In YubiKey
exokrypt_yubikey_4

YubiKey als Smartcard verwenden – Der YubiKey Guide – Teil 4

Was sind Smartcards und wie funktionieren sie?

Jeder von uns nutzt Smartcards mehrmals täglich, doch kaum einer weis was genau sie machen oder wie sie funktionieren. Sicher werden einige von euch Smartcards im Unternehmensumfeld bereits aktiv kennengelernt haben. Sie werden oftmals vom Unternehmen ausgegeben um interne Systeme oder den Zugriff auf den Rechner zu schützen. Doch die wenigsten werden wissen, dass Smartcards auch im privaten Umfeld einen zentralen Platz haben.

Der wohl häufigste Verwendungszweck von Smartcards ist das Smartphone. Jede SIM Karte ist eine Smartcard. Auch kommen Smartcards in Streaming Receivern oftmals zum Einsatz. Und auch Kredit- und Debitkarten, sowie Krankenkassenkarten sind im Grunde Smartcards.

Smartcards haben den Zweck, den Besitzer auszuweisen und Informationen an einen Dienst oder einen Service zu übergeben. Die auf ihnen gespeicherten Informationen sind durch mehr oder weniger starke Kryptografie vor Auslesen und Manipulation geschützt. Die goldfarbenen Chips auf den Karten sind die eigentlichen Smartcards, der Rest außen herum dient oftmals lediglich der einfacheren Handhabung.

Neuer Karten besitzen zusätzlich noch eine Art „Funkverbindung“ die es ermöglich, die Informationen ohne physikalischen Kontakt zum Chip auszulesen. Die Antenne hierfür ist entweder direkt im Chip integriert oder befindet sich im Kunststoff-Teil der Karte eingelassen.

Smartcards lassen sich in der Regel nicht durch den normalen Benutzer beschreiben, das bedeutet die Informationen darauf können lediglich ausgelesen, nicht jedoch verändert werden. Aber auch beim Lesen gibt es starke Einschränkungen.

Die Informationen die auf einer Smartcard gespeichert sind, werden in der Regel durch einen PIN geschützt. Erst wenn der Benutzer diesen PIN korrekt an einem Terminal (Geldautomaten, Bezahlterminal) oder seinem Rechner (Login) eingegeben hat, kann das System auf die Informationen auf der Karte zugreifen. Diese Art von 2 Faktor Authentifizierung hat sich in vielen Bereichen bewährt. Es gibt Ausnahmen wie beispielsweise die Krankenkassenkarte, auf deren Information beispielsweise ein Arzt auch ohne PIN zugreifen kann.

Aufbau einer Smartcard – Einfach erklärt

Eine Smartcard (Chip) besteht in der Regel aus vier Hauptkomponenten:

  1. Gesicherter Speicher für den PIN des Benutzers. (Bei vielen Modellen gibt es zusätzlich zum Nutzer PIN noch einen sogenannten SO-PIN (Security Operator PIN). Dieser Admin PIN wird meist vom Systemadministrator der Firma verwendet und verwaltet und ermöglich bei Vergessen des Nutzer PIN einen PIN Reset.)
  2. Sicherer Prozessor – Dieser führt alle sicherheitsrelevanten Operationen auf dem Chip aus und ist speziell gegen Angriffe gesichert.
  3. Verschlüsselter Speicher für Zertifikate. Dieser Speicher wird durch die Eingabe des Benutzer PIN entsperrt und gibt anschließend das entsprechende Zertifikat für die Authentifizierung bei einem Dienst oder Service frei. Auch dieser Speicher ist speziell gegen Auslesen und andere Arten von Angriffen gesichert.
  4. Optional enthalten viele Smartcards mittlerweile eine Antenne oder ein Modul, dass das kontaktlose Bedienen ermöglich.

YubiKey als Smartcard unter Windows 10 nutzen

Wir zeigen dir hier ein Anwendungsszenario der SmartCard Funktion des YubiKeys. Es gibt natürlich noch deutlich mehr, aber zum Anfangen ist das genau das richtige.

Wir werden dir hier zeigen, wie du deinen YubiKey mit einem eigenen Zertifikat ausstattest, diese bei Windows einbindest und anschließend Dateien damit verschlüsseln kannst.

1.Zu Beginn musst du dir von der Yubico Seite den YubiKey Manager (!Nicht das Personalization Tool) herunterladen.

YubiKey Manager für 64Bit Windows: HIER
YubiKey Manager für 32Bit Windows: HIER

2.Nachdem du den YubiKey Manager installiert hast, öffnest du ihn durch einen Doppelklick

3.Anschließend steckst du deinen YubiKey an den USB Slot deines Computers an. Der Infobereich des YubiKey Managers signalisiert dir anschließend, wie viele Zertifikate du bereits auf deinem YubiKey gespeichert hast und welche Version du verwendest:

4.Wenn du deinen YubiKey das erste mal mit dem PIV YubiKey Manager öffnest erscheint das „Device Initialization“ Fenster.

5.Hier trägst du deine persönliche PIN ein.

Solltest du Ihn verlieren, kannst du nicht mehr auf deine Zertifikate auf dem YubiKey zugreifen. Gibst du deinen PIN später bei der Entschlüsselung 3 mal falsch ein, wird er ebenfalls unwiederbringlich gelöscht und deine Zertifikate sind für immer weg.

6.Im nächsten Schritt legst du um Bereich „Management Key“ einen neunen Hauptschlüssel an. Diesen benötigst du, wenn du Änderungen an den Zertifikaten vernehmen möchtest oder alte löschen willst.

Um einen neuen Management Key zu erzeugen, wählst du zuerst wie auf dem Bild zu sehen, den Punkt „Use separate key“ aus, wenn nicht bereits geschehen.

Anschließend klickst du auf den darunterliegenden Button „Randomize“. Der YubiKey Manager generiert dir nun einen individuellen Management Schlüssel.

Notiere dir auch diesen Schlüssel sorgfältig auf einem Zettel oder in deinem Passwortmanager und bewahre in ebenso sicher auf, wie deine PIN. Im optimalen Fall lagerst du PIN und Management Key an zwei unterschiedlichen Orten.

7.Jetzt vergibst du im untersten Feld noch eine PUK (Personal Unlock Key). Mit dem PUK kannst du eine weitere Schicht an Sicherheit für dich einbauen. Dieser kann eingesetzt werden, um nach 3maliger Falscheingabe deiner PIN eine neue PIN zu vergeben ohne, dass der gesamte YubiKey resettet werden muss.

Das Prinzip ist vergleichbar mit deiner SIM Karte im Smartphone, bei der auch der PUK als „Backup“ für deine PIN genutzt wird.

Wähle einen PUK der nicht gleich deiner PIN ist und notiere auch diesen auf einem Zettel oder in deinem Passwortmanager und verwahre ihn sicher.

8. Nachdem du nun PIN, Management Key und PUK eingetragen hast, klickst du auf „OK“ und dein YubiKey ist soweit als SmartCard konfiguriert.

9. Stecke nun deinen YubiKey aus und wieder neu an. –> Jetzt bist du Ready to go

Zertifikate unter Windows 10 mit dem YubiKey selbst generieren

Im nächsten Schritt generieren wir dein Zertifikat, welches du benötigst, um Dateien auf deinem Windows System zu verschlüsseln.

1.Um ein neues Zertifikat für deine Dateienverschlüsselung zu generieren, klickst du nun auf den Button „Certificates“ im Startmenü des YubiKey PIV Managers.

2. Navigiere jetzt in den Menütab „Key Management

3.Hier klickst du auf den Button „Generate new key…

4.Jetzt wählst du im Bereich „Algorithm“ den von dir gewünschten Verschlüsselungsalgorithmus aus.
Wir empfehlen an dieser Stelle den RSA (2048 bits) zu verwenden.

Der Alternativen ECC P-256 und ECC P-384 sind zwar an und für sich etwas sicherer, allerdings funktionieren sie derzeit nicht besonders gut in Kombination mit Windows.
RSA (1024 bits) empfehlen wir nur, wenn dein Computer etwas älter ist und Probleme mit der Erstellung des RSA Schlüssel mit 2048 bits Länge hat.

5.Anschließend wählst du bei „Output“ den Punkt „Create a self-signed certificate“ aus und vergibst im Feld „Subject“ einen Namen.

!!!Achte hier darauf, dass du nur das ersetzt, was nach dem = geschrieben steht. Es kann sonst zu Problemen kommen.

6.Nachdem du einen Namen vergeben hast, musst du noch ein Ablaufdatum für dein Zertifikat einstellen. Wir empfehlen in diesem Fall ein Datum zu nehmen, das weit in der Zukunft liegt. Das erleichtert die Handhabung und ist für die meisten Anwender vollkommen ausreichend.

In unserem Beispiel haben wir den 28.06.2030 als Ablaufdatum gewählt.

7.Du brauchst jetzt nur noch auf „OK“ klicken. Dein YubiKey verlangt jetzt die zuvor von dir erstellte PIN zur Bestätigung und Erzeugung des Zertifikates.

Dieser Vorgang kann, abhängig von deinem Computer und seiner Geschwindigkeit eine Weile dauern.

Sobald der Vorgang abgeschlossen ist erscheint ein Hinweis mit der Nachricht „New key generated“.

Du wirst nun wieder zurückgeleitet und das eben erstellte Zertifikat wird angezeigt:

8.Damit du jetzt mit diesem Zertifikat weiterarbeiten kannst, musst du deinen YubiKey abermals vom Computer trennen und wieder neu anstecken.

Jetzt ist dein YubiKey bereit für die Windows 10 Dateienverschlüsselung

yubicase_shop_380_de_v3

Windows 10 Dateienverschlüsselung mit Zertifikat und YubiKey einrichten

Nachdem du jetzt deinen YubiKey eingerichtet und ein passendes Zertifikat erstellt hast, können wir mit der Einrichtung unter Windows loslegen.

Als kleiner Tipp vorweg:

Probier das folgende Tutorial als erstes bei einer Dummy Datei aus, um sicherzustellen, dass alles so funktioniert wie es soll. Leg dir dazu am besten einfach ein Testdokument auf deinem Desktop an und probiere die folgenden Schritte damit aus. Wenn alles so funktioniert wie hier beschrieben, dann kannst du mit deinen richtigen Daten loslegen.

1.Öffne die Windows Systemsteuerung.
Am einfachsten findest du den Systemsteuerungsordner indem du die WINDOWS Taste auf deiner Tastatur drückst und „Systemsteuerung“ eingibst.

2.Sobald du im Systemsteuerungsmenü bist, klickst du auf den kleinen Pfeil oben in der Adressleiste neben dem Wort „Systemsteuerung“. Anschließend wählst du den Menüpunkt „Alle Systemsteuerungselemente“ aus. Dir sollten jetzt alle verfügbaren Icons und Features angezeigt werden.

Sollte bei dir der Pfeil nicht sofort sichtbar sein, klicken einfach auf das Wort „Systemsteuerung“ in der Adressleiste, dann solltest auch du den kleinen Pfeil sehen können.

3.Jetzt klickst du auf den Menüpunkt „Benutzerkonten“ (Das Icon mit den beiden Personen).

4.In der linken Spalte findest du jetzt den Menüpunkt „Dateiverschlüsselungszertifikate verwalten“. Diesen klickst du an.

5.Nachdem du das Hinweis PopUp „Verwalten Sie die Zertifikate zur Dateiverschlüsselung“ mit „Weiter“ übersprungen hast, öffnet sich folgendes Fenster:

6.Hier sollten bei dir in der Regel noch keine Zertifikate gelistet sein. Wenn doch ist das auch kein Problem, du musst dann nur das richtige auswählen.

7.Um nun das Zertifikat auszuwählen, welches du im vorangegangenen Schritt auf deinem YubiKey erstellt hast, wählst du bitte den Button „Zertifikat auswählen“ rechts neben dem weißen Kasten aus.

8.Es öffnet sich ein graues PopUp Fenster mit dem Titel „Windows-Sicherheit“. Dein YubiKey muss natürlich zu diesem Zeitpunkt bereits am USB Port deines Computers angesteckt sein, sonst funktioniert dieser Vorgang nicht.

Lass dich an dieser Stelle nicht von unserem Bild verunsichern. Wir haben bereits einige Zertifikate installiert und im Gebrauch, darum werden bei uns deutlich mehr angezeigt, als das bei dir der Fall sein wird.

Sollte bei dir noch nicht das richtige Zertifikat ausgewählt sein, klicke bitte auf den Schriftzug „Weitere Optionen“. Nun werden dir alle Zertifikate angezeigt, die dir zur Verfügung stehen.

9.Wähle nun das Zertifikat aus, welches du im vorigen Tutorial erstellt hast und bestätige deine Auswahl mit „OK“.

10.Nachdem du deine Auswahl mit „OK“ bestätigt hast, fragt dein YubiKey (Smartcard) nach deiner vorher definierten PIN. Gib diese jetzt in das Feld ein und bestätige wieder mit einem Klick auf „OK“.

11.Du siehst jetzt in dem zuvor noch weißen Kasten dein ausgewähltes Zertifikat und wann es abläuft. In unserem Fall am 28.06.2030. Anschließend bestätigst du mit einem Klick auf den „Weiter“-Button die Richtigkeit des Zertifikates.

12.Im nächsten Bildschirm wird dir von Windows vorgeschlagen, bereits bestehende Verschlüsselungen zu aktualisieren, auch wenn du bisher keinen eingerichtet hast.

!!!Vorsicht!!!

Klicke hier unbedingt auf „Verschlüsselte Dateien später aktualisieren Rekey Treeview
Damit verhinderst du, dass Windows beispielsweise deine Bitlocker Verschlüsselung der Festplatte neu generiert und deine Daten damit verschlüsselt. Wir wollen an dieser Stelle lediglich einzelne Dateien und Ordner verschlüsseln, nicht das gesamte System.

13.Anschließend wirst du nochmals nach der PIN deines YubiKeys gefragt. Den gibst du ein und bestätigst alles wieder mit einem Klick auf „OK

14.Dein Zertifikat ist jetzt eingerichtet und du bist startklar. Das zeigt dir das Fenster mit dem Satz „Zertifikat und der Schlüssel wurden eingerichtet“ an.

Sollte hier etwas schiefgehen, setze das Zertifikat auf deinem YubiKey einfach nochmal zurück. Da du ja nur einen Test gemacht hast, ist das nicht weiter schlimm.

yubicase_shop_1140_de_v3

Dateien unter Windows 10 mit dem YubiKey und der Smartcard Funktion einfach verschlüsseln

Nachdem du jetzt deinen YubiKey eingerichtet, ein Zertifikat erstellt und dieses bei Windows hinterlegt hast, kannst du mit dem Schützen deiner Dateien beginnen.

Das vorher angelegte Dummy-Dokument auf deinem Desktop wird uns jetzt als Beispiel dafür dienen.

1.Um dein Dokument nun zu verschlüsseln, machst du einen Rechts-Klick auf das Dokument und wählst anschließend den Menüpunkt „Eigenschaften“ ganz unten aus.

2. Im Eigenschaften Menü klickst du nun auf den Button „Erweitert…“ ganz unten bei „Attribute“.

3. Du setzt einen Haken im untersten Feld „Inhalt verschlüsseln, um Daten zu schützen“ und bestätigst das Ganze mit „OK

4. Danach musst du auf „Übernehmen“ klicken, um das Ganze zu speichern.

5. Es erscheint eine „Verschlüsselungswarnung“ bei der du „Nur Datei verschlüsseln“ auswählt und mit „OK“ bestätigst.

Wenn du keine Datei, sondern einen ganzen Ordner verschlüsseln möchtest, musst du an dieser Stelle natürlich den oberen Punkt „Datei und übergeordnete Ordner verschlüsseln“ auswählen.

6. Die Datei auf deinem Desktop hat nun ein kleines Schloss Symbol angeheftet. Das zeigt dir an, dass der Vorgang erfolgreich war.

7. Wundere dich nicht, wenn du die Datei jetzt gerade noch ohne weitere Eingabe oder Abfrage einer PIN bzw. ohne deinen angesteckten YubiKey öffnen kannst.

Das liegt daran, dass das Zertifikat noch im Speicher liegt. Wenn du deine Verschlüsselung jetzt testen möchtest, musst du deinen Computer einmal neustarten.

8. Nach dem Neustart deines Computers erscheint bei dem Versuch die Datei zu öffnen folgendes Fenster:

9. Wenn du deinen YubiKey angesteckt und die PIN richtig eingegeben hast, öffnet sich dein verschlüsseltes Dokument.