Abo
  • Services:
Anzeige
Per Zwei-Faktor-Authentifizierung mit dem Yubikey können auch verschlüsselte Linux-Partitionen abgesichert werden.
Per Zwei-Faktor-Authentifizierung mit dem Yubikey können auch verschlüsselte Linux-Partitionen abgesichert werden. (Bild: Screenshot: Golem.de)

Konfiguration des Yubikeys und Einrichtung des Systems

Jetzt wird zunächst der Yubikey mit der Befehlszeile

ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible

präpariert. Der erste Parameter weist die Anwendung ykpersonalize an, den zweiten Slot des Yubikeys zu verwenden. Jeder Schlüssel hat zwei Slots, die nach Bedarf eingerichtet werden. Der verbleibende kann beispielsweise für die Verwendung mit OpenPGP oder für One-Time-Password-Tokens verwendet werden.

Anzeige

Für die Authentifizierung bei unserer verschlüsselten Partition verwenden wir das Challenge-Response-Verfahren. Dafür sorgt die Option -ochal-resp. Betriebssystem und Yubikey verifizieren sich dabei gegenseitig per HMAC-SHA1, das mit der Option -ochal-hmac festgelegt wird. Die Länge des HMAC-Hashs wird mit der Option -ohmac-lt64 auf 64 Bytes festgelegt, was völlig ausreichend ist. Schließlich erlauben wir mit dem Parameter -oserial-api-visible dem Betriebssystem, die Seriennummer des Yubikeys auszulesen. Die Ausgabe des Befehls muss nicht notiert werden, dort wird etwa einmalig der geheime Schlüssel angezeigt, mit dem der Yubikey seine Antwort auf Anforderungen des Betriebssystems kalkuliert.

Yubikey am System anmelden

Jetzt müssen wir noch Luks (Linux Unified Key Setup) mit dem Yubikey bekannt machen. Zunächst müssen wir einen weiteren Kennwort-Slot für unsere verschlüsselte Partition freigeben. Dazu verwenden wir die Befehlszeile

sudo cryptsetup luksAddKey --key-slot 7 /dev/sda5

Jetzt werden wir zunächst aufgefordert, das Hauptkennwort einzugeben, dass wir bei der Installation vergeben haben. Anschließend müssen wir noch ein weiteres beliebiges Passwort vergeben. Merken müssen wir es uns nicht, denn es wird später überschrieben. Mit sudo cryptsetup luksDump /dev/sda5 können wir nochmals überprüfen, ob Slot 7 aktiviert ist, anderenfalls funktioniert die Einrichtung des Yubikeys nicht.

Mit

sudo yubikey-luks-enroll -d /dev/sda5 -s 7 -c

machen wir dann Luks mit dem Yubikey bekannt. Dabei wird ein Skript zur Authentifizierung in die Startumgebung Initrd eingefügt. Jetzt folgt nochmals die mehrfache Eingabe diverser Passwörter. Zunächst muss abermals das Hauptkennwort eingeben werden. Erst jetzt erfolgt die Aufforderung, unser kürzeres Kennwort zu setzen, dass wir später zusammen mit dem Yubikey benötigen, um den Zugriff auf das verschlüsselte System freizuschalten. Es muss einmal verifiziert werden. Schließlich wird ein letztes Mal die Eingabe des Hauptkennworts benötigt.

Und Neustart!

Jetzt kann das System mit eingestecktem Yubikey neu gestartet werden. Dort wo zuvor das komplizierte Hauptkennwort eingegeben werden musste, reicht jetzt die Eingabe des neuen kürzeren Passworts. Die Schaltfläche auf dem Yubikey muss nicht gedrückt werden. Nach der gegenseitigen Authentifizierung wird das neue Kennwort vom Yubikey um einen geheimen Schlüssel ergänzt. Diese Kombination sorgt dann dafür, dass unsere verschlüsselte Partition geöffnet wird und das Betriebssystem startet. Wenn das System läuft, kann der Yubikey bis zum nächsten Neustart entfernt werden.

Falls der Yubikey einmal verloren geht, bleibt immer noch das Hauptkennwort, um sich am System anzumelden. Allerdings sollte dann vorsichtshalber mit sudo cryptsetup luksRemoveKey --key-slot 7 /dev/sda5 das Yubikey-Kenwort wieder entfernt werden. Das bestehende Kennwort kann bei eingestecktem Yubikey mit den Befehlen sudo cryptsetup luksAddKey --key-slot 7 /dev/sda5 und sudo yubikey-luks-enroll -d /dev/sda5 -s 7 -c neu gesetzt werden.

 Systemverschlüsselung: Yubikeys Zwei-Faktor-Authentifizierung unter Linux nutzen

eye home zur Startseite
Shadow27374 13. Jul 2015

Ich habe den Nano und damit funktioniert es!

Shadow27374 13. Jul 2015

Du solltest den Token auch entfernen sobald Du den PC nicht mehr verwendest...

FreiGeistler 12. Jul 2015

Toll, Danke! : )

ul mi 11. Jul 2015

Das verschlüsselte Keyfile auf einem USB-Stick kannst du kopieren. Der Vorteil von...

Heinzel 10. Jul 2015

Ja gut. Bei meiner USB-Stick Lösung ist es ja auch Besitz. Das Keyfile was auf dem...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. medac GmbH, Wedel bei Hamburg
  3. Landeshauptstadt München, München
  4. T-Systems International GmbH, Bonn


Anzeige
Blu-ray-Angebote
  1. (u. a. Forrest Gump 9,97€, Gods of Egypt 9,97€, Creed 8,99€, Cloud Atlas 8,94€)
  2. (u.a. The Big Bang Theory, True Detective, The 100)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Aufsteckbar

    Kugelkamera für Android-Smartphones filmt 360-Grad-Videos

  2. Panamera Turbo S E-Hybrid

    Porsche kombiniert V8-Motor und E-Antrieb

  3. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  4. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  5. Deep Learning

    Wenn die KI besser prügelt als Menschen

  6. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  7. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  8. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  9. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  10. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Limux: Die tragische Geschichte eines Leuchtturm-Projekts
Limux
Die tragische Geschichte eines Leuchtturm-Projekts
  1. Limux München prüft Rückkehr zu Windows
  2. Limux-Projekt Windows könnte München mehr als sechs Millionen Euro kosten
  3. Limux Münchner Stadtrat ignoriert selbst beauftragte Studie

Wacoms Intuos Pro Paper im Test: Weg mit digital, her mit Stift und Papier!
Wacoms Intuos Pro Paper im Test
Weg mit digital, her mit Stift und Papier!
  1. Wacom Brainwave Ein Graph sagt mehr als tausend Worte
  2. Canvas Dells Stift-Tablet bedient sich bei Microsoft und Wacom
  3. Intuos Pro Wacom verbindet Zeichentablet mit echtem Papier

Bundesnetzagentur: Puppenverbot gefährdet das Smart Home und Bastler
Bundesnetzagentur
Puppenverbot gefährdet das Smart Home und Bastler
  1. My Friend Cayla Eltern müssen Puppen ihrer Kinder zerstören
  2. Matoi Imagno Wenn die Holzklötzchen zu dir sprechen
  3. Smart Gurlz Programmieren lernen mit Puppen

  1. Re: Karneval

    Kein Kostverächter | 09:17

  2. Re: Genau der gleiche Beschiss wie bei Vodafone!

    Reci | 09:16

  3. Re: Wofür?

    mwr87 | 09:13

  4. Re: Reale Switch-Kosten

    david_rieger | 09:13

  5. Re: Eine ganz blöde aber nicht unberechtigte Frage

    feierabend | 09:13


  1. 07:23

  2. 07:14

  3. 17:37

  4. 17:26

  5. 16:41

  6. 16:28

  7. 15:45

  8. 15:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel