Yubikey & pgp4win/Kleopatra

Gpg4win help-de
, ,
1

Guten Abend zusammen,

ich habe eine Frage bezüglich des „Yubikey“ und PGP4Win/Kleopatra.

Ich habe relativ erfolgreich die Funktionsweise von Kleopatra erlernt. Ich verstehe, dass es einen sogenannten „public key“ und „private key“ gibt.

Der „private key“ wird zum Signieren, Entschlüsseln von verschlüsselten Nachrichten an mich (bzw. meinen „public key“) und zum Signieren von Nachrichten benötigt.

Es gibt bestimmt noch weitere Funktionen, aber für mich sind die wichtigsten das Verschlüsseln und Entschlüsseln von Nachrichten/Dateien.

Nun gibt es ja die Funktion einer „Smartcard“, was ich quasi als eine Art 2FA (Zwei-Faktor-Authentifizierung) verstehe. Das bedeutet, sollte jemand meinen „private key“ und das dazugehörige Passwort haben, würde er zusätzlich noch diese „Smartcard“ benötigen.

Diese Option hätte ich jedenfalls sehr gerne.

Ich komme mit den ganzen YouTube-Videos nicht ganz zurecht, da niemand wirklich das Programm Kleopatra benutzt, sondern andere Programme.

Nun ist meine Frage: Kann ich meinen „private key“ auf diesen USB-Stick/„Yubikey“ laden, sodass ich jedes Mal, wenn ich eine Nachricht entschlüsseln/verschlüsseln will, anstatt nur das Passwort für den „private key“ einzugeben, den „Yubikey“ in den PC stecken und dort die PIN eingeben muss (um den „Yubikey“ zu entsperren) damit das ver-/entschlüsseln funktioniert?

Ich möchte also, dass die Funktionen nur noch mit dem „Yubikey“ ausführbar sind.

Und aktuell funktioniert nur der „Yubikey 5 NFC“ und nicht der „Yubikey Bio“ (Mit Fingerabdruck Sensor) oder?

Ich würde auch jeden anderen Stick / Smartcard nutzen aber anscheinend soll „Yubikey“ für Kleopatra die beste Option sein?

Könnte man auch mehrere „private keys“ auf dem Stick abspeichern für z.B zwei verschiedene Kleopatra Accounts? Falls ja kann man die mit seperaten PINs sichern oder nur beide mit den selben?

Ist das möglich? Vielen Dank für eure Hilfe.

Grüße

2

Hi @DonaldBidenJr.24,

Gpg4win :wink: Das Kürzel steht für GnuPG, welches die eigentliche Krypto-Engine ist.

Sollte jemand darauf Zugriff haben, könnte diese Person ebenfalls eine Smartcard mit deinen Zugangsdaten erstellen. Deshalb ist es sehr wichtig, dass du deinen privaten Schlüssel sicher aufbewahrst.

Ja, das geht.

Der NFC funktioniert dafür. Zum “Bio” habe ich noch nichts gelesen.

Der Yubikey ist auch deswegen eine gute Entscheidung, weil du bei Fragen auf die Erfahrung von anderen zugreifen kannst. Auf der gnupg-users-Mailingliste gibt es immer wieder Thema zu dem Stick. Wenn dir hier nicht alle Fragen beantwortet werden können, kannst du auf jeden Fall noch dort Fragen stellen.

Ich hoffe, ich konnte dir schon mal bei ein paar Fragen helfen :slight_smile: Vielleicht möchte @bernhard noch etwas ergänzen.

1 Like
3

Genau, deshalb würde ich sehr gerne die Sicherheitskopie des „private key“ permanent von meinem PC und allen Cloud Diensten (Aktuell nur auf PC + Apple Cloud gespeichert) löschen und nur noch auf den Yubikey laden.

Mir ist bewusst das, sollte ich den Yubikey verlieren, er kaputt geht, ich die PIN 3x falsch eingeben, ich den Zugriff permanent auf meinen Account verlieren würde. Das Risiko würde ich aber eingehen wollen um diese Sicherheit zu haben das nur mit der externen Hardware „Yubikey“ der Zugriff zum entschlüsseln gewährleistet ist

Mein „Zertifikat“ in Kleopatra besteht ja quasi nur aus meinem erstellten „public key“ oder? Also Fingerabdruck und eine potentielle Email + die zum „public key“ gehörende „private key + passwort“ sind im dem „public key“ gespeichert?

Heißt in dem Program ist eigentlich mein „private key“ nicht direkt gespeichert?

Also angenommen ich geh jetzt an einen neuen Computer, installiere Kleopatra neu und lade meinen „public Key“ und importiere diesen über Notizblock in den Zertifikatspeicher, kann ich dann eine verschlüsselte Email an mich in den Notizblock einfügen und mit dem „Yubikey + PIN“ entschlüsseln? Oder müsste ich an dem neuen PC auch meinen „private key“ laden?

Okay super.

Aufjeden Fall, vielen Dank schonmal für deine informative Antwort!

4

Ah verstehe, also ist „Kleopatra“ nur die GUI, das graphical user interface?

5

Ich würde in dem Fall einen neuen Key erzeugen, der noch nie in der Cloud war. Du kannst auch einen Key auf dem Yubikey erzeugen, der diesen nie verlässt. (Kleopatra bietet dir in dem Fall an, ein Backup ein Backup nur des encryption-Unterschlüssels zu erstellen, dann wird nur dieser Unterschlüssel auf dem PC erstellt und von dort auf das Token kopiert).

Und ja, Kleopatra ist ein Frontend/GUI für gpg.

1 Like
6

Eine Liste der Einrichtungs-Schritte auf Englisch findet sich hier: SmartCard - GnuPG wiki

1 Like