ist notwendig, weil wenn die Schlüssel einmal auf den YubiKey geladen wurden, kann man sie nicht mehr verschieben. | Der Speicherort sollte offenkundig nicht irgendein (Cloud)System wie OwnCloud, welches vom Internet aus erreichbar ist, sein. Am Besten eignet sich dazu ein sogenannter "cold storage". Damit meint man ein Speichermedium, dass nur für den Zugriff und am Besten verschlüsselt aktiviert wird. Dazu eignen sich z.B. USB- Sticks, CD/DVDs, externe Festplatten oder Magnetbänder. Es spricht außerdem auch nichts dagegen den Schlüssel ausgedruckt auf Papier in einem Safe aufzubewahren. Ein Backup ist notwendig, weil wenn die Schlüssel einmal auf den YubiKey geladen wurden, kann man sie nicht mehr verschieben. |
| ===== Einsatzszenarien ===== | ===== Einsatzszenarien ===== |
| |
| * [[forum_2.0:yubikey4hk:funktionen:openpgp:e-mail_verschluesselung|Email Verschlüsselung]]: Beispielanwendungen zur OpenPGP Email Verschlüsselung in Thunderbird und Enigmail | * [[yubikey4hk:funktionen:openpgp:e-mail_verschluesselung|Email Verschlüsselung]]: Beispielanwendungen zur OpenPGP Email Verschlüsselung in Thunderbird und Enigmail |
| * [[forum_2.0:yubikey4hk:funktionen:openpgp:ssh_authentifizierung|SSH-Public-Key-Authentication]]: Beispielanwendungen von OpenPGP zur Public-Key-Authentication für eine SSH Shell | * [[yubikey4hk:funktionen:openpgp:ssh_authentifizierung|SSH-Public-Key-Authentication]]: Beispielanwendungen von OpenPGP zur Public-Key-Authentication für eine SSH Shell |
| |
| ===== Sicherheitserwägung ===== | ===== Sicherheitserwägung ===== |
