Forum: PC Hard- und Software Einrichtung Yubikey auf Debian: Erfahrung/Tipps


von Wolfram E. (cadmium)


Lesenswert?

Ein Kurzbericht aus Sicht des Erst-Benutzers eines Yubikeys. Der 
Remote-Zugang zur Web-Administration in einem Rechenzentrum (RZ) soll 
per 2FA-Verfahren gesichert werden. Habe sehr viel gelesen auf 
yubico.com und im Netz.

Die Auswahl des Keys war nicht einfach: Leistungsmerkmale der 
verschiedenen Keys und die Anforderungen des RZ waren beide nicht gut zu 
finden.
Je nach Typ, wird verschiedene Software benötigt.
Die Anleitung auf yubico.com und die Erklärungen im Netz waren z.T. sehr 
umfangreich und dadurch unübersichtlich. Der RZ-Betreiber verweist für 
die Einrichtung auf den Hersteller Yubico und diese wiederum auf das RZ.

Meine Erfahrung für einen Weg, der sich eher zufällig ergeben hat als 
durch das angelesene Fachwissen:


Einrichtung eines Security Key NFC auf dem aktuellen Debain Bookworm:

1. Über die Debian-Paketquellen yibikey-manager installiert (Key soll 
per Shell bedienbar sein - leider unübersichtlich).
2. GUI AppImage von yubico.com heruntergeladen: 111 MB: bietet nur 
Ein/Ausschalten von USB/NFC und Eingabe für die PIN.
PIN eingegeben.
3. Seite des RZ zur Einrichtung anklicken: man wird nach der PIN gefragt 
und muss dann den Key drücken (analog zum Login).

Hinweis: der Trend geht anscheinend zur Serie 5. Diese kann mehr und 
soll leichter handhabbar sein (habe ich nicht getestet).

von Simon (simonberlin)


Lesenswert?

Ich hab auch ein Yubikey und zwar ein 5 NFC. Wenn ich was Wichtiges 
damit schützen würde wäre ich da jetzt vorsichtig, weil: EUCLEAK

https://ninjalab.io/eucleak/

https://www.yubico.com/support/security-advisories/ysa-2024-03/

von Jack V. (jackv)


Lesenswert?

Aufpassen: Entgegen des Threadtitels beschreibst du die Funktionalität 
des Yubi-Securitykeys. Das ist im Grunde ein FIDO2-Token. Version 5 mit 
Firmware über 5.7 möchte man sowieso haben, weil bei älteren 
FW-Versionen eine Möglichkeit besteht, dass ein Angreifer den geheimen 
Schlüssel extrahieren kann, und ein Update der Firmware „aus 
Sicherheitsgründen“ nicht vorgesehen ist.

Diese Security-Keys sind über die Sachen aus libfido2 benutzbar, ykman 
braucht man im Grunde nur zum Resetten oder zum Ändern der PIN, die, 
entgegen des N im Namen, alphanumerisch ist und 63 Zeichen (±, hab’s 
nicht genau im Kopf) lang sein kann. Die kann man aber auch in etwa 
Chromium bearbeiten.

Für die „richtigen“ Yubikeys, mit Smartcard-Funktionalität und 
HMAC-Schlüsselkram und OTP und den ganzen Kram würde man dann 
yubico-authenticator (das GUI-Programm von denen) nutzen, oder man 
bleibt bei ykman (das ich ziemlich übersichtlich finde – mag daran 
liegen, dass die Command-Completion bei meinem System da vollständig 
funktioniert).

Diese Security-Keys sind übrigens gerade unter Linux ziemlich genial: 
von der Festplatten- oder Datei-Verschlüsselung über den Login bis zur 
Steuerung der sudo-Nutzung ist damit ziemlich viel möglich. Dabei muss 
es nicht mal ein Token von Yubico sein, gibt auch andere Hersteller (die 
dann auch Firmware-Updates anbieten, damit es nicht zu solchen Sachen 
wie bei Yubico kommt: dass Sicherheitsprobleme nicht behoben werden 
können).

Edit, Nachtrag: was eucleak angeht, muss man nicht direkt Panik schieben 
– der Schlüssel kann nicht einfach so ausgelesen werden, dazu muss der 
physische Schlüssel zerstört werden. Solange man sicherstellen kann, 
dass man die Kontrolle darüber behält, sind damit gesicherte Sachen 
nicht auf einmal unsicher.

: Bearbeitet durch User
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.