Yubikey, Nitrokey und ssh-Certificate

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
scientific
Beiträge: 3018
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Yubikey, Nitrokey und ssh-Certificate

Beitrag von scientific » 04.09.2019 16:52:33

Hi Leute!

Hat jemand von Euch Erfahrungen mit Yubikey oder Nitrokey? Prinzipiell würden mich da einmal Erfahrungen interessieren.

Und nun zur speziellen Frage: Auf dem Yubikey kann ich meinen ssh-PrivateKey speichern. Kann ich auf so einem Teil aber auch ein ssh-Zertifikat speichern?
Die ssh-Zertifikatsgeschichte sieht ja so aus, dass ich meinen Public-Key von einer ssh-CA signieren lasse und ein file id_rsa-cert.pub zurückbekomme. Dieses Zertifikat benötige ich gemeinsam mit dem PrivateKey für die Authentifizierung mittels Zertifikaten am ssh-Server... Aber wenn ich so ein Zertifikat nicht am Hardware-Token speichern kann, ist es ja relativ sinnlos, so ein Teil zu verwenden.

Ich finde dazu leider im Netz überhaupt nix. Und bevor ich 100€ ausgebe und dann kann ich diese Art der Authentifizierung nicht verwenden, spar ich mir das Geld lieber...
Ich fand einzig ein HSM für eine ssh-CA am Server. Aber das ist nicht die Anwendung die ich suche.

lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

debianuser4782
Beiträge: 81
Registriert: 11.03.2018 23:09:05

Re: Yubikey, Nitrokey und ssh-Certificate

Beitrag von debianuser4782 » 05.09.2019 21:25:39

Hallo,

ich habe ein paar Yubikeys und einen Nitrokey.

Leider ist Dein Anwendungsfall bei mir (noch) nicht relevant geworden.

Die Yubikeys konfiguriere ich mit dem grafischen Personalisierungs-Werkzeug -> yubikey-personalization-gui -> https://packages.debian.org/jessie/yubi ... zation-gui

,vorzugswürdig auf einem Offline PC, der keine Verbindung zum Internet hat.

Um zu sehen welche Funktionen diese Software hat, einfach mal installieren und anschauen.

Auf den Yubikeys speichere ich längere statische Passwörter.

Den Yubikey nano verwende ich derzeit zudem für die OTP-Funktion (Plugin: OtpKeyProv) bei Keepass2, als 2. Faktor zur Verschlüsselung der Passwortdatenbank.

Ich werde aber bald zu KeepassXC wechseln, bei dem der Yubikey als 2. Faktor mit HMAC-SHA1 funktioniert. Dies kommt mir entgegen, da das von mit benutzte Tails 4.0 von Keepassx zum belebteren keepassxc wechseln wird.


Der Nitrokey läuft unter Debian mit der nitrokey-app -> https://packages.debian.org/buster/nitrokey-app

Ich benutze ihn derzeit mit TOTP als 2. Faktor ("Haben") zum Login in den Webclienten meines Mailproviders zusammen mit einer PIN ("Wissen") als 1. Faktor.

Auch den Nitrokey konfiguriere ich mit der nitrokey-app auf einem Offline-PC.

Unter Windows hatte ich zudem die integrierte Keyfile des Nitrokeys zum Absichern von Veracrypt-Containern benutzt. Wie man an die Keyfile unter Debian kommt, habe ich noch nicht recherchiert. Der Zugriff auf die Keyfile wird mit einer PIN gesichert.

Insgesamt sind Hardware-Token gut in eigene Sicherheitkonzepte integrierbar und ein Einstieg bei ihnen lohnt sich jedenfalls.

Antworten