PO-24008-123RF-Maksim_Kabou_123RF-Digitaler_Schluessel_in_3D.jpg

© iMaksim Kabou, 123RF

Nitrokey Pro im Praxistest

Digitaler Hausschlüssel

,
Der Nitrokey Pro verspricht einen sicheren Safe für Passwörter und eine Zwei-Faktor-Authentifizierung. Im Praxistest tritt der Newcomer gegen den Platzhirsch YubiKey an.

Zugangsdaten zu IT-Systemen erfordern eine sichere und insbesondere dauerhafte Möglichkeit zum Aufbewahren. Gleiches gilt für den Nachweis der eigenen Identität im Netz. Wer seine IT-Systeme selbst verwaltet, kümmert sich in der Regel auch um die Zugangsdaten und braucht dann Möglichkeiten, um diese zu modifizieren und zu verifizieren.

Nicht nur aus technischer Sicht ist eine stets sichere, verlässliche und praktikable Authentifizierung an IT-Systemen wünschenswert. Der Anspruch geht mit dem Wunsch einher, sich gegen Systemausfälle, das Altern und den Verlust von Hardware, (Daten-)Diebstahl oder auch fehlerhafte Produktion abzusichern. Daneben spielt der Schutz der Privatsphäre eine immer größere Rolle. Zu guter Letzt soll die eingesetzte Technik auch mit der Entwicklung modernerer Authentifizierungsverfahren mithalten können.

In früheren Ausgaben haben wir unter anderem den Crypto-Stick [1] der German Privacy Foundation [2] sowie den YubiKey besprochen. Letzteren in verschiedenen Szenarien. Dazu gehören YubiKey und SSH [3],[4], YubiKey Neo und Smartphone [5], YubiKey und Xlogin [6] sowie YubiKey und Apache-Webserver [7]. 2014 stand die Möglichkeit zur Google-Authentifizierung [8] im Blickpunkt.

Alles neu

In unserem Gerätezoo befindet sich nun seit Herbst 2015 auch ein Nitrokey Pro [9] (Abbildung 1) des gleichnamigen Berliner Unternehmens. Er hat seinen Ursprung im Crypto Stick, wobei es sich der Hersteller zur Aufgabe gemacht hat, die digitale Identität und die Daten – unabhängig, ob privat oder geschäftlich – zu schützen. Sämtliche Daten liegen auf einer laut Hersteller gegen Manipulation geschützten Chipkarte [10].

Abbildung 1: Der Nitrokey Pro speichert die Daten laut Hersteller auf einer gegen Manipulation geschützten Chipkarte.

Die zum Verwalten von RSA-Schlüsseln und zur sicheren Ablage von Zugangsdaten gedachte Hardware gibt es neben der Pro-Variante noch in weiteren Ausführungen. Dazu zählen eine Chipkarte (Nitrokey U2F) sowie diverse USB-Stick-ähnliche Versionen namens Nitrokey Start, Storage und HSM. Die Unterschiede liegen hier im Funktionsumfang.

Während im Wesentlichen sonst nur ein Passwortmanager und eine Ablage von RSA-Schlüsseln vorhanden sind, bietet das Storage-Modell beispielsweise versteckte und verschlüsselte Speicherbereiche. Nitrokey Start und HSM erlauben eine maximale Schlüssellänge von 2048 Bit, während die anderen beiden Modelle eine Länge zwischen 1024 und 4096 Bit gestatten.

Seit dem Spätherbst 2016 besteht zudem eine Kooperation zwischen den beiden Projekten beziehungsweise Unternehmen Nitrokey und NetKnights/PrivacyIDEA [11]. Bei PrivacyIDEA handelt es sich um einen Fork von LinOTP [12], einer grafischen Oberfläche zum Verwalten von Authentifizierungstokens. Das Projekt NetKnights/PrivacyIDEA gewann 2016 den Open Source Business Award [13].

Inbetriebnahme

Der Nitrokey Pro eignet sich für den Einsatz unter Linux, MacOS und Windows. Im Test arbeitete die Hardware unter einem aktuellen Debian 8 "Jessie". Dabei gestaltete sich die Inbetriebnahme etwas hakelig. Im ersten Schritt gilt es, die Pakete libqt5xml5, libappindicator1, libdbusmenu-glib4, libindicator7, libdbusmenu-gtk4 und libccid nachzuinstallieren.

Damit das System den Nitrokey Pro erkennt, ergänzen Sie außerdem die Informationen bezüglich Geräten für Udev. Auf der Nitrokey-Webseite finden Sie für alle Varianten die entsprechenden Einträge. Für den Nitrokey Pro genügt es, die Zeilen 3, 6 sowie 10 aus Listing 1 in Datei /etc/libccid_Info.plist zu ergänzen.

Listing 1

<key>ifdVendorID</key>
<array>
  <string>0x20A0</string>
<key>ifdProductID</key>
<array>
  <string>0x4108</string>
<key>ifdFriendlyName</key>
<array>
  <string>Nitrokey Pro</string>

Udev benötigt noch weitere Zusatzinformationen. Dazu beziehen Sie das vollständige Rules-File von der Nitrokey-Webseite und speichern es unter /etc/udev/rules.d/40-nitrokey.rules auf dem System. Im Test genügten die in Listing 2 gezeigten Zeilen zum Betrieb des Nitrokey Pro.

Nach dem Einrichten der Datei starten Sie den Udev-Dienst mittels service udev restart neu (Listing 3, Zeilen 1 und 2). Anschließend bereiten Sie die Software vor. Dazu beziehen Sie das DEB-Paket für die Nitrokey-App von der Webseite des Herstellers und installieren es (Zeile 13).

Listing 2

# Nitrokey U2F
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", MODE="0664", GROUP="plugdev", ATTRS{idVendor}=="2581", ATTRS{idProduct}=="f1d0"
SUBSYSTEM!="usb", GOTO="gnupg_rules_end"
ACTION!="add", GOTO="gnupg_rules_end"
# USB SmartCard Readers
## Nitrokey Pro
ATTR{idVendor}=="20a0", ATTR{idProduct}=="4108", ENV{ID_SMARTCARD_READER}="1", ENV{ID_SMARTCARD_READER_DRIVER}="gnupg", GROUP+="plugdev", TAG+="uaccess"
LABEL="gnupg_rules_end"

Listing 3

# servive udev restart
# service udev status
* systemd-udevd.service - udev Kernel Device Manager
   Loaded: loaded (/lib/systemd/system/systemd-udevd.service; static)
   Active: active (running) since Mo 2017-01-23 21:39:21 CET; 12h ago
     Docs: man:systemd-udevd.service(8)
           man:udev(7)
 Main PID: 18764 (systemd-udevd)
   CGroup: /system.slice/systemd-udevd.service
           |-18764 /lib/systemd/systemd-udevd
Jan 23 21:39:21 fehmarn systemd[1]: Started udev Kernel Device Manager.
# dpkg -i nitrokey-app_0.6.2_Debian-8-Jessie_amd64.deb

Haben Sie diesen Schritt erfolgreich absolviert, starten Sie als regulärer Benutzer die Nitrokey-App entweder über die Kommandozeile oder über den passenden Eintrag im Anwendungsmenü (Bereich Zubehör). Daraufhin klinkt sich das Programm als zusätzlicher Eintrag in die Task-Leiste ein (Abbildung 2). Steckt jetzt ein Nitrokey Pro in einem der USB-Slots des Rechners, erkennt das Programm ihn und präsentiert eine Auswahl.

Abbildung 2: Haben Sie die Hardware mit den entsprechenden Regeln für Udev eingerichtet, nutzen Sie die Nitrokey-App, um auf die Funktionen des Keys zuzugreifen.

Befindet sich der Token noch im Originalzustand, erlaubt die Applikation zunächst nur Basisfunktionen. Die Zugangsdaten, also die jeweilige PIN für den Admin und den regulären Benutzer, lauten in der Vorgabe 12345678 beziehungsweise 123456. Erst die Eingabe neuer PINs schaltet alle Funktionen auf dem Gerät frei. Dazu ändern Sie die PINs über Konfigurieren | Benutzer-PIN ändern beziehungsweise Konfigurieren | Administrator-PIN ändern. Beide Zahlenkombinationen landen dabei ausschließlich auf dem USB-Gerät.

Zu den Settings des Nitrokey Pro gelangen Sie anschließend über Konfigurieren | Einmalpasswörter und Passwortsafe. Nach der korrekten Eingabe der Admin-PIN öffnet sich ein Dialog wie in Abbildung 3. Die drei Reiter führen Sie zu den Einmalpasswörtern, zu weiteren Einstellungen hinsichtlich des One-Time-Passworts (OTP) sowie zum Passwort-Safe (Abbildung 4).

Abbildung 3: Der Konfigurationsdialog der Nitrokey-App.
Abbildung 4: Der Passwortsafe erlaubt es, auf dem USB-Gerät Zugangsdaten geschützt abzulegen.

Die Pro-Variante bietet Platz für 15 Einmalpasswörter mit Zeitstempel (Time-based one-time passwords, TOTP) sowie drei Passwörter für spezifische Hosts (Host-based one-time passwords, HOTP). Der Safe nimmt 16 Einträge auf. Dabei hinterlegen Sie für jeden Eintrag einen Bezeichner, den Login-Namen sowie das Passwort. Aus nicht nachvollziehbaren Gründen darf der Bezeichner maximal 11 Zeichen umfassen – was zumindest die Kreativität beim Ausdenken von Abkürzungen fördert.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Sichere Authentifizierung mit dem YubiKey (Teil 2)
    SSH-Zugänge gelten als sicher – sofern die Zugangsdaten in den richtigen Händen bleiben. Mit dem YubiKey ergänzen Sie ihr Sicherheitskonzept um eine wirksame 2-Faktor-Authentifizierung.
  • Via NFC authentifizieren mit YubiKey Neo und Smartphone
    Der Zugangsschutz geht in eine neue Runde – diesmal kontaktlos per NFC. Mit einem Smartphone und dem YubiKey Neo greifen Sie von mobilen Geräten sicher auf Ihre Daten zu.
  • Sichere Authentifizierung mit dem YubiKey
    1001 Passworte verwalten: Ein Alptraum. Passwortzettel am Monitor: Keine gute Idee. Passwort zu kompliziert und vergessen: Ärgerlich. Der YubiKey löst all diese Probleme und ist kinderleicht zu handhaben.
  • Praktikable Zwei-Faktor-Authentifizierung für Linux
    Mobile Geräte benötigen ein Plus an Sicherheit, sollen die darauf gespeicherten Daten nicht in unbefugte Hände gelangen. Deswegen sichern Sie den Zugang am besten mit einem zweiten Faktor in Form eines YubiKeys ab.
  • Doppelt gemoppelt
    Für die Desktop-Anmeldung genügen normalerweise Benutzername und Passwort – beide oft leicht zu erraten. Für besseren Schutz sorgt eine Zwei-Faktor-Authentifizierung mithilfe eines PAM-Moduls und einer kostenlosen Handy-App.
Kommentare

Infos zur Publikation

LU 05/2018: GEODATEN

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

added to access control list
Ingrid Kroll, 27.03.2018 07:59, 10 Antworten
Hallo allerseits, bin einfache Nutzerin und absolut Linux-unwissend............ Beim ganz norm...
Passwortsicherheit
Joe Cole, 15.03.2018 15:15, 2 Antworten
Ich bin derzeit selbständig und meine Existenz hängt am meinem Unternehmen. Wahrscheinlich verfol...
Brother drucker einrichten.
Achim Zerrer, 13.03.2018 11:26, 1 Antworten
Da mein Rechner abgestürzt war, musste ich das Betriebssystem neu einrichten. Jetzt hänge ich wi...
Internet abschalten
Karl-Heinz Hauser, 20.02.2018 20:10, 2 Antworten
In der Symbolleiste kann man das Kabelnetzwerk ein und ausschalten. Wie sicher ist die Abschaltu...
JQuery-Script läuft nicht mit Linux-Browsern
Stefan Jahn, 16.02.2018 12:49, 2 Antworten
Hallo zusammen, ...folgender goldener Code (ein jQuery-Script als Ergebnis verschiedener Exper...