Anwendungen

GnuPG

 

Mozilla Thunderbird und Enigmail

Folgen Sie der Anleitung zur Einrichtung und Verwendung des Crypto Sticks unter Windows mit Mozilla Thunderbird und Enigmail.

Emailverschlüsselung mittels X.509 sollte mit dem PKCS#11 Treiber funktionieren (ungetestet).

 

Mozilla Firefox

Du musst den PKCS#11 Treiber installieren:

  1. Lade den PKCS#11 Treiber herunter und speichere ihn auf der lokalen Festplatte.
  2. Oeffne das Menue Bearbeiten -> Einstellungen -> Erweitert -> Verschluesselung -> Kryptographie-Module

  3. Druecken den Knopf "Laden". Gib "Crypto Stick" als Modulname ein und druecke "Durchsuchen" um die PKCS#11 Treiberdatei auszuwaehlen. Bestaetige und schliesse alle Dialoge.

Veraltet: Mittels Scute lässt sich (theoretisch) der Crypto Stick in Mozilla Firefox für die Zertifikatsanmeldung nutzen lassen. Leider ist Scute nicht sehr stabil und funktioniert daher nicht in jedem Fall. Basierend auf der offiziellen Dokumentation, ist hier eine aktualisierte Anleitung.

 

TrueCrypt

Mittels des PKCS#11 Treibers lässt sich TrueCrypt (getestet mit Version 7.0 unter Ubuntu 10.04) nutzen:

  1. Unter TrueCrypt im Menü 'Settings>Preferences>Security Token' die heruntergeladene Library angeben.

  2. Als Token muß man eine mit TrueCrypt zufällig generierte Schlüsseldatei (64 Byte groß, Name beliebig, unter 'Tools> Keyfile Generator') erstellen.

  3. Unter 'Tools > Manage Security Token Keyfiles' kann man nun nach PIN-Eingabe die generierte Schlüsseldatei als 'Private Data Object 3' auf den Crypto Stick importieren (Original natürlich sicher löschen!). Exportieren (vom Stick) kann man die Schlüsseldatei auch wieder, so daß sie auch ohne Crypto Stick Zugang zum Container gewährt (fragliches Sicherheitsrisiko).

  4. Jetzt kann man den Crypto Stick mit TrueCrypt nutzen. Beispiel: Container anlegen, statt Passwort einfach "Keyfile" wählen und das Token auswählen.

Sicherheitsaspekte: Laut TrueCrypt Handbuch ist ein 64-stelliges zufälliges Passwort völlig ausreichend. Die maximal verfügbaren 254 Bytes im Crypto Stick sind also mehr als ausreichend.

 

OpenSSH

Siehe hier und hier. Hinweis: Die Fellowship Smartcard ist funktional ähnlich zu dem Crypto Stick, so dass diese Anleitung auch auf den Crypto Stick zutrifft. Hier gibt es Informationen zu OpenSSH secure shell und X.509 v3 Zertifikaten.

 

PuTTY / KiTTY

  • Folgen Sie dieser Anleitung zur Nutzung von PuTTY unter Windows.

  • Ein kostenloses (aber proprietäres) angepasstes PuTTY, welches auch mit dem Crypto Stick funktioniert.

  • Eine kostenloses und offenes angepasstes PuTTY, welches aber ein PKCS#11 Modul benötigt. Daher funktioniert es derzeit noch nicht mit dem Crypto Stick.

  • KiTTY ist eine Weiterentwicklung von PuTTY, da dieses nicht mehr weiter entwickelt wird. In der neusten Betaversion enthält KiTTY Unterstützung für Smartkarten mittels dieser PKCS#11-Schnittstelle. KiTTY sollte mittels des PKCS#11 Treibers mit dem Crypto Stick funktionieren (ungetestet).

 

Aloaha

Das Unternehmen Aloaha entwickelt und vertreibt Software zur Nutzung und Integration von Chipkarten - vornehmlich für Unternehmen. Seit Neustem wird auch der Crypto Stick in allen Produkten unterstützt. Dazu gehören:

  • eine Middleware die die Nutzung des Crypto Sticks mittels PKCS#11 und Microsofts CSP Schnittstelle ermöglicht (Aloaha Smartcard Connector)
  • Benutzerverwaltung und das Anmeldem mittels Crypto Stick an Windows sowie die Integration in Microsofts Active Directory. (Aloaha Smart Login)
  • das Verschlüsseln und Signieren von PDFs, von medizinischen Daten sowie Festplattenverschlüsselung.

Eine gute Übersicht der Nutzungsmöglichkeiten liefern diese Bildschirm-Videos.

 

OpenVPN

Status unbekannt, dieser Link koennte nuetzlich sein.

 

OpenID

Certifi.ca is an OpenID provider allowing authentication with the Crypto Stick (instead of user name and password) by using the PKCS#11 driver.

 

Roundcube Webmail

Roundcube is a great webmail client written in PHP. It can be extended to allow certificate authentication so that the Crypto Stick can be used instead of user name and password.

 

Wordpress CMS

The blogging CMS Wordpress can be enhanced with certificate authentication, allowing secure and easy login with the Crypto Stick.

 

IPsec

Strong Swan koennte mittels des PKCS#11 Treibers funktionieren.

 

Evolution

Die neueste Version von Evolution unterstützt den Crypto Stick.

 

Gajim

Der Instant Messenger für XMPP (Jabber) kann mit dem Crypto Stick betrieben werden. Unter Kontoeinstellungen → Persönliche Informationen (Accounts → Personal Information) wird der OpenPGP-Key selektiert. Darüber hinaus besteht die Möglichkeit, den GPG-Agent zu verwenden, so dass nur einmalig die PIN eingegeben werden muss. Damit kann sichere Kommunikation über XMPP erfolgen.

Getestet unter Ubuntu 10.04 Linux, Gajim 0.13

Informationen zu Gajim - ist auch unter Windows erhältlich!

 

GPA - GNU Privacy Assistant

Erkennt Cryptostick 1.0 unter Ubuntu "out-of-the-box", bietet umfangreiche Möglichkeiten zum Schlüssel/Kartenmanagement. Es beherrscht auch Datei-Operationen wie Verschlüsselung, Entschlüsselung, Signierung. Webseite

Fazit: Eines der besten Crypto Stick Utilities unter Linux. Erhältlich auch für Windows.

Erfolgreich getestet unter Ubuntu 10.04 mit GPA 0.9.0 (GPG 2.0.14) welches aus den Ubuntu-Repositories installierbar ist.

 

Festplattenverschlüsselung unter Linux

  • Anleitung zur Verwendung von dm-crypt.

  • Eine Anleitung auf Basis von eCryptfs.

  • Eine sehr einfach zu handhabendes kryptographisches Dateisystem liefert EncFS, das auf FUSE basiert. Eine Anleitung für Ubuntu ist hier. Die Kurzanleitung zur Verwendung von extra langen Passwörtern mit Kryptostick:

  • # Erstellung

  • $ echo "mein geheimer schlüssel" >key # sehr langer Schluessel im Klartext

  • $ gpg -e key # Schluessel nun in key.gpg
  • $ rm key # Klartext löschen
  • $ mkdir ~/.CryptDir.encfs ~/CryptDir # mountpoint anlegen

  • $ encfs ~/.Cryptdir.crypt ~/Cryptdir # "paranoia modus" & "mein geheimer schlüssel" als password eingeben

  • $ fusermount -u ~/Crpytdir # neues Filesystem aushängen

    # Benutzung

  • $ gpg -d key.gpg | encfs -S ~/.Crpytdir ~/CryptDir # PIN eingeben

  • $ fusermount -u ~/Crpytdir # Filesystem nach Gebrauch wieder aushängen
  • Mit entsprechender Treiberunterstuetzung in OpenSC wird es zukuenftig auch moeglich LUKS nach dieser Anleitung einzubinden. DERZEIT NOCH NICHT MOEGLICH!

 

WebID

WebID ist eine wichtige Technologie um sichere und verteilte soziale Netzwerke zu ermöglichen, welches hoffentlich der Facebook-Nachfolger wird. Hier ist ein Video (WebM, Ogg video, H.264) welches zeigt wie der Crypto Stick verwendet wird um ein WebID Profil zu erzeugen und dies anschließend in einem Internetcafe in Singapur genutzt wird. Der Crypto Stick schützt vor Computerviren die ansonsten Benutzernamen und Passwort hätten klauen können

 

PAM

Poldi 0.4.1 funktioniert problemlos mit dem Crypto Stick zur PAM Authentifizierung. Ich habe die unveränderte Datei /etc/poldi/poldi.conf verwendet.

  • auth-method localdb
    log-file /var/log/poldi.log
    debug
    scdaemon-program /usr/bin/scdaemon

Eine Zeile zu /etc/poldi/localdb/users hinzugefügt, mit der Crypto Stick Seriennummer (von gpg --card status | grep Application) :

  • D00600012401020000000000xxxxxxxx alpha

Und dann den öffentlichen Schlüssel des Crypto Sticks in die Poldi local db gegeben:

  • sudo poldi-ctrl -k > /etc/poldi/localdb/keys/D00600012401020000000000xxxxxxxx

Der Rest ist das übliche Vorgehen zur Konfiguration der PAM Konfigurationsdateien. Momentan behalte ich die Möglichkeit bei mich mit Passwort anzumelden, daher habe ich in /etc/pam.d/gdm hinzugefügt: /etc/pam.d/login /etc/pam.d/sudo /etc/pam.d/gnome-screensaver:

  • auth sufficient pam_poldi.so

Hinweis: Es ist gefährlich mit PAM zu spielen, daher solltest Du sichergehen dich immer an dem Computer anmelden zu können wenn die Authentifizierung versagt. Denk dran dass das Booten von Grub in den Rettungsmodus das root Passwort benötigt. Daher merke Dir dieses oder verwende eine Live CD um auf das Dateisystem manuell zuzugreifen.

Hat man sein privates Home-Verzeichnis mit Passwort verschlüsselt, ist es dringend abzuraten, komplett auf Authentifizierung über den Crypto Stick zu konfigurieren. Die Folge ist, dass home Verzeichnis nicht gelesen werden kann. Möchte man trotzdem eine Authentifikation über Crypto Stick, muss daher das home Verzeichnis auch auf die Authentifikationsmethode über Crypto Stick umgestellt werden.

Eine weitere Anleitung fuer Ubuntu Linux.