Verwendung des GoTrust Hardware-Verschlüsselungsschlüssels von MojeID unter Linux

Es ist üblich, am Computer zu arbeiten, und daher ist es eine sichere Sache, dass Ihr Computer private Daten enthält, egal ob es sich um persönliche oder arbeitsbezogene Daten handelt. Daher sollten Sie auf die Sicherheit dieser Daten und die Sicherheit der Anwendung, bei der Sie sich anmelden, achten. Die beste Möglichkeit, Ihre Anwendungsanmeldung zu schützen, ist die Verwendung eines Hardware-Verschlüsselungsschlüssels. Zum Beispiel wird GoTrus mit FIDO2-Unterstützung für Webanwendungen verwendet, um sich anzumelden. In diesem Artikel werde ich den GoTrus-Schlüssel und meine Erfahrungen damit beschreiben.

Mit dem Bitwarden Passwortmanager können Sie die Sicherheit und den Komfort erhöhen.

Der GoTrust Hardware-Verschlüsselungsschlüssel kam bei mir in #overenomojeid Aktion an. Das Haupt- und Grundprinzip ist wie das von Java Open Platform Smart Cards. Mit dem Unterschied, dass dieser HW-Schlüssel auf einer USB ma s Produktionsanwendung ist und implementiert das FIDO2-Protokoll. Aus Sicht des Nutzers muss man also nur den Schlüssel kaufen, einen FIDO2-fähigen Browser haben und kann sich mit der Sicherheitswange bei seiner Anwendung anmelden. Das heißt, wenn die Anwendung dies nutzen kann, die FIDO2-Anmeldung unterstützt.

Es gibt weitere Hersteller solcher HW-Schlüssel, der bekannteste ist wohl YubiKey.

Das Thema dieses Artikels ist jedoch nicht, wie das Protokoll und die HW-Schlüssel funktionieren, auch nicht, wie das FIDO2-Protokoll funktioniert oder die Sicherheit im Allgemeinen. Sondern darum, wie man den GoTrust-Hardware-Verschlüsselungsschlüssel im GNU/Linux-Betriebssystem zum Laufen bringt.

GoTrust Idem Key

Kommuniziert mit den Protokollen FIDO und FIDO2 U2F. Verwendet Schlüssel im PKCS#11-Format. RSA, ECDSA, SHA1, SHA256, 3DES, AES und andere Verschlüsselungsalgorithmen. Es unterstützt die Betriebssysteme Windows, macOS, Android, Linux und ChromeOS.

Hier gibt es genauere Informationen und Die Parameter des GoTrust Idem Key, den mojeID oder der cz.nic-Verband sendet.

Verbindung

Sobald der GoTrus-Schlüsselbund mit Ihrem Computer verbunden ist, können Sie dmesg eingeben und Sie werden die folgenden Informationen vom Kernel über das neue Gerät sehen:

[10711.523373] usb 2-1: USB-Verbindung getrennt, Gerätenummer 10
[10715.628534] usb 2-1: neues Full-Speed-USB-Gerät Nummer 11 mit xhci_hcd
[10715.756074] usb 2-1: Neues USB-Gerät gefunden, idVendor=32a3, idProduct=3201, bcdDevice= 1.11
[10715.756077] usb 2-1: Neue USB-Gerätestrings: Mfr=1, Product=2, SerialNumber=5
[10715.756078] usb 2-1: Produkt: Idem-Schlüssel
[10715.756079] usb 2-1: Hersteller: GoTrust
[10715.756079] usb 2-1: SerienNummer: 203401000023
[10715.760172] hid-generic 0003:32A3:3201.000A: hiddev2,hidraw5: USB HID v1.00 Gerät [GoTrust Idem Key] auf usb-0000:00:14.0-1/input1
[10715.761103] Eingabe: GoTrust Idem Key als /devices/pci0000:00/0000:00:14.0/usb2/2-1/2-1:1.2/0003:32A3:3201.000B/input/input26
[10715.813398] hid-generic 0003:32A3:3201.000B: input,hidraw6: USB HID v1.01 Tastatur [GoTrust Idem Key] auf usb-0000:00:14.0-1/input2

Mit dem Befehl lsusb kann man auflisten, wie das Gerät auf dem USB-Bus identifiziert wird:

Bus 003 Gerät 010: ID 32a3:3201 GoTrust Idem Key

Linux-Inbetriebnahme

Nach dem Einstecken in den USB funktioniert der Key nicht sofort mit dem Browser. Zumindest nicht bei mir - ich verwende eine Distribution mageia. Sie müssen die UDEV-Konfiguration bearbeiten. Siehe die FAQS des idem key des Herstellers für Details.

Sie müssen eine faqs-of-idem-key /etc/udev/rules.d/70-u2f.rules Datei mit folgendem Inhalt erstellen:

ACTION!="add|change", GOTO="u2f_end"

# GoTrust Idem Key
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="1fc9|32a3", ATTRS{idProduct}=="f143|3201", TAG+="uaccess"

LABEL="u2f_end"

Starten Sie anschließend das UDEV-Regelwerk mit dem Befehl neu:

udevadm control --reload-rules

Nun konnte ich den Hardware-Verschlüsselungsschlüssel bequem mit der myID-Web-App koppeln und den Schlüssel dann zur Anmeldung verwenden.

Hier sind auch Videotutorials zur Verwendung des GoTrust Idem Key.

Sicherheit und Komfort

Genau wie bei Bitwarden sorgt ein Hardware-Verschlüsselungsschlüssel für mehr Sicherheit und gleichzeitig für mehr Komfort. Bitwarden unterstützt auch das Einloggen mit einem solchen Schlüssel - es ist also ideal, diesen mit Bitwarden zu kombinieren.