YubiKey Neo als OpenPGP-Smartcard nutzen
In unserem Stiftfilm haben wir erklärt, wie Sie PGP einrichten und E-Mails verschlüsseln können. Die Sicherheit der PGP-Verschlüsselung hängt in hohem Maße von der sicheren Aufbewahrung des privaten Schlüssels ab. Nutzt man z.B. GnuPG auf mehreren Rechnern, insbesondere wenn andere Nutzer Administrator- bzw. Root-Rechte auf diesen Rechnern haben, ist es nicht auszuschließen, dass der private Schlüssel in fremde Hände gelangt.
Smartcards ermöglichen eine sichere Nutzung von PGP unter diesen Bedingungen. Der private Schlüssel ist ausschließlich auf der Smartcard gespeichert und verlässt diese sichere Umgebung nie. Der YubiKey Neo, den Sie bei mailbox.org sicheren Einloggen mit Einmalkennwörtern (OTP, „one-time password“) verwenden können, kann auch als OpenPGP-Smartcard verwendet werden.
Diese Funktion muss auf dem YubiKey Neo freigeschaltet werden. Dafür benötigen Sie das Programm „ykpersonalize“, das Sie von der Yubico Webseite herunterladen können. Für Ubuntu und Fedora gibt es entsprechende Repositories. Nach der Installation des Programms können Sie in einer DOSBox bzw. im Terminal die Smartcard Funktion mit folgendem Kommando aktivieren:
ykpersonalize -m82
Smartcards mit Thunderbird und Enigmail verwalten
Die Smartcard-Funktion des YubiKey NEO können Sie nur mit einem lokalen E-Mail-Client nutzen. Wir empfehlen Mozilla Thunderbird mit dem Add-on Enigmail dafür. Enigmail ist mit der Smartcard vollständig kompatibel. Die Funktionen zur Verwaltung finden Sie im Thunderbird-Menü unter „Enigmail | SmartCard verwalten...“.
Die Geheimzahl ändern
Als erstes sollten Sie die 6-stellige Geheimzahl (PIN) und die 8-stellige Admin-Geheimzahl der Smartcard ändern (die Standardwerte bei Auslieferung sind 123456 für PIN und für die Admin-PIN 12345678). Öffnen Sie dazu einfach im Menü „SmartCard | PIN ändern...“:
Achtung:
- Wurde die Geheimzahl 3x falsch eingegeben, dann wird die Smartcard gesperrt und kann nur mit der Admin-Geheimzahl wieder freigeschaltet werden.
- Wurde die Admin-Geheimzahl 3x falsch eingegeben, zerstört sich die Smartcard und wird unbrauchbar
Wenn man die Geheimzahlen geändert hat, kann man fortfahren und die Smartcard mit Namen, einer Download-URL für den öffentlichen Schlüssel usw. personalisieren.
Die Schlüssel erstellen
Als letzten Schritt vor der Nutzung der Smartcard müssen noch die Schlüssel auf der Smartcard generiert werden. Dafür muss ein E-Mail-Account ausgewählt werden, für den der Schlüssel erzeugt werden soll.
Hinweis: Nur unmittelbar nach dem Generieren der Schlüssel kann man ein Backup anlegen, dass man im Falle der Beschädigung der Smartcard auf einem neuen YubiKey Neo importieren kann. Später ist kein Zugriff auf die privaten Schlüssel mehr möglich! Das Backup sollte sicher aufbewahrt werden und nicht auf dem Rechner gespeichert sein.
Nutzung
Wenn man zukünftig seinen privaten Schlüssel benötigt (z.B. zum Entschlüsseln oder Signieren von E-Mails), dann muss der YubiKey Neo angeschlossen sein. Nach Abfrage der Geheimzahl wird der Zugriff auf den privaten Schlüssel gewährt und die entsprechende kryptographische Funktion auf dem YubiKey Neo ausgeführt.