Abo
  • Services:
Anzeige
Per Zwei-Faktor-Authentifizierung mit dem Yubikey können auch verschlüsselte Linux-Partitionen abgesichert werden.
Per Zwei-Faktor-Authentifizierung mit dem Yubikey können auch verschlüsselte Linux-Partitionen abgesichert werden. (Bild: Screenshot: Golem.de)

Konfiguration des Yubikeys und Einrichtung des Systems

Jetzt wird zunächst der Yubikey mit der Befehlszeile

ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible

präpariert. Der erste Parameter weist die Anwendung ykpersonalize an, den zweiten Slot des Yubikeys zu verwenden. Jeder Schlüssel hat zwei Slots, die nach Bedarf eingerichtet werden. Der verbleibende kann beispielsweise für die Verwendung mit OpenPGP oder für One-Time-Password-Tokens verwendet werden.

Anzeige

Für die Authentifizierung bei unserer verschlüsselten Partition verwenden wir das Challenge-Response-Verfahren. Dafür sorgt die Option -ochal-resp. Betriebssystem und Yubikey verifizieren sich dabei gegenseitig per HMAC-SHA1, das mit der Option -ochal-hmac festgelegt wird. Die Länge des HMAC-Hashs wird mit der Option -ohmac-lt64 auf 64 Bytes festgelegt, was völlig ausreichend ist. Schließlich erlauben wir mit dem Parameter -oserial-api-visible dem Betriebssystem, die Seriennummer des Yubikeys auszulesen. Die Ausgabe des Befehls muss nicht notiert werden, dort wird etwa einmalig der geheime Schlüssel angezeigt, mit dem der Yubikey seine Antwort auf Anforderungen des Betriebssystems kalkuliert.

Yubikey am System anmelden

Jetzt müssen wir noch Luks (Linux Unified Key Setup) mit dem Yubikey bekannt machen. Zunächst müssen wir einen weiteren Kennwort-Slot für unsere verschlüsselte Partition freigeben. Dazu verwenden wir die Befehlszeile

sudo cryptsetup luksAddKey --key-slot 7 /dev/sda5

Jetzt werden wir zunächst aufgefordert, das Hauptkennwort einzugeben, dass wir bei der Installation vergeben haben. Anschließend müssen wir noch ein weiteres beliebiges Passwort vergeben. Merken müssen wir es uns nicht, denn es wird später überschrieben. Mit sudo cryptsetup luksDump /dev/sda5 können wir nochmals überprüfen, ob Slot 7 aktiviert ist, anderenfalls funktioniert die Einrichtung des Yubikeys nicht.

Mit

sudo yubikey-luks-enroll -d /dev/sda5 -s 7 -c

machen wir dann Luks mit dem Yubikey bekannt. Dabei wird ein Skript zur Authentifizierung in die Startumgebung Initrd eingefügt. Jetzt folgt nochmals die mehrfache Eingabe diverser Passwörter. Zunächst muss abermals das Hauptkennwort eingeben werden. Erst jetzt erfolgt die Aufforderung, unser kürzeres Kennwort zu setzen, dass wir später zusammen mit dem Yubikey benötigen, um den Zugriff auf das verschlüsselte System freizuschalten. Es muss einmal verifiziert werden. Schließlich wird ein letztes Mal die Eingabe des Hauptkennworts benötigt.

Und Neustart!

Jetzt kann das System mit eingestecktem Yubikey neu gestartet werden. Dort wo zuvor das komplizierte Hauptkennwort eingegeben werden musste, reicht jetzt die Eingabe des neuen kürzeren Passworts. Die Schaltfläche auf dem Yubikey muss nicht gedrückt werden. Nach der gegenseitigen Authentifizierung wird das neue Kennwort vom Yubikey um einen geheimen Schlüssel ergänzt. Diese Kombination sorgt dann dafür, dass unsere verschlüsselte Partition geöffnet wird und das Betriebssystem startet. Wenn das System läuft, kann der Yubikey bis zum nächsten Neustart entfernt werden.

Falls der Yubikey einmal verloren geht, bleibt immer noch das Hauptkennwort, um sich am System anzumelden. Allerdings sollte dann vorsichtshalber mit sudo cryptsetup luksRemoveKey --key-slot 7 /dev/sda5 das Yubikey-Kenwort wieder entfernt werden. Das bestehende Kennwort kann bei eingestecktem Yubikey mit den Befehlen sudo cryptsetup luksAddKey --key-slot 7 /dev/sda5 und sudo yubikey-luks-enroll -d /dev/sda5 -s 7 -c neu gesetzt werden.

 Systemverschlüsselung: Yubikeys Zwei-Faktor-Authentifizierung unter Linux nutzen

eye home zur Startseite
Shadow27374 13. Jul 2015

Ich habe den Nano und damit funktioniert es!

Shadow27374 13. Jul 2015

Du solltest den Token auch entfernen sobald Du den PC nicht mehr verwendest...

FreiGeistler 12. Jul 2015

Toll, Danke! : )

ul mi 11. Jul 2015

Das verschlüsselte Keyfile auf einem USB-Stick kannst du kopieren. Der Vorteil von...

Heinzel 10. Jul 2015

Ja gut. Bei meiner USB-Stick Lösung ist es ja auch Besitz. Das Keyfile was auf dem...



Anzeige

Stellenmarkt
  1. Pilz GmbH & Co. KG, Ostfildern bei Stuttgart
  2. INTENSE AG, Würzburg, Köln (Home-Office)
  3. Engelhorn KGaA, Mannheim
  4. AEVI International GmbH, Berlin


Anzeige
Spiele-Angebote
  1. 19,99€ - Release 19.10.
  2. 9,99€
  3. 199,99€ - Release 13.10.

Folgen Sie uns
       


  1. Bundestagswahl 2017

    Union und SPD verlieren, Jamaika-Koalition rückt näher

  2. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  3. FTTH

    CDU für Verkauf der Telekom-Aktien

  4. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  5. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  6. Fahrdienst

    London stoppt Uber, Protest wächst

  7. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  8. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  9. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  10. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe

Edge Computing: Randerscheinung mit zentraler Bedeutung
Edge Computing
Randerscheinung mit zentraler Bedeutung
  1. Security Nest stellt komplette Alarmanlage vor
  2. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger
  3. DDoS 30.000 Telnet-Zugänge für IoT-Geräte veröffentlicht

Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Apple iOS 11 Wer WLAN und Bluetooth abschaltet, benutzt es weiter
  2. Drei Netzanbieter warnt vor Upgrade auf iOS 11
  3. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS

  1. Re: Wir ueberlegen seit langem den Kauf

    TrudleR | 23:18

  2. Re: Lumia 950 hat schon 1709...

    gaym0r | 23:07

  3. Re: Wieso hat die PARTEI keine absolute Mehrheit?

    Xar | 23:05

  4. Re: Wieviel Energie benötigt es, um von Europa...

    gaym0r | 23:04

  5. Re: mich freut es

    azeu | 23:04


  1. 19:04

  2. 15:18

  3. 13:34

  4. 12:03

  5. 10:56

  6. 15:37

  7. 15:08

  8. 14:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel