Abo
  • Services:

Konfiguration des Yubikeys und Einrichtung des Systems

Jetzt wird zunächst der Yubikey mit der Befehlszeile

Stellenmarkt
  1. Garz & Fricke GmbH, Hamburg
  2. Robert Bosch GmbH, Stuttgart-Feuerbach

ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible

präpariert. Der erste Parameter weist die Anwendung ykpersonalize an, den zweiten Slot des Yubikeys zu verwenden. Jeder Schlüssel hat zwei Slots, die nach Bedarf eingerichtet werden. Der verbleibende kann beispielsweise für die Verwendung mit OpenPGP oder für One-Time-Password-Tokens verwendet werden.

Für die Authentifizierung bei unserer verschlüsselten Partition verwenden wir das Challenge-Response-Verfahren. Dafür sorgt die Option -ochal-resp. Betriebssystem und Yubikey verifizieren sich dabei gegenseitig per HMAC-SHA1, das mit der Option -ochal-hmac festgelegt wird. Die Länge des HMAC-Hashs wird mit der Option -ohmac-lt64 auf 64 Bytes festgelegt, was völlig ausreichend ist. Schließlich erlauben wir mit dem Parameter -oserial-api-visible dem Betriebssystem, die Seriennummer des Yubikeys auszulesen. Die Ausgabe des Befehls muss nicht notiert werden, dort wird etwa einmalig der geheime Schlüssel angezeigt, mit dem der Yubikey seine Antwort auf Anforderungen des Betriebssystems kalkuliert.

Yubikey am System anmelden

Jetzt müssen wir noch Luks (Linux Unified Key Setup) mit dem Yubikey bekannt machen. Zunächst müssen wir einen weiteren Kennwort-Slot für unsere verschlüsselte Partition freigeben. Dazu verwenden wir die Befehlszeile

sudo cryptsetup luksAddKey --key-slot 7 /dev/sda5

Jetzt werden wir zunächst aufgefordert, das Hauptkennwort einzugeben, dass wir bei der Installation vergeben haben. Anschließend müssen wir noch ein weiteres beliebiges Passwort vergeben. Merken müssen wir es uns nicht, denn es wird später überschrieben. Mit sudo cryptsetup luksDump /dev/sda5 können wir nochmals überprüfen, ob Slot 7 aktiviert ist, anderenfalls funktioniert die Einrichtung des Yubikeys nicht.

Mit

sudo yubikey-luks-enroll -d /dev/sda5 -s 7 -c

machen wir dann Luks mit dem Yubikey bekannt. Dabei wird ein Skript zur Authentifizierung in die Startumgebung Initrd eingefügt. Jetzt folgt nochmals die mehrfache Eingabe diverser Passwörter. Zunächst muss abermals das Hauptkennwort eingeben werden. Erst jetzt erfolgt die Aufforderung, unser kürzeres Kennwort zu setzen, dass wir später zusammen mit dem Yubikey benötigen, um den Zugriff auf das verschlüsselte System freizuschalten. Es muss einmal verifiziert werden. Schließlich wird ein letztes Mal die Eingabe des Hauptkennworts benötigt.

Und Neustart!

Jetzt kann das System mit eingestecktem Yubikey neu gestartet werden. Dort wo zuvor das komplizierte Hauptkennwort eingegeben werden musste, reicht jetzt die Eingabe des neuen kürzeren Passworts. Die Schaltfläche auf dem Yubikey muss nicht gedrückt werden. Nach der gegenseitigen Authentifizierung wird das neue Kennwort vom Yubikey um einen geheimen Schlüssel ergänzt. Diese Kombination sorgt dann dafür, dass unsere verschlüsselte Partition geöffnet wird und das Betriebssystem startet. Wenn das System läuft, kann der Yubikey bis zum nächsten Neustart entfernt werden.

Falls der Yubikey einmal verloren geht, bleibt immer noch das Hauptkennwort, um sich am System anzumelden. Allerdings sollte dann vorsichtshalber mit sudo cryptsetup luksRemoveKey --key-slot 7 /dev/sda5 das Yubikey-Kenwort wieder entfernt werden. Das bestehende Kennwort kann bei eingestecktem Yubikey mit den Befehlen sudo cryptsetup luksAddKey --key-slot 7 /dev/sda5 und sudo yubikey-luks-enroll -d /dev/sda5 -s 7 -c neu gesetzt werden.

 Systemverschlüsselung: Yubikeys Zwei-Faktor-Authentifizierung unter Linux nutzen
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 26,99€
  2. 59,99€
  3. 16,99€

Shadow27374 13. Jul 2015

Ich habe den Nano und damit funktioniert es!

Shadow27374 13. Jul 2015

Du solltest den Token auch entfernen sobald Du den PC nicht mehr verwendest...

FreiGeistler 12. Jul 2015

Toll, Danke! : )

ul mi 11. Jul 2015

Das verschlüsselte Keyfile auf einem USB-Stick kannst du kopieren. Der Vorteil von...

Heinzel 10. Jul 2015

Ja gut. Bei meiner USB-Stick Lösung ist es ja auch Besitz. Das Keyfile was auf dem...


Folgen Sie uns
       


Wir fahren den Jaguar I-Pace - Bericht (Genf 2018)

Wir sind den Jaguar I-Pace in Genf probegefahren und konnten ihn trotz nassem Wetter nicht aus der Spur bringen.

Wir fahren den Jaguar I-Pace - Bericht (Genf 2018) Video aufrufen
Underworld Ascendant angespielt: Unterirdische Freiheit mit kaputter Klinge
Underworld Ascendant angespielt
Unterirdische Freiheit mit kaputter Klinge

Wir sollen unser Können aus dem bahnbrechenden Ultima Underworld verlernen: Beim Anspielen des Nachfolgers Underworld Ascendant hat Golem.de absichtlich ein kaputtes Schwert bekommen - und trotzdem Spaß.
Von Peter Steinlechner

  1. Otherside Entertainment Underworld Ascendant soll mehr Licht ins Dunkle bringen

Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /