Discussion:
[gentoo-user-de] Gentoo mit SmartCards
(zu alt für eine Antwort)
Martin Wohlert
2016-08-10 12:50:01 UTC
Permalink
Hallo liebe Leute!

Ich wollte mal fragen, ob jemand Erfahrung mit SmartCards unter Gentoo
hat. Generell wie gut die Treiber funktionieren, welche Hardware
empfehlenswert ist, welche Stolpersteine es gibt etc.

Und ob jemand auch SmartCards beim Boot-Vergang schonmal erfolgreich
eingerichtet hat, sprich dass LUKS/dm-crypt statt einem Passwort eine
SmartCard verlangt.

LG
Martin Wohlert
Jens Kasten
2016-08-12 12:30:02 UTC
Permalink
Post by Martin Wohlert
Hallo liebe Leute!
Ich wollte mal fragen, ob jemand Erfahrung mit SmartCards unter Gentoo
hat. Generell wie gut die Treiber funktionieren, welche Hardware
empfehlenswert ist, welche Stolpersteine es gibt etc.
Und ob jemand auch SmartCards beim Boot-Vergang schonmal erfolgreich
eingerichtet hat, sprich dass LUKS/dm-crypt statt einem Passwort eine
SmartCard verlangt.
LG
Martin Wohlert
Hi,

ich benutze ein Gemalto Shelltoken Card Reader, Omnikey 3021
USB-Kartenleser und stationären
Gemalto Card Reader. Ich habe zwei OpenPGP Karten und eine von der
Freesoftware Foundation.
Funktionieren alle problemlos und Einrichtung war einfach soweit wie ich
mich erinnere.

Jens
Martin Wohlert
2016-08-12 13:40:02 UTC
Permalink
Post by Jens Kasten
Hi,
ich benutze ein Gemalto Shelltoken Card Reader, Omnikey 3021
USB-Kartenleser und stationären
Gemalto Card Reader. Ich habe zwei OpenPGP Karten und eine von der
Freesoftware Foundation.
Funktionieren alle problemlos und Einrichtung war einfach soweit wie ich
mich erinnere.
Jens
Hallo Jens, schonmal Danke für die Infos soweit. An die PGP Cards hatte
ich auch schon gedacht, aber irgendwo fand ich dazu ne Info, dass dort
max. Keys mit 2048 Bit raufpassen, was aktuell noch ausreichen mag, aber
in 10 Jahren durchaus kein Problem mehr für größere Institutionen
darstellen mag. Ich weiß aber nicht, ob die FSF Card dort mehr erlaubt
oder meine Infos einfach nur schon veraltet sind.

Und wie gebe ich dort das Passwort für meine Keys ein? Direkt am PC,
also wo theoretisch ein Key-Logger mein PW mitschreiben könnte? Oder
läuft die Card komplett ohne PW?

LG
Martin
Jens Kasten
2016-08-12 14:10:01 UTC
Permalink
Hallo Martin,

ich habe bei http://shop.kernelconcepts.de/ mir die OpenCard und den
Shelltoken gekauft.
Die Schlüssellänge kann bis 4096 Bit gesetzt werden.

Jens
Post by Martin Wohlert
Post by Jens Kasten
Hi,
ich benutze ein Gemalto Shelltoken Card Reader, Omnikey 3021
USB-Kartenleser und stationären
Gemalto Card Reader. Ich habe zwei OpenPGP Karten und eine von der
Freesoftware Foundation.
Funktionieren alle problemlos und Einrichtung war einfach soweit wie ich
mich erinnere.
Jens
Hallo Jens, schonmal Danke für die Infos soweit. An die PGP Cards hatte
ich auch schon gedacht, aber irgendwo fand ich dazu ne Info, dass dort
max. Keys mit 2048 Bit raufpassen, was aktuell noch ausreichen mag, aber
in 10 Jahren durchaus kein Problem mehr für größere Institutionen
darstellen mag. Ich weiß aber nicht, ob die FSF Card dort mehr erlaubt
oder meine Infos einfach nur schon veraltet sind.
Und wie gebe ich dort das Passwort für meine Keys ein? Direkt am PC,
also wo theoretisch ein Key-Logger mein PW mitschreiben könnte? Oder
läuft die Card komplett ohne PW?
LG
Martin
Martin Wohlert
2016-08-12 14:50:02 UTC
Permalink
Hi Jens,

OK, 4096 Bit Keys wäre schon OK. Aber ich würde wenn dann einen
CardReader nehmen, auf dem ich direkt die PIN eingebe. Zum einen, damit
Keylogger nichts finden, zum anderen weil ich die Card ggfs. an einem
headless System nutzen möchte, z.B. ein RasPi, an dem ich verschlüsselte
USB-Platten anschließen kann, die dann mit der SmartCard entschlüsselt
und eingebunden werden.

Anstatt nem teureren SmartCard Reader mit PIN-Tastatur könnte ich ja
aber auch nen USB-Stick mit PIN-Tastatur (iStorage datAshur z.B.)
verwenden, auf dem ich dann die Keyfiles für LUKS drauf packe. Wäre
preislich unter dem CardReader und ist per Hardware mit AES256
verschlüsselt. Und hätte auch den Vorteil, dass ich bei einem LUKS root
kein gpg ins initrd einbauen bräuchte.

Aber da muss ich wohl nochmal ne Weile drüber nachdenken...

Aber Danke dir Jens, warst mir schon ein große Hilfe.

LG
Martin
Post by Jens Kasten
Hallo Martin,
ich habe bei http://shop.kernelconcepts.de/ mir die OpenCard und den
Shelltoken gekauft.
Die Schlüssellänge kann bis 4096 Bit gesetzt werden.
Jens
Loading...