Abo
  • Services:
Anzeige
Per Zwei-Faktor-Authentifizierung mit dem Yubikey können auch verschlüsselte Linux-Partitionen abgesichert werden.
Per Zwei-Faktor-Authentifizierung mit dem Yubikey können auch verschlüsselte Linux-Partitionen abgesichert werden. (Bild: Screenshot: Golem.de)

Konfiguration des Yubikeys und Einrichtung des Systems

Jetzt wird zunächst der Yubikey mit der Befehlszeile

ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible

präpariert. Der erste Parameter weist die Anwendung ykpersonalize an, den zweiten Slot des Yubikeys zu verwenden. Jeder Schlüssel hat zwei Slots, die nach Bedarf eingerichtet werden. Der verbleibende kann beispielsweise für die Verwendung mit OpenPGP oder für One-Time-Password-Tokens verwendet werden.

Anzeige

Für die Authentifizierung bei unserer verschlüsselten Partition verwenden wir das Challenge-Response-Verfahren. Dafür sorgt die Option -ochal-resp. Betriebssystem und Yubikey verifizieren sich dabei gegenseitig per HMAC-SHA1, das mit der Option -ochal-hmac festgelegt wird. Die Länge des HMAC-Hashs wird mit der Option -ohmac-lt64 auf 64 Bytes festgelegt, was völlig ausreichend ist. Schließlich erlauben wir mit dem Parameter -oserial-api-visible dem Betriebssystem, die Seriennummer des Yubikeys auszulesen. Die Ausgabe des Befehls muss nicht notiert werden, dort wird etwa einmalig der geheime Schlüssel angezeigt, mit dem der Yubikey seine Antwort auf Anforderungen des Betriebssystems kalkuliert.

Yubikey am System anmelden

Jetzt müssen wir noch Luks (Linux Unified Key Setup) mit dem Yubikey bekannt machen. Zunächst müssen wir einen weiteren Kennwort-Slot für unsere verschlüsselte Partition freigeben. Dazu verwenden wir die Befehlszeile

sudo cryptsetup luksAddKey --key-slot 7 /dev/sda5

Jetzt werden wir zunächst aufgefordert, das Hauptkennwort einzugeben, dass wir bei der Installation vergeben haben. Anschließend müssen wir noch ein weiteres beliebiges Passwort vergeben. Merken müssen wir es uns nicht, denn es wird später überschrieben. Mit sudo cryptsetup luksDump /dev/sda5 können wir nochmals überprüfen, ob Slot 7 aktiviert ist, anderenfalls funktioniert die Einrichtung des Yubikeys nicht.

Mit

sudo yubikey-luks-enroll -d /dev/sda5 -s 7 -c

machen wir dann Luks mit dem Yubikey bekannt. Dabei wird ein Skript zur Authentifizierung in die Startumgebung Initrd eingefügt. Jetzt folgt nochmals die mehrfache Eingabe diverser Passwörter. Zunächst muss abermals das Hauptkennwort eingeben werden. Erst jetzt erfolgt die Aufforderung, unser kürzeres Kennwort zu setzen, dass wir später zusammen mit dem Yubikey benötigen, um den Zugriff auf das verschlüsselte System freizuschalten. Es muss einmal verifiziert werden. Schließlich wird ein letztes Mal die Eingabe des Hauptkennworts benötigt.

Und Neustart!

Jetzt kann das System mit eingestecktem Yubikey neu gestartet werden. Dort wo zuvor das komplizierte Hauptkennwort eingegeben werden musste, reicht jetzt die Eingabe des neuen kürzeren Passworts. Die Schaltfläche auf dem Yubikey muss nicht gedrückt werden. Nach der gegenseitigen Authentifizierung wird das neue Kennwort vom Yubikey um einen geheimen Schlüssel ergänzt. Diese Kombination sorgt dann dafür, dass unsere verschlüsselte Partition geöffnet wird und das Betriebssystem startet. Wenn das System läuft, kann der Yubikey bis zum nächsten Neustart entfernt werden.

Falls der Yubikey einmal verloren geht, bleibt immer noch das Hauptkennwort, um sich am System anzumelden. Allerdings sollte dann vorsichtshalber mit sudo cryptsetup luksRemoveKey --key-slot 7 /dev/sda5 das Yubikey-Kenwort wieder entfernt werden. Das bestehende Kennwort kann bei eingestecktem Yubikey mit den Befehlen sudo cryptsetup luksAddKey --key-slot 7 /dev/sda5 und sudo yubikey-luks-enroll -d /dev/sda5 -s 7 -c neu gesetzt werden.

 Systemverschlüsselung: Yubikeys Zwei-Faktor-Authentifizierung unter Linux nutzen

eye home zur Startseite
Shadow27374 13. Jul 2015

Ich habe den Nano und damit funktioniert es!

Shadow27374 13. Jul 2015

Du solltest den Token auch entfernen sobald Du den PC nicht mehr verwendest...

FreiGeistler 12. Jul 2015

Toll, Danke! : )

ul mi 11. Jul 2015

Das verschlüsselte Keyfile auf einem USB-Stick kannst du kopieren. Der Vorteil von...

Heinzel 10. Jul 2015

Ja gut. Bei meiner USB-Stick Lösung ist es ja auch Besitz. Das Keyfile was auf dem...



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, verschiedene Standorte
  2. BG-Phoenics GmbH, Hannover
  3. Bechtle Onsite Services GmbH, Neckarsulm
  4. SARSTEDT AG & Co., Nümbrecht-Rommelsdorf


Anzeige
Top-Angebote
  1. (alle Angebote versandkostenfrei, u. a. CoD: Infinite Warefare Legacy Edition 25,00€)
  2. 59,00€
  3. (u. a. PlayStation 4 + Horizon Zero Dawn + 2 Controller 269,00€, iRobot Roomba 980 nur 777€)

Folgen Sie uns
       


  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch erlaubt unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Re: Machen wir doch mal die Probe aufs Exempel

    divStar | 16:42

  2. Re: bitte klär mich jemand nochmal auf...

    kotzwuerg | 16:37

  3. Re: Kenne ich

    kotzwuerg | 16:33

  4. Weg vom Soc?

    MadMonkey | 16:31

  5. Re: Unangenehme Beiträge hervorheben statt zu...

    divStar | 16:26


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel