The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Использование USB-брелоков Yubikey для ключей GPG и SSH
Пример, как можно использовать USB-брелок Yubikey в качестве смарткарты для
хранения GPG-ключей и ключей для аутентификации на SSH-серверах.

Использование с GPG.

Подключаем Yubikey к порту USB и проверяем, что он определился:

   gpg --card-status
   ...
   Version ..........: 2.1
   Manufacturer .....: Yubico

Для переноса GPG-ключа на брелок запускаем "gpg --edit-key идентификатор_ключа"
и выполняем в редакторе команду "keytocard" (внимание, закрытый ключ будет не
скопирован, а перенесён, т.е. удалён с локальной машины, поэтому нужно заранее
позаботиться о создании резервной копии).

Убедимся, что ключ переместился:

   gpg --card-status | grep key

   URL of public key : [...]
   Signature key ....: [...] XXXX YYYY
   Encryption key....: [...] ZZZZ VVVV
   Authentication key: [...] AAAA BBBB
   General key info..: sub  rsa4096/QQQQQQ <foobar@domain.tld>

Для проверки создадим шифрованное сообщение и расшифруем его:

   gpg --encrypt  --output /tmp/message.txt.enc -r foobar@domain.tld /tmp/message.txt
   gpg --decrypt /tmp/message.txt.enc


Настраиваем SSH-ключи.

Удостоверимся, что ключ аутентификации перенесён на Yubikey ("Authentication
key" в выводе "gpg --card-status") и выполним экспорт открытого ключа SSH из Yubikey:

   gpg --export-ssh-key 0xAAAABBBB
  
Далее, скопируем экспортированный ключ на SSH-сервер и настроим gpg-agent для
работы в роли агента SSH:

   echo 'enable-ssh-support' >> ~/.gnupg/gpg-agent.conf       

Перезапустим агенты GPG/SSH:

   killall gpg-agent
   killall ssh-agent
   gpg-agent --daemon

Поменяем путь к сокету SSH_AUTH_SOCK на GPG. В ~/.bashrc:

   export SSH_AGENT_PID=""
   export SSH_AUTH_SOCK=$(gpgconf --list-dirs agent-ssh-socket)

Проверим, виден ли ключ SSH при подключении брелока:

   ssh-add -l

   4096 SHA256:XXXX cardno:0006064XXXX (RSA)

Всё в порядке, теперь при подключении к серверу SSH будет использовать ключ с брелока Yubikey.
 
15.01.2018 , Источник: https://0day.work/using-a-yubikey-f...
Ключи: yubikey, crypt, ssh, gpg, auth / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP



Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Аномномномнимус, 15:12, 15/01/2018 [ответить] [смотреть все]
  • +/
    Это те которые теперь closed-source code и дырявые?
    In October 2017, security researchers found a vulnerability (known as ROCA) in the implementation of RSA keypair generation in a cryptographic library used by a large number of Infineon security chips. The vulnerability allows an attacker to reconstruct the private key by using the public key.[18][19] All YubiKey 4, YubiKey 4C, and YubiKey 4 nano within the revisions 4.2.6 to 4.3.4 are affected by this vulnerability

    Есть что-то более открытое аналогичное?

     
     
  • 2.2, Аноним, 16:27, 15/01/2018 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Сделай своё на Arduino AVR STM32 RISC-V Ну серьезно, в наше время можно купить ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.3, Аноним, 18:31, 15/01/2018 [^] [ответить] [смотреть все]  
  • +/
    угу, убердивайс, из которого все твои закрытые ключи и пароли вынимаются путем ч... весь текст скрыт [показать]
     
     
  • 4.6, Аноним, 14:27, 16/01/2018 [^] [ответить] [смотреть все]  
  • +/
    STM32 можно залочить на "WriteOnly".
     
     
  • 5.9, Аноним, 03:21, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    У L1 L4 F0 есть еще level2, там блокируется все что можно И jtag, и встроен... весь текст скрыт [показать]
     
  • 4.7, Аноним, 14:28, 16/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Ну и кто мешает применить AES шифрование для своих ключей ... весь текст скрыт [показать]
     
     
  • 5.15, Аноним_, 14:29, 25/01/2018 [^] [ответить] [смотреть все]  
  • +/
    здравый смысл Задача не в шифровании кто мешает шифровать на диске без всяки... весь текст скрыт [показать]
     
  • 4.8, Аноним, 00:28, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Прочитаешь мне STM32 А то гадские китайцы залочили прошивку на чтение, понимаеш... весь текст скрыт [показать]
     
     
  • 5.11, Аноним, 03:51, 18/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Так и быть Анон, я дам тебе 10К зелени если ты напишешь её с нуля А будет луч... весь текст скрыт [показать]
     
  • 2.4, Аноним, 22:30, 15/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В статье переносят свой ключ на юбикей, а не генерируют новый ключ юбикеем, уязв... весь текст скрыт [показать] [показать ветку]
     
  • 2.5, Аноним, 08:35, 16/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Эта уязвимость лишь упрощает факторизацию простых ключей 512, 1024 и 2048 , _со... весь текст скрыт [показать] [показать ветку]
     
  • 2.10, Crazy Alex, 11:55, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Trezor, например Оно, конечно, в первую очередь биткоин-кошелёк, но и более при... весь текст скрыт [показать] [показать ветку]
     
  • 2.16, nuclearcat, 03:53, 27/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Я наваял такое: https://github.com/nuclearcat/cedarkey
    Работает, но до ума не доводил, т.к. лично для меня достаточно существующего функционала, а остальным неинтересно, скорее всего по причине отсутствия blue pill.
     
  • 1.12, Аноним, 18:04, 21/01/2018 [ответить] [смотреть все]  
  • +/
    > Юбикей

    Юбать какие ключи!

     
  • 1.13, Аноним, 12:26, 24/01/2018 [ответить] [смотреть все]  
  • +/
    А как-то можно этих штук купить и не загреметь на нары?
     
     
  • 2.14, можно, 14:21, 25/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    приезжаешь (по туристик визе) в Штаты. И заказываешь да хоть с амазона хоть на адрес в хостеле, хоть целое ведро.

    При отлете в родные щебеня - оставляешь на тумбочке, конечно. Ты ж купить спрашивал, а не "купить в Россию", да? ;-)

     
     
  • 3.17, Петр, 17:38, 28/01/2018 [^] [ответить] [смотреть все]  
  • +/
    https://store.softline.ru/yubico/


     
     
  • 4.21, Аноним, 08:35, 19/02/2018 [^] [ответить] [смотреть все]  
  • +/
    Дорого Если, например, хочется входить в систему по ключу хранить на нем же п... весь текст скрыт [показать]
     
     
  • 5.23, Andrey Mitrofanov, 13:11, 20/02/2018 [^] [ответить] [смотреть все]  
  • +/
    >то
    > за тыщу рублей можно что-то найти? (кроссплатформенное, ествественно)

    Спаяй, будь ... самоделкиным ^W производителем!

    https://www.fsij.org/gnuk/neug-on-stm32-nucleo-f103.html
      <=https://fosdem.org/2018/schedule/event/hwenablement_gnuk_token_and_gnupg_scdae

    1900 йен это тыр или больше?...

     
  • 1.22, nanoo, 10:22, 19/02/2018 [ответить] [смотреть все]  
  • +/
    Подскажите нубу. Чем это лучше смарткарт?
     
  • 1.24, Pavel Odintsov Home, 19:18, 21/02/2018 [ответить] [смотреть все]  
  • +/
    А есть и полный опенсорс для этой задачи: https://github.com/nuclearcat/cedarkey
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor