OpenPGP mit SmartCard verwenden (GnuPG)
Nachdem ich nun eine OpenPGP-SmartCard zum digitalen signieren und verschlüsseln von E-Mails und Dateien habe, möchte ich nur kurz auf die Verwendung eingehen.
Zunächst einmal gibt es auf mehreren Websites ‘HOWTOs’ zu diesem Thema, doch oftmals wird noch auf gpg verwiesen anstatt auf gpg2. Im Grunde war dies auch das einzige Problem, welches ich bei der Benutzung der SmartCard anfangs hatte, da ich das erstmal herausfinden musste. Mein Card-Reader – ein SCM SCR335 – hat gleich nach dem anschließen einwandfrei funktioniert, jedoch konnte ich noch keine Schlüssel auf der SmartCard anlegen, da ich gpg aufgerufen hatte (das Anzeigen der Karteninformationen funktionierte allerdings!).
Schließlich konnte ich dann mit diesem Befehl ganz einfach ein neues Schlüsselpaar anlegen:
gpg2 –card-edit
Anschließend musste ich die Admin-Befehle freischalten mit:
admin
und letztlich nur noch die Schlüssel generieren:
generate
In meinen Mailprogrammen und im Dateisystem verhält sich alles wie gewohnt ausser, dass nun die Karte beim verschlüsseln und signieren von Mails und Dateien stecken muss und man statt dem Passwort seinen PIN-Code eingeben muss. Natürlich muss man zuvor den entsprechenden Schlüssel als Standard-Schlüssel für eine Mail-Adresse auswählen, denn ansonsten würde unter Umständen noch ein älterer Schlüssel verwendet werden, oder noch gar keiner.
Während man in gpg2 –card-edit ist kann man sich die verfügbaren Kommandos per ‘help’ ausgeben lassen.
Da es zum GnuPG-Programm ohnehin schon einige Artikel gibt, möchte ich auf die Website verweisen: http://www.gnupg.org
Eine Liste unterstützter Kartenlesegeräte findet man übrigens auch bei GnuPG.org und wer gerne eine personalisierte SmartCard hätte und gleichzeitig noch freie Software unterstützen möchte, möge der Free Software Foundation Europe beitreten. Da die Mitgliedschaft bei der FSFE mindestens 60 Euro pro Jahr kostet (Standard-Mitgliedschaft: 120 Euro), sollte allerdings auch ein gewisses Interesse an freier Software bestehen und nicht der Beitrag zur reinen Benutzung der SmartCard dienen.
Solltet ihr noch Fragen zu diesem Thema haben oder Probleme auftauchen, so könnt ihr hier gerne Fragen. Bezüglich Hardware-spezifischer Hilfe dürft ihr euch von mir nicht viel erwarten, wenn es sich um einen anderen Reader handelt.
Tags: e-mail, encryption, gnupg, gpg, gpg2, openpgp, smartcard
03. Juni 2010 um 11:51
Das generieren der Schlüssel auf der Karte ist IMHO nicht zu empfehlen, da dann kein Backup möglich ist. Ich empfehle, nach dem HowTo [1] vorzugehen. Übrigens sollte es auch ohne gpg2 funktionieren, die Karte zum laufen zu bringen – vorausgesetzt, man hat GnuPG >=1.4.10 (die 1.x-Serie wird nach wie vor weiterentwickelt und ist im Gegensatz zur 2.x-Serie nicht von einem laufenden gpg-agent abhängig).
1. https://wiki.fsfe.org/Card_howtos/Card_with_subkeys_using_backups
08. Juni 2010 um 02:33
Die sind ja nicht komplett blöd, die Leute, die gpg und Smartcards entwickeln. Natürlich kann man ein Backup machen, wenn man einen Schlüssel auf der Karte erstellen lässt. Aber das geht nur bei der Erzeugung, später natürlich nicht mehr:
http://www.gnupg.org/howtos/card-howto/en/ch03s03.html#id2521952
Das Howto ist übrigens nur beschränkt clever. Wenn man schon Smartcards benutzt, dann sollte man keine DSA-Schlüssel erzeugen, weil die OpenPGP-Karte damit nicht umgehen kann. Wenn man den Hauptschlüssel nicht auf der Alltags-Smartcard haben will, weil der da missbraucht werden könnte (man sieht ja nicht, was der Rechner wirklich mit der Smartcard macht…), dann kann man sich einen RSA-Schlüssel immer noch auf eine zweite Smartcard packen.