So, nach einiger Bedenkzeit hab ich mir zwei Yubikeys gekauft. 1x 5 NFC und 1x 5 Nano. Zuerst hab ich sie mir eingerichtet damit die Pins in ein eigenes Keepass File eingetragen. Auch mit den Recovery PUKS etc. gespielt bevor ich anfing mich ernsthaft damit anzumelden. Was ich auch erstmal verstehen musste, waren die verschiedenen Funktionen, Am Ende nutze ich jetzt FIDO2, OTP und OpenPGP. PIV, und OAUTH hab ich noch nicht genutzt aber schon mal "gespielt" damit.
Bei OpenPGP hab ich erstmal eine "Inventur" meiner pgp Keys gemacht (siehe Floppythema). Damit konnte ich dann die uralten Keys wiederrufen. Die neueren Keys habe ich ein Verfallsdatum hinzugefügt (dachte damals nicht das das sinnvoll ist). Einen abgelaufenen Schlüssel kann man mit dem Masterkey wieder zu Leben erwecken bzw. einen neuen Subkey anlegen. Das wusste ich damals nicht
.Da hab ich ich einen neuen S (Sign), E(Encrypt) und A(Authenticate) Keypaar angelegt als Subkeys meines Masterkeys. Diese Subkeys habe ich dann auf die 3 Slots meines Yubikeys geschoben. Das ganze ist (bis auf die Yubikeyvariation) im
Debian Subkey Wiki Artikel erklärt. Auch das ich es verstehe
https://wiki.debian.org/GnuPG
Sign und Encrypt arbeiten wie früher. Nur muss ich dafür jetzt die Pin des Yubikeys eingeben und einmal den Knopf drücken. Damit lässt sich das viel schwerer knacken. Auch gibt es einen Retry Counter welcher sich einstellen lässt. Danach sperrt sich der Key und man muss mit der PUK das wieder zurücksetzen.
Was für mich neu war: Mit dem A(authenticate) Key kann man sich per ssh an seinen Geräten anmelden und kann einen reinen SSH Key ersetzen. (gpg-agent). Das hab ich dann auch bei meinem Github Account und bei den Servern gemacht und den lange genutzen SSH Key aus einem File gegen den A Key auf dem Yubikey (wo er nicht ausgelesen werden kann) ersetzt. Bei Github ist die Integration des Yubikeys mit am besten bei allen Seiten wo ich es bisher gemacht habe.
Dann hab ich mit der FIDO2 Variante und
yubikey-luks ganz ähnlich wie letztens bei dem TPM Thema meine LUKS Partitionen geschützt und ein neues Recoverypasswort hinzugefügt und das alte Passwort entfernt.
Was auch noch ein wichtiger Schritt war für mich: Der KeepassXC Datei den Yubikey und ein Passwort geben zum entsperren. Für Mobil hab ich eben die NFC Variante gewählt. Diese wird mit der OTP Funktion entsperrt welche beim Backup und Hauptschlüssel gleich eingestellt sind.
Insgesamt hab ich auf diesem Weg mal wieder sehr viel gelernt. Danke Debian und DF.de