Moinsen alle,
Warum hat die FSFE nicht auch solch einen "Dienst" ?! http://www.heise.de/security/dienste/Wie-kann-ich-mitmachen-474837.html
Ich brauche für meine Fellow Card 'nen neuen (externen Karten Leser) welche Hardware empfehlt ihr unter Debian (7/8)
BTW: Den hier (0) in Fellow Grün mit dem "richtigen" Key. Das wäre doch mal was?!
(0) https://www.yubico.com/products/yubikey-hardware/yubikey/
Danke
Ahoi Michael (majestyx)
* Michael Kappes majestyx@fsfe.org [2013-11-28 14:17:21 +0100]:
(0) https://www.yubico.com/products/yubikey-hardware/yubikey/
(Gerade offline und kann das nicht lesen.)
Simon Josefsson hatte mir vor ~6 Jahren mal einen der ersten Yubikey zum testen gegeben. Wir hatten das mal angedacht, allerdings dann immer andere Dinge zu tun.
Kannst ja mal recherchieren, was dafür alles nötig wäre und mit Erik besprochen.
Viele Grüße Matthias
Matthias Kirschner mk@fsfe.org, Thu, 28 Nov 2013 15:39:18 +0100:
- Michael Kappes majestyx@fsfe.org [2013-11-28 14:17:21 +0100]:
(0) https://www.yubico.com/products/yubikey-hardware/yubikey/
[...]
Kannst ja mal recherchieren, was dafür alles nötig wäre und mit Erik besprochen.
Vor ein paar Monaten hatten Michael und ich zusammen etwas Spaß mit dem Yubikey. Das Gerät unterstützt verschiedene OTP-Systeme. Unter anderem das standardisierte HOTP für das breite Unterstützung in PAM und diverser Software besteht. Das von Yubico beworbene verbesserte OTP-Protokoll des keys ist dagegen schwer zu integrieren denn bestehende Softwarelösungen sind idR. darauf ausgelegt, den Online-Auth-Service von Yubico zu nutzen. Letzteres ist sicherheitsmäßig natürlich nicht weniger als katastrophal.
Zusätzlich liefert der Yubikey eine Lösung zum Generieren, Speichern und Updaten eines einzelnen komplexen Passworts.
In allen Funktionen tritt der Key dabei als USB-Tastatur auf und benötigt daher (außer zum programmieren) keine besondere Softwareunterstützung auf den Rechnern an denen er benutzt wird.
Asymmetrische Kryptographie/Signierung wie es die Fellowship-Karte ausführt liefert der Yubikey nicht! Es handelt sich bei dem Gerät um ein OTP-Auth-Token, nicht um einen Kryptoprozessor.
Wenn ich mich recht entsinne bietet Yubico das Shipping von Sticks mit beliebigem Logo an. Ich trage selbst gerade zwei Yubikeys an meinem Schlüsselbund und kann von daher bestätigen, dass sie sowohl robust als auch praktikabel sind.
Michael Kappes schrieb:
Ich brauche für meine Fellow Card 'nen neuen (externen Karten Leser) welche Hardware empfehlt ihr unter Debian (7/8)
Am besten einen, der mit den nativen GnuPG Treibern direct läuft: http://www.gnupg.org/howtos/card-howto/en/smartcard-howto-single.html
Ich habe einen Omnikey Cardman 3121 unter Debian 5 am Laufen. Sieht so aus wie der Omnikey Cardman 5121.
Der deutsche Verfassungsschutz arbeitet(e) auch damit und wurde durch diesen Abstrahlgeprüft.
Das Cherry XX44 USB keyboard finde ich pers. auch gut. Leider habe ich meins mit seriellem Stecker nie richtig ans Laufen bekommen :-( Das Teil liegt seit fast 10 J. unbenutzt im Schrank.
Ciao Marco!
Hallo zusammen,
die Kartenleser, die in den FSFE-Artikeln erwähnt sind, sind leider nur noch schwer bis gar nicht zu bekommen. Ich habe mir nach einiger Recherche einen Reiner SCT CyberJack RFID Standard zugelegt. Kostet ca. 50 Euro, der Hersteller unterstützt GNU+Linux mit freien Treibern und weiteren freien Tools, die normalerweise einfach über die Paketverwaltung zu beziehen sind. Das Ding hat ne Tastatur, ist also auch für sichere PIN-Eingabe geeignet. Ich habe das mit der Fellowship-Karte und fürs Onlinebanking via GNUCash im Einsatz. Funktioniert absolut problemlos.
Liebe Grüße Florian
Hallo Ich habe mir damals als ich Fellow wurde auch die Karte zusenden lassen. Dann habe ich auch angefangen zu schauen um fest zu stellen, dass je mehr ich lese, desto unsicherer werde. Ich habe daher noch immer keinen Kartenleser weil ich a) auf meinem Hauptrechner Mac OSX Snow Leopard habe b) auf meinem Laptop Ubuntu Linux c) ich nicht so richtig weiß, was ich mit der Karte machen kann und wie das geht. Leider haben mir die Artikel, die ich dazu gefunden habe nicht wirklich geholfen. Ich bin nunmal zwar im IT-Gechäft tätig aber nur in SAP-Umgebungen und bin im "normalen" Rechnerumfeld eher Anfänger.
Alles was ich bislang geschafft habe, das ist einen öffentlichen Schlüssel zu generieren und den zum signieren zu verwenden, weil keiner meiner Mailpartner weiß was Verschlüsselung bedeutet. Ich würde dennoch gerne die Karte für mehr Sicherheit verwenden. Aber ich muss zugeben, von dieser Diskussion hier habe ich absolut nur diesen einen Artikel, der ein Gerät nennt und nicht irgendwohin abdriftet.
Das ist keine Kritik - ihr wisst viel, ihr macht das gut. Es ist nur ein Ausdruck meines Frustes nichts zu verstehen und nicht die Zeit zu haben mich so tief einzuarbeiten um das alles vernünftig zu machen :-(
Das wollt' ich mal loswerden :-)
Gruß Hugo
Am 02.12.2013 um 18:34 schrieb Florian Snow:
Hallo zusammen,
die Kartenleser, die in den FSFE-Artikeln erwähnt sind, sind leider nur noch schwer bis gar nicht zu bekommen. Ich habe mir nach einiger Recherche einen Reiner SCT CyberJack RFID Standard zugelegt. Kostet ca. 50 Euro, der Hersteller unterstützt GNU+Linux mit freien Treibern und weiteren freien Tools, die normalerweise einfach über die Paketverwaltung zu beziehen sind. Das Ding hat ne Tastatur, ist also auch für sichere PIN-Eingabe geeignet. Ich habe das mit der Fellowship-Karte und fürs Onlinebanking via GNUCash im Einsatz. Funktioniert absolut problemlos.
Liebe Grüße Florian _______________________________________________ fsfe-de mailing list fsfe-de@fsfeurope.org https://mail.fsfeurope.org/mailman/listinfo/fsfe-de
Moin,
Am Donnerstag, 28. November 2013 14:17:21 schrieb Michael Kappes:
Warum hat die FSFE nicht auch solch einen "Dienst" ?! http://www.heise.de/security/dienste/Wie-kann-ich-mitmachen-474837.html
die Heise-Kryptokampagne ist nützlich und es gibt sie schon. :) Bei Treffen der FSFE, z.B. Fellowshiptreffen, habe ich persönlich auch schon viele Zertifikatsaustausch gesehen. Insofern: Einfach mal bei nächsten Fellowshiptreffen da anregen und hinfahren.
Ich brauche für meine Fellow Card 'nen neuen (externen Karten Leser) welche Hardware empfehlt ihr unter Debian (7/8)
Normalerweise haben die Jungs und Mädels von Kernelconcepts dafür was passendes bereits: http://shop.kernelconcepts.de/index.php?cPath=1_26 Z.B. die Lesegeräte von identive.
BTW: Den hier (0) in Fellow Grün mit dem "richtigen" Key. Das wäre doch mal was?! (0) https://www.yubico.com/products/yubikey-hardware/yubikey/
Die Diskussion beim yubikey Vortrag in Berlin diesen Monat ergab, dass uns nicht klar war, warum hier kein symmetrisches Verschlüsselungsverfahren eingesetzt wird, insofern wäre ein OpenPGP "key" sicherlich besser. http://www.open-it-berlin.de/veranstaltungen/meet-greet-mit-open-it-berlin-i...
So was, wie der CryptoStick oder GnuK http://blog.asmw.org/2013/09/11/gnuk-openpgp-2-0-token/ http://www.seeedstudio.com/depot/fst01-with-white-enclosure-p-1279.html http://www.seeedstudio.com/wiki/FST-01
Gruß, Bernhard
On 29.11.2013 14:32, Bernhard Reiter wrote:
Moin,
Am Donnerstag, 28. November 2013 14:17:21 schrieb Michael Kappes:
Warum hat die FSFE nicht auch solch einen "Dienst" ?! http://www.heise.de/security/dienste/Wie-kann-ich-mitmachen-474837.html
die Heise-Kryptokampagne ist nützlich und es gibt sie schon. :) Bei Treffen der FSFE, z.B. Fellowshiptreffen, habe ich persönlich auch schon viele Zertifikatsaustausch gesehen. Insofern: Einfach mal bei nächsten Fellowshiptreffen da anregen und hinfahren.
Key-signing-Parties (auch Nerd-Speeddatings genannt ;-) ), gibt es bei fast allen größeren Events, von der FOSDEM bis zur ORR. Daneben wird Key-Signing auch bei Crypto-Parties angeboten und betrieben.
Auch bei den Fellowshiptreffen in Düsseldorf ist Key-Signing auf Nachfrage möglich.
Gleiches gilt für CAcert-Assuranses.
An die breitere Öffentlichkeit wenden wir uns hier im Rahmen der Beteiligung an Crypto-Parties.
Gruß Michael
Bernhard Reiter reiter@fsfeurope.org, Fri, 29 Nov 2013 14:32:33 +0100:
Die Diskussion beim yubikey Vortrag in Berlin diesen Monat ergab, dass uns nicht klar war, warum hier kein symmetrisches Verschlüsselungsverfahren eingesetzt wird, insofern wäre ein OpenPGP "key" sicherlich besser.
Darf ich da nochmal nach Details fragen? Mir ist gerade völlig unklar, wo der Yubikey ein symmetrisches Verschlüsselungsverfahren einsetzen würde. Das klingt für mich gerade etwa so, als würdest du belgische Hot Dogs dafür kritisieren, dass sie keine symmetrische Kryptografie benutzen.
Der Yubikey besteht aus einem Keygenerator auf Hash-Basis, in den ein nicht auslesbares Secret als Seed geschrieben wird. Insofern handelt es sich nicht tatsächlich um ein vollwertiges One Time Pad.
Daneben gibt es eine Funktion, die Challenge-Response-Authentifizierung erlaubt. Generell basiert diese wiederum entweder auf asymmetrischer Verschlüsselung oder, wie im Falle des Yubikey, auf Hash-Verfahren. Ersteres hat Vorteile beim Schlüsselmanagement, dafür ist letzteres hardwareseitig viel einfacher zu implementieren - besonders mit den Komponenten, die aufgrund der oben genannten Funktion im Yubikey schon vorhanden sind.
Symmetrische Kryptografie findet in beiden Funktionen des Yubikey keinen Platz. Auf asymmetrische Funktionen wurde schlicht und ergreifend aus Kostengründen verzichtet - die Primäre Funktion des Sticks ist ohnehin das "One-Time-Pad", die zweitklassige Challenge-Response Funktion nur eine zusätzliche Dreingabe.
So was, wie der CryptoStick oder GnuK http://blog.asmw.org/2013/09/11/gnuk-openpgp-2-0-token/ http://www.seeedstudio.com/depot/fst01-with-white-enclosure-p-1279.html http://www.seeedstudio.com/wiki/FST-01
^^ Das wäre wohl eher die USB Variante der derzeitigen Fellowship Card. Die erfüllt natürlich einen anderen Zweck, als der Yubikey. Zum Login z.B. bei Fellowship-Services ist sie weniger praktikabel, dafür erlaubt sie das Signieren von Nachrichten. Zwar erlauben die Karte bzw. der PGP-Stick theoretisch vollwertige Challenge-Response Authentifizierung an Onlineservices, in der Praxis fehlen aber standardisierte Verfahren, um so etwas z.B. im Webbrowser durchzuführen - geschweige denn von einem Internet-Cafe aus.
On Fri, 29 Nov 2013 23:01, paul@fsfe.org said:
Platz. Auf asymmetrische Funktionen wurde schlicht und ergreifend aus Kostengründen verzichtet - die Primäre Funktion des Sticks ist ohnehin
Nope. Aktuelle Versionen implementieren den OpenPGP Card Standard (Manufactorer ID ist 6) und sind deswegen kompatibel zur Fellowship Card. Ich habe allerdings noch keine Samples erhalten und muss mich auf Simons bericht verlassen.
^^ Das wäre wohl eher die USB Variante der derzeitigen Fellowship Card. Die erfüllt natürlich einen anderen Zweck, als der Yubikey. Zum Login
GnuK is gut hat aber keinen sicheren Chip. Das bedeutet, dass man die Keys ohne grösseren Aufwand auslesen kann falls man so ein Token mal gefunden hat.
PGP-Stick theoretisch vollwertige Challenge-Response Authentifizierung an Onlineservices, in der Praxis fehlen aber standardisierte Verfahren, um so etwas z.B. im Webbrowser durchzuführen - geschweige denn von
Wie wäre es mit www.scute.org - das gibt es schon seit vielen Jahren und funktionierte zumindest mit Mozilla problemelos.
Ansonsten würde ich momentan einen Identive (früher CMS) SCT3512 USB Reader empfehlen. Da passt die auf ID-000 Format geschnittene Fellowchip Karte rein - oder halt eine schon vorgestanzte Karte von kernelconcepts. Ist zwar ein China Plastikteil und nicht so gut verarbeitet wie ältere Reader; vom Innenleben aber einwandfrei. Kostet wohl so 25 Euro. Von Omnikey sollte man die Finger lassen - die funktionieren nur under Windows richtig.
Shalom-Salam,
Werner
Werner Koch schrieb:
Wie immer sehr informativ. (Unser deutscher Bruce Schneier ;-) Danke.
Von Omnikey sollte man die Finger lassen - die funktionieren nur under Windows richtig.
Auch die Omnikey's 5121 o. 6121 von hier mit 'GnuPG's internal driver'? http://www.gnupg.org/howtos/card-howto/en/smartcard-howto-single.html
On Mon, 2 Dec 2013 18:04, lists-mm@netcologne.de said:
funktionieren nur under Windows richtig.
Auch die Omnikey's 5121 o. 6121 von hier mit 'GnuPG's internal driver'? http://www.gnupg.org/howtos/card-howto/en/smartcard-howto-single.html
Ja leider. Man kann sie mit proprietären Kommandos in einen TPDU modus schalten, das ist aber nirgends dokumentiert. Ich hatte mir damals mal das USB Protokoll auf Windows angesehen und versucht das implementieren. Es geht so la-la aber alles andere als zuverlässig.
Salam-Shalom,
Werner
Am Freitag, 29. November 2013 23:01:56 schrieb Paul Hänsch:
Bernhard Reiter reiter@fsfeurope.org, Fri, 29 Nov 2013 14:32:33 +0100:
Die Diskussion beim yubikey Vortrag in Berlin diesen Monat ergab, dass uns nicht klar war, warum hier kein symmetrisches Verschlüsselungsverfahren eingesetzt wird, insofern wäre ein OpenPGP "key" sicherlich besser.
Darf ich da nochmal nach Details fragen? Mir ist gerade völlig unklar, wo der Yubikey ein symmetrisches Verschlüsselungsverfahren einsetzen würde.
Ich meinte natürlich, warum die kein _a_symmetrisches Verfahren einsetzen war unklar. So besteht die Möglichkeit, wenn der Server die registrierten Infos verliert, dass der yubikey kompromittiert ist (wenn ich mich richtig erinnere).
Der Yubikey besteht aus einem Keygenerator auf Hash-Basis, in den ein nicht auslesbares Secret als Seed geschrieben wird. Insofern handelt es sich nicht tatsächlich um ein vollwertiges One Time Pad.
Daneben gibt es eine Funktion, die Challenge-Response-Authentifizierung erlaubt. Generell basiert diese wiederum entweder auf asymmetrischer Verschlüsselung oder, wie im Falle des Yubikey, auf Hash-Verfahren. Ersteres hat Vorteile beim Schlüsselmanagement, dafür ist letzteres hardwareseitig viel einfacher zu implementieren - besonders mit den Komponenten, die aufgrund der oben genannten Funktion im Yubikey schon vorhanden sind.
Symmetrische Kryptografie findet in beiden Funktionen des Yubikey keinen Platz. Auf asymmetrische Funktionen wurde schlicht und ergreifend aus Kostengründen verzichtet - die Primäre Funktion des Sticks ist ohnehin das "One-Time-Pad", die zweitklassige Challenge-Response Funktion nur eine zusätzliche Dreingabe.
Naja die Kostengründe sind die "offizelle" Aussage von yubikey, angesicht der Preise im Vergleich im OpenPGP Karten, scheint mir das aber noch nicht einsichtig. Und wenn die Challenge-Response Funktion zweiklassig ist, warum dann überhaupt anbieten?
Gruß, Bernhard
Bernhard Reiter reiter@fsfeurope.org, Mon, 2 Dec 2013 11:37:18 +0100:
Am Freitag, 29. November 2013 23:01:56 schrieb Paul Hänsch:
Ich meinte natürlich, warum die kein _a_symmetrisches Verfahren einsetzen war unklar. So besteht die Möglichkeit, wenn der Server die registrierten Infos verliert, dass der yubikey kompromittiert ist (wenn ich mich richtig erinnere).
Jain, bei den CRAM-Verfahren werden die Serverpasswörter mit einem serverspezifischen Salt abgelegt, der vom Client mit verhasht wird. So kann der Server niemals in Besitz des eigentlichen Secrets kommen und die Passwortdatenbank des einen Servers ist auf dem anderen wertlos. Das ist die Sache mit dem Inneren und äußeren Hash, die du auf Wikipedia liest. Aber... das funktioniert, weil bei Browser/Mailclientbasierten CRAM-Lösungen der Serversalt vom Client erzwungen wird. IdR. ein Salt der dem Domainnamen entspricht. Der Yubikey hat in genau dem Fall in dem du das CRAM-Verfahren zur lokalen Authentifizierung nutzt keine Möglichkeit einen Serverhash zu erzwingen oder eine Uhrzeit zu ermitteln, so dass eine böswillige Authentifizierungsstelle schon beim ursprünglichen Verzeichnen des Serversecrets den den Serverhash einer anderen Authentifizierungsstelle kopieren kann (der ist ja nicht geheim). Das hat mit einem Verlust der Tokendatenbank auf dem Server nichts zu tun und das Szenario fordert vor Allem aufmerksamkeit beim Ausrollen der Serversecrets - das ist die Sache mit dem Keymanagement von dem ich erwähnt habe, dass es bei RSA einfacher ist.
Kompromittiert ist der Yubikey wenn der Server die HOTP-Secrets verliert. *Das* allerdings lässt sich schwer vermeiden, für das Anwendungsszenario in denen der Key zum Einsatz kommt. Wie schon erwähnt ist Challenge-Response nicht bei allen Szenarion praktikabel. HOTP ist da unter Umständen ein praktikableres Szenario das eben leider diese Eigenschaft hat.
Symmetrische Kryptografie findet in beiden Funktionen des Yubikey keinen Platz. Auf asymmetrische Funktionen wurde schlicht und ergreifend aus Kostengründen verzichtet - die Primäre Funktion des Sticks ist ohnehin das "One-Time-Pad", die zweitklassige Challenge-Response Funktion nur eine zusätzliche Dreingabe.
Naja die Kostengründe sind die "offizelle" Aussage von yubikey, angesicht der Preise im Vergleich im OpenPGP Karten, scheint mir das aber noch nicht einsichtig. Und wenn die Challenge-Response Funktion zweiklassig ist, warum dann überhaupt anbieten?
Sicher wäre es auch furchtbar praktische einen Kaffeewärmer und eine Kreditkartenfunktion im Key zu haben. Aber irgendwo musst du die Grenze ziehen und bei derzeitigem µC-Design ist die eben sehr niedrig angelegt. Während das "Dinger" einer PGP-Card eben RSA/DSA ist, ist Sha1 das "Ding" was der Yubikey fährt (macht die Smartcard eigentlich Sha1?) - One Tool, One Job. Den Yubikey jetzt dafür zu kritisieren, *dass* er das Feature implementiert statt wegzulassen wäre natürlich Quark. Dazu kommt, dass "zweitklassig" wahrscheinlich immernoch die zweitbeste Authentifizierungsmethode seit Pythagoras ist.
Ich will hier nicht grundsätzlich für den Yubikey argumentieren. Die Intention meiner Mails war die Klärung des technischen Sachverhalts, nicht eine Beteiligung an der Diskussion um den Wechsel. Ich kann mir jedenfalls schon vorstellen, dass die Funktionen eines Yubikeys häufiger genutzt werden würde, als die Funktionen der Fellowship-Karte im Moment genutzt werden.
Am Montag, 2. Dezember 2013 12:44:24 schrieb Paul Hänsch:
Die Intention meiner Mails war die Klärung des technischen Sachverhalts,
Ja, danke für den Erklärungsversuch, darum geht es mir ja auch. Im Detail habe ich mich damit, noch nicht beschäftigt, meine Erinnerung stammt halt aus der Diskussion und dem Vortrag.
nicht eine Beteiligung an der Diskussion um den Wechsel. Ich kann mir jedenfalls schon vorstellen, dass die Funktionen eines Yubikeys häufiger genutzt werden würde, als die Funktionen der Fellowship-Karte im Moment genutzt werden.
Da ich die Sicherheitseigenschaften des yubikeys (trotz Vortrag und Deinen Erkläungen) immer noch nicht ganz verstanden habe, kann ich dazu auch wenig sagen.