gpg, Nitrokey Smartcard und Authentication Key/OpenSSH

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

gpg, Nitrokey Smartcard und Authentication Key/OpenSSH

Beitrag von mistersixt » 18.01.2017 13:53:45

Moin moin,

ich habe mir eine Nitrokey-Smartcard gekauft als TOTP-Generator, Password-Safe und für PGP. Bei Letzterem habe ich leider ein Problem:

Ich habe einen existierenden 4096R PGP-Key zum Ver-/Entschlüsseln und für das Signing von EMails. Diesen Schlüssel habe ich erfolgreich mittels via "gpg2 --edit-key ID" um 2 weitere Subkeys mit Flag "E" (RSA Encryption) und "S" (RSA Signing) erweitert ... und erfolgreich auf den Nitrokey geschrieben. Das sieht dann so aus ("gpg --card-status"):

Code: Alles auswählen

...
Signature key ....: 126D 117E 2DA5 BE3F AEC5  C67F 7D25 XXXX XXXX XXXX
      created ....: 2017-01-18 10:08:12
Encryption key....: 862C 5B9E E6A8 BF75 2C8E  5D30 6B3B XXXX XXXX XXXX
      created ....: 2017-01-18 10:09:55
...
Nun will ich auch noch einen Subkey für "A" (Authentication) hinzufügen, aber diese Option wird mir beim "--edit-key" gar nicht angeboten:

Code: Alles auswählen

gpg> addkey
Please select what kind of key you want:
   (3) DSA (sign only)
   (4) RSA (sign only)
   (5) Elgamal (encrypt only)
   (6) RSA (encrypt only)
Your selection?
Warum wird mir diese Option gar nicht erst angeboten? So sieht meine ID aktuell aus:

Code: Alles auswählen

sec  rsa4096/D732B657D982BBD6
     created: 2013-12-24  expires: never       usage: SCA 
     trust: ultimate      validity: ultimate
ssb  rsa4096/0E96307A85BAB743
     created: 2013-12-24  expires: never       usage: E   
ssb  rsa2048/7D258693CB6B4E90
     created: 2017-01-18  expires: never       usage: S   
     card-no: 0005 00004FB1
ssb  rsa2048/6B3B55FFF1278F48
     created: 2017-01-18  expires: never       usage: E   
     card-no: 0005 00004FB1
Liegt es an vielleicht an dem "A" beim Master Key? Jemand eine Idee wie ich hier weiterkomme?

Danke und Gruss, mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
Nach oben
Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Re: gpg, Nitrokey Smartcard und Authentication Key/OpenSSH

Beitrag von mistersixt » 19.01.2017 11:21:59

Ich habs gerade selber herausgefunden, --export als weiterer Parameter hilft, dann kommt...

Code: Alles auswählen

...
gpg> addkey
Please select what kind of key you want:
   (3) DSA (sign only)
   (4) RSA (sign only)
   (5) Elgamal (encrypt only)
   (6) RSA (encrypt only)
   (7) DSA (set your own capabilities)
   (8) RSA (set your own capabilities)
  (10) ECC (sign only)
  (11) ECC (set your own capabilities)
  (12) ECC (encrypt only)
  (13) Existing key
Your selection?
... und ich kann über (8) dann "A" (Authentication) auswählen.

Gruss, mistersixt.
--
System: Debian Bookworm, 6.5.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 4.0 Ghz., Radeon RX 5700 XT, 16 GB Ram, XFCE
Nach oben
Antworten

Zurück zu „Sicherheit“