Gentoo mit SmartCards

classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|

Gentoo mit SmartCards

Martin Wohlert
Hallo liebe Leute!

Ich wollte mal fragen, ob jemand Erfahrung mit SmartCards unter Gentoo
hat. Generell wie gut die Treiber funktionieren, welche Hardware
empfehlenswert ist, welche Stolpersteine es gibt etc.

Und ob jemand auch SmartCards beim Boot-Vergang schonmal erfolgreich
eingerichtet hat, sprich dass LUKS/dm-crypt statt einem Passwort eine
SmartCard verlangt.

LG
Martin Wohlert

Reply | Threaded
Open this post in threaded view
|

Re: Gentoo mit SmartCards

Jens Kasten
Am 10.08.2016 14:48, schrieb Martin Wohlert:

> Hallo liebe Leute!
>
> Ich wollte mal fragen, ob jemand Erfahrung mit SmartCards unter Gentoo
> hat. Generell wie gut die Treiber funktionieren, welche Hardware
> empfehlenswert ist, welche Stolpersteine es gibt etc.
>
> Und ob jemand auch SmartCards beim Boot-Vergang schonmal erfolgreich
> eingerichtet hat, sprich dass LUKS/dm-crypt statt einem Passwort eine
> SmartCard verlangt.
>
> LG
> Martin Wohlert

Hi,

ich benutze ein Gemalto Shelltoken Card Reader, Omnikey 3021
USB-Kartenleser und stationären
Gemalto Card Reader. Ich habe zwei OpenPGP Karten und eine von der
Freesoftware Foundation.
Funktionieren alle problemlos und Einrichtung war einfach soweit wie ich
mich erinnere.

Jens



Reply | Threaded
Open this post in threaded view
|

Re: Gentoo mit SmartCards

Martin Wohlert
Am 12.08.2016 um 14:21 schrieb Jens Kasten:

> Hi,
>
> ich benutze ein Gemalto Shelltoken Card Reader, Omnikey 3021
> USB-Kartenleser und stationären
> Gemalto Card Reader. Ich habe zwei OpenPGP Karten und eine von der
> Freesoftware Foundation.
> Funktionieren alle problemlos und Einrichtung war einfach soweit wie ich
> mich erinnere.
>
> Jens
>

Hallo Jens, schonmal Danke für die Infos soweit. An die PGP Cards hatte
ich auch schon gedacht, aber irgendwo fand ich dazu ne Info, dass dort
max. Keys mit 2048 Bit raufpassen, was aktuell noch ausreichen mag, aber
in 10 Jahren durchaus kein Problem mehr für größere Institutionen
darstellen mag. Ich weiß aber nicht, ob die FSF Card dort mehr erlaubt
oder meine Infos einfach nur schon veraltet sind.

Und wie gebe ich dort das Passwort für meine Keys ein? Direkt am PC,
also wo theoretisch ein Key-Logger mein PW mitschreiben könnte? Oder
läuft die Card komplett ohne PW?

LG
Martin

Reply | Threaded
Open this post in threaded view
|

Re: Gentoo mit SmartCards

Jens Kasten
Hallo Martin,

ich habe bei http://shop.kernelconcepts.de/ mir die OpenCard und den
Shelltoken gekauft.
Die Schlüssellänge kann bis 4096 Bit gesetzt werden.

Jens


Am 12.08.2016 15:30, schrieb Martin Wohlert:

> Am 12.08.2016 um 14:21 schrieb Jens Kasten:
>> Hi,
>>
>> ich benutze ein Gemalto Shelltoken Card Reader, Omnikey 3021
>> USB-Kartenleser und stationären
>> Gemalto Card Reader. Ich habe zwei OpenPGP Karten und eine von der
>> Freesoftware Foundation.
>> Funktionieren alle problemlos und Einrichtung war einfach soweit wie
>> ich
>> mich erinnere.
>>
>> Jens
>>
>
> Hallo Jens, schonmal Danke für die Infos soweit. An die PGP Cards hatte
> ich auch schon gedacht, aber irgendwo fand ich dazu ne Info, dass dort
> max. Keys mit 2048 Bit raufpassen, was aktuell noch ausreichen mag,
> aber
> in 10 Jahren durchaus kein Problem mehr für größere Institutionen
> darstellen mag. Ich weiß aber nicht, ob die FSF Card dort mehr erlaubt
> oder meine Infos einfach nur schon veraltet sind.
>
> Und wie gebe ich dort das Passwort für meine Keys ein? Direkt am PC,
> also wo theoretisch ein Key-Logger mein PW mitschreiben könnte? Oder
> läuft die Card komplett ohne PW?
>
> LG
> Martin



Reply | Threaded
Open this post in threaded view
|

Re: Gentoo mit SmartCards

Martin Wohlert
Hi Jens,

OK, 4096 Bit Keys wäre schon OK. Aber ich würde wenn dann einen
CardReader nehmen, auf dem ich direkt die PIN eingebe. Zum einen, damit
Keylogger nichts finden, zum anderen weil ich die Card ggfs. an einem
headless System nutzen möchte, z.B. ein RasPi, an dem ich verschlüsselte
USB-Platten anschließen kann, die dann mit der SmartCard entschlüsselt
und eingebunden werden.

Anstatt nem teureren SmartCard Reader mit PIN-Tastatur könnte ich ja
aber auch nen USB-Stick mit PIN-Tastatur (iStorage datAshur z.B.)
verwenden, auf dem ich dann die Keyfiles für LUKS drauf packe. Wäre
preislich unter dem CardReader und ist per Hardware mit AES256
verschlüsselt. Und hätte auch den Vorteil, dass ich bei einem LUKS root
kein gpg ins initrd einbauen bräuchte.

Aber da muss ich wohl nochmal ne Weile drüber nachdenken...

Aber Danke dir Jens, warst mir schon ein große Hilfe.

LG
Martin

Am 12.08.2016 um 16:01 schrieb Jens Kasten:
> Hallo Martin,
>
> ich habe bei http://shop.kernelconcepts.de/ mir die OpenCard und den
> Shelltoken gekauft.
> Die Schlüssellänge kann bis 4096 Bit gesetzt werden.
>
> Jens