GnuPG bezpečnostný token dorazil

O GnuPG bezpečnostných tokenoch som sa začal viac dozvedať celkom nedávno v príspevku o automatickom podpisovaní commitov na GitHub. Aj odkazy v tomto príspevku ponúkajú zaujímavé čítanie, pozrite sa na ne, ak vás to zaujíma. GnuPG bezpečnostný token je zariadenie, ktoré ukladá kľúče za podmienky, že kľúče nemožno získať späť. Tento prístup je alternatívou k ukladaniu kľúčov, konkrétne súkromných kľúčov, v súborovom systéme. Krádež zariadenia obsahujúceho súkromné kľúče, ktoré možno získať späť, môže mať katastrofálne následky. Strata bezpečnostného tokenu je naopak zvyčajne menej závažná, pretože token vyžaduje bezpečnostný PIN. Ak sa niekoľkokrát zadá nesprávny PIN, údaje tam uložené sa stratia. Celkovo je viac pre aj proti, ale v skratke je to všetko.

V dnešnej dobe sú bezpečnostné tokeny dostupné v mnohých tvaroch a formách, od klasického USB kľúča po náramky, perá a hodinky, pričom tvarový faktor smartkarty je niekde medzi. Zvolil som si posledné menované. GnuPG bezpečnostný token v tvarovom faktore smartkarty sa tiež nazýva keycard, budem sa držať tohto termínu.

Keycard som si vybral kvôli týmto faktorom:

• Môj súčasný každodenný počítač, ThinkPad T470, má rozhranie pre smartkartu
• Prichádzajú s bezkontaktným rozhraním, takže interakcia s telefónom je jednoduchá
• Keycard sa pekne zmestí do peňaženky medzi ostatné veci v podobnej kategórii, napríklad kreditné karty

Neprial som si token, ktorý by visel na mojom fyzickom kľúčenku. Kľúče majú tendenciu poškodzovať a poškriabať akékoľvek plastové gadgety, ktoré okolo nich visia. Keycard na druhej strane zaberá v peňaženke takmer žiadny ďalší viditeľný priestor. Tiež nevzbudzuje rovnakú pozornosť ako elektronické zariadenie medzi kovovými kľúčmi, pretože nie je viditeľne vystavená. Ak si niekto zoberie moju peňaženku, mám problém tak či onak. Ale mať len ďalšiu kartu v peňaženke jednoducho nevzbudzuje pozornosť iných ľudí tak, ako to robia lesklé predmety na fyzickom kľúčenku. Fyzické kľúče sa tiež ľahšie zdieľajú s členmi rodiny ako peňaženky. Token by mohol byť zamieňaný za bežný USB kľúč a neúmyselne zablokovaný zvedavým členom rodiny. Ale to všetko môžu byť len moje názory. Použite to, čo najlepšie vyhovuje vašim preferenciám.

Objednal som si OpenPGP Smart Card V3.4 + MiFare DESFire keycard z Floss-Shop.de. Nie úplne mainstreamový, ale vyzerá stále dosť populárny. Má tiež Mifare, takže by mal byť schopný interagovať s telefónnou aplikáciou OpenkeyChain cez NFC. Alebo tak som si myslel, o tom viac neskôr.

Rozhranie smartkarty na T470 #

Podľa odporúčaných krokov z ArchWiki GnuPG#Smartcards:

sudo pacman -S pcsclite ccid

Potom spustite a aktivujte službu:

sudo systemctl enable pcscd.service --now

Existujú aj ďalšie príkazy opísané v sekcii Smartcards. Skontrolujte, či je karta prístupná:

gpg --card-status

Tu som nenašiel žiadne problémy. Pre zaznamenanie, zariadenie pre smartkartu môjho laptopa je 058f:9540 Alcor Micro Corp. AU9540 Smartcard Reader.

Test OpenKeychain #

Moje nadšenie kleslo pri teste s telefónom. Po otvorení aplikácie OpenKeychain a priložení karty k zadnej strane aplikácia odpovedala nasledovne:

Error: Initialization failed!

OpenKeychain verzie 5.7.3 uvádza bezpečnostné tokeny Fidesmo, Yubikey NEO a Sigilance, za ktorými nasledujú tri bodky (…) naznačujúce, že existuje viac kompatibilných produktov. Tiež som nenašiel miesto ponúkajúce produkty Sigilance a ich doména sa zdá byť už na predaj.

Hľadanie vyššie zobrazenej chybovej správy ma priviedlo k vláknu konkrétne diskutujúcemu o skutočnosti, že produkt, ktorý som kúpil (a pravdepodobne oveľa viac ďalších), nie je kompatibilný s OpenKeychain.

Mohol som stráviť trochu viac času čítaním popisu produktu, keďže jasne uvádza nasledovné:

Funkcia OpenPGP nemôže byť použitá cez NFC / RFID. Na to je v každom prípade potrebná čítačka čipových kariet pre kontaktné karty.

Hanba na mňa! V budúcnosti si budem pravdepodobne musieť kúpiť ďalší bezpečnostný token. Zatiaľ sa aspoň naučím, ako používať tento so všetkými základnými konceptmi, kým nevznikne absolútna nevyhnutnosť mať kľúče prístupné v telefóne. Samozrejme bez toho, aby som kľúče ukladal priamo do telefónu, to nechcem robiť. Tieto bezpečnostné tokeny sú vytvorené z konkrétneho dôvodu.

Rozhranie Mifare na karte funguje dobre. Testoval som ho pomocou aplikácie Metrodroid. Zatiaľ však neviem, ako ho využiť. Možno sa neskôr objavia nejaké užitočné nápady. Ďalším krokom pre mňa je naučiť sa využívať gpg --card-edit na využitie základných funkcií karty.

Toto je 48. príspevok #100daystooffload.

Odkazy #

• http://www.g10code.de/p-card.html
• https://github.com/drduh/YubiKey-Guide
• https://wiki.debian.org/Smartcards/OpenPGP
• https://wiki.gnupg.org/SmartCard