Ich würde gerne wissen, ob der Nitrokey meine Anfoderungen erfüllt, bevor ich ihn kaufe:
Ich will die Keys nicht auf ihm erzeugen, sondern normal erzeugen, dann exportieren und danach auf den Nitrokey importieren.
Kann ich nur private Unterschlüssel ohne den privaten Hauptschlüssel importieren?
Wenn ich die Schlüssel auf dem Nitrokey durch einen neuen Satz von Schlüsseln ersetzen will – geht das? Oder muss ich mir einen neuen Nitrokey kaufen, wenn ich mit ihm die neuen Schlüssel nutzen möchte?
Wie viele Schlüsselsätze (Haupt- und Unterschlüssel) kann ich auf dem Nitrokey speichern?
Kann ich auf dem NK nur private Svhlüsselsätze speichern oder jeweil ganze Schlüsselpaare mut den jeweiligen Unterschlüsselpaaren?
ich denke, dass kann ich für den NK pro beantworten:
[ol] ] GPG bieten 3 Möglichkeiten an: bereits erzeugten Schlüssel verschieben (keytocard), bereits erzeugten Schlüssel kopieren (bkuptocard) und Unterschlüssel auf Karte erzeugen (addcardkey)/:m] ] Der NK pro bietet 3 Key Slots, überlicherweise sind dort 3 Unterschlüssel (Signieren, Verschlüsseln, Authentifizieren). Die Schlüssel müssen RSA sein; bis zu 2048 bit sind erlaubt. Technisch ist es wohl möglich, auch einen Hauptschlüssel zu verschieben, aber es ist nicht der Normalfall. (Normale Anleiteitung: wiki.fsfe.org/Card_howtos/Card_ … ng_backups )/:m] ] Natürlich ist der Ersatz möglich. Wenn du jedoch keine Backups hast, sind die überschriebenen Schlüssel weg. (Es ist das eigentlich Feature von Lösungen wie NK, dass die Schlüssel benutzt werden können, es aber unmöglich ist, dass sie die Karte verlassen.) (Nebenbei: ich bin mir nicht sicher, was passiert, wenn man das Admin Password 100x falsch eingibt, ich traue mich aber auch nicht, das auszuprobieren.)/:m] ] Siehe 2. (Ich kenne nur den NK pro.)/:m] ] 3 Slot für Einzelschlüssel, nicht für 3 Haupt (mit beliebig vielen Unterschlüsseln)./:m][/ol]
Der NK pro hat zudem eine OTP Funktion (TOTP und HOTP); diese Schlüssel sind jedoch nicht physikalisch geschützt (anders als die GPG Schlüssel auf dem NK pro). Ferner bietet der Nitrokey (zusammen mit der nitrokey-app) einen Passwort Safe, aber dessen verschlüsselte DB ist meiner Ansicht nach nicht auf dem NK pro gespeichert (sondern lokal).
Ferner möchte ich erwähnen, dass es Konkurrenzprodukte wie den Yubikey 4 und andere gibt, die teilweise (noch) mehr Funktionen bieten - aber mit diesen unterstützt du das NK Projekt nicht.
Der Nitrokey Pro kann RSA-Schlüssel bis 4096 Bit speichern. Bei “uralten” GnuPG-Versionen hab es ein Software-Limit bei 2048 Bit.
Wenn die Admin-PIN dreimal falsch eingegeben wird, dann wird die Karte komplett gesperrt und kann nur durch einen factory reset wieder nutzbar gemacht werden, wonach Sie wieder im Auslieferungszustand ist.
Man kann immer nur einen Schlüssel zur Zeit auf die Karte kopieren, muss also den jeweiligen Schlüssel auswählen. Man ist nicht gezwungen, den Hauptschlüssel auf den NK zu schreiben.
Beim NK Pro lassen sich die Schlüssel einfach überschreiben. Unabhängig davon kann man den Stick in den Auslieferungszustand versetzen, siehe
[quote=“klara93”]
5. Kann ich auf dem NK nur private Svhlüsselsätze speichern oder jeweil ganze Schlüsselpaare mut den jeweiligen Unterschlüsselpaaren?[/quote]
Meines Wissens kann man keine öffentlichen (OpenPGP-)Schlüssel auf dem NK speichern. Das wäre auch wenig sinnvoll, weil die Software den Stick für Operationen mit den öffentlichen Schlüsseln sowieso nicht nutzt. Der NK wäre dann nicht mehr als ein USB-Stick, um die Zertifikatsdatei immer dabei zu haben.
Man kann aber eine URL in den NK schreiben, so dass GnuPG weiß, von wo das Zertifikat importiert werden kann.
Danke aano und hauke_laging für die Informativen Antworten!
Ich bin GnuPG-Anfängerin, daher ist meine Frage evtl. ungeschickt (kann sie mir aber nicht selbst beantworten): Gesetzt den Fall, ich habe einen unsicheren Rechner A, auf dem ich die tägliche Arbeit mit GnuPG mache (kein privater Hauptschlüssel) und einen Offline-Rasppi, auf dem ich den privaten Hauptschlüssel habe und auf dem ich die Zertifizierungen der Fremdschlüssel durchführe:
Was bringt mir dann eine Smartcard oder der Nitrokey?
Damit meine Unterschlüssel nicht entwendet werden können, korrekt?
Sehe ich das richtig, dass der Nitrokey eher für Benutzer gedacht ist, die auch ihren privaten Hauptschlüssel immer mit sich dabei haben wollen?
Das ist richtig und ich lag falsch (mein NK Pro meldet einen ZeitControl OpenPGP 2.1 Chip und diese Spezification lässt 4096 Bit zu).
Das ist technisch nicht richtig - da der Private Key bei GPG stets den Public Key mit umfasst (siehe superuser.com/questions/434614/d … ey-as-well), von der Intention aber korrekt (da man den Private Key nicht auslesen kann, kommt man auch nicht über den NK an den Public Key heran).
Hhm, eigentlich die privaten 3 Unterschlüssel (signieren, verschlüsseln, authentifizieren). Aber es hält dich natürlich niemand davon ab, den Hauptschlüssel drauf zu legen.
Eher eine Frage nach deiner ‘Paranoidität’. Wenn du auf ‘unsicher A’ Texte ver- und entschlüsselst, hast du zu A wohl ein gewisses Basisvertrauen.
Meiner Ansicht nach ist ein NK etwas für Leute, die auf einem ans Internet verbundenen Rechner sicherstellen wollen, das ihre privaten (Unter-)Schlüssel nicht geklaut werden können. Insofern ist das sicher kein Produkt für den Massenmarkt.
Die Quelle ist korrekt, aber Du verwechselst gerade Zertifikate mit Schlüsseln. Die öffentlichen Schlüssel werden mit exportiert, wenn ein privater Schlüssel (bzw. die privaten Schlüssel eines Zertifikats) im standardisierten OpenPGP-Format exportiert wird. Mit dem Kopieren von Schlüsseln auf Smartcards hat das nichts zu tun. Die Smartcard interessiert sich nur für das reine Schlüsselmaterial, nicht für die Metadaten. Und sie kann mit dem OpenPGP-Format auch gar nichts anfangen.
Die Smartcard kannst Du mit dem neuen Schlüsselspeicherformat von GnuPG 2.1.x vergleichen: .gnupg/private-keys-v1.d/ Das ist kein Keyring mehr (wie es die klassisch exportierten privaten Schlüssel sind), sondern reines Schlüsselmaterial, identifiziert über den Keygrip, im Grunde ohne jeden Bezug zu OpenPGP (da liegen OpenPGP-Schlüssel neben SSH-Schlüsseln).
