debianforum.de

die deutschsprachige Supportwebseite rund um das Debian-Projekt
https://debianforum.de/forum/

Yubikey, Nitrokey und ssh-Certificate

https://debianforum.de/forum/viewtopic.php?t=174598

Seite 1 von 1

Yubikey, Nitrokey und ssh-Certificate

Verfasst: 04.09.2019 16:52:33
von scientific
Hi Leute!

Hat jemand von Euch Erfahrungen mit Yubikey oder Nitrokey? Prinzipiell würden mich da einmal Erfahrungen interessieren.

Und nun zur speziellen Frage: Auf dem Yubikey kann ich meinen ssh-PrivateKey speichern. Kann ich auf so einem Teil aber auch ein ssh-Zertifikat speichern?
Die ssh-Zertifikatsgeschichte sieht ja so aus, dass ich meinen Public-Key von einer ssh-CA signieren lasse und ein file id_rsa-cert.pub zurückbekomme. Dieses Zertifikat benötige ich gemeinsam mit dem PrivateKey für die Authentifizierung mittels Zertifikaten am ssh-Server... Aber wenn ich so ein Zertifikat nicht am Hardware-Token speichern kann, ist es ja relativ sinnlos, so ein Teil zu verwenden.

Ich finde dazu leider im Netz überhaupt nix. Und bevor ich 100€ ausgebe und dann kann ich diese Art der Authentifizierung nicht verwenden, spar ich mir das Geld lieber...
Ich fand einzig ein HSM für eine ssh-CA am Server. Aber das ist nicht die Anwendung die ich suche.

lg scientific

Re: Yubikey, Nitrokey und ssh-Certificate

Verfasst: 05.09.2019 21:25:39
von debianuser4782
Hallo,

ich habe ein paar Yubikeys und einen Nitrokey.

Leider ist Dein Anwendungsfall bei mir (noch) nicht relevant geworden.

Die Yubikeys konfiguriere ich mit dem grafischen Personalisierungs-Werkzeug -> yubikey-personalization-gui -> https://packages.debian.org/jessie/yubi ... zation-gui

,vorzugswürdig auf einem Offline PC, der keine Verbindung zum Internet hat.

Um zu sehen welche Funktionen diese Software hat, einfach mal installieren und anschauen.

Auf den Yubikeys speichere ich längere statische Passwörter.

Den Yubikey nano verwende ich derzeit zudem für die OTP-Funktion (Plugin: OtpKeyProv) bei Keepass2, als 2. Faktor zur Verschlüsselung der Passwortdatenbank.

Ich werde aber bald zu KeepassXC wechseln, bei dem der Yubikey als 2. Faktor mit HMAC-SHA1 funktioniert. Dies kommt mir entgegen, da das von mit benutzte Tails 4.0 von Keepassx zum belebteren keepassxc wechseln wird.


Der Nitrokey läuft unter Debian mit der nitrokey-app -> https://packages.debian.org/buster/nitrokey-app

Ich benutze ihn derzeit mit TOTP als 2. Faktor ("Haben") zum Login in den Webclienten meines Mailproviders zusammen mit einer PIN ("Wissen") als 1. Faktor.

Auch den Nitrokey konfiguriere ich mit der nitrokey-app auf einem Offline-PC.

Unter Windows hatte ich zudem die integrierte Keyfile des Nitrokeys zum Absichern von Veracrypt-Containern benutzt. Wie man an die Keyfile unter Debian kommt, habe ich noch nicht recherchiert. Der Zugriff auf die Keyfile wird mit einer PIN gesichert.

Insgesamt sind Hardware-Token gut in eigene Sicherheitkonzepte integrierbar und ein Einstieg bei ihnen lohnt sich jedenfalls.
Alle Zeiten sind UTC+01:00
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/