Open Source im professionellen Einsatz
Linux-Magazin 12/2010
Foto: Markus Feilner

Foto: Markus Feilner

Der mit Open-Source-Methoden entwickelte Crypto-USB-Stick

Magisches Leuchten

,

Open-Source-Hardware ist keine Spielerei, das zeigt ein USB-Stick der German Privacy Foundation. Auf dem können bis zu drei Benutzer ihre GPG-Schlüssel, RSA- und PKCS#11-Zertifikate hinterlegen und sich mit Linux und Windows für E-Mails, Browser oder SSH authentifizieren.

456

Leuchtend rot und oval präsentiert sich der Stick. Beim Zugriff leuchtet eine helle rote Diode und verleiht dem Laptop des Benutzers etwas Wichtiges, Sicheres. In dem Stick der German Privacy Foundation (GPF, [1]) ist eine Open-PGP-Chipkarte [2] der Version 2 eingebaut, die geheime Schlüssel des Anwenders sicher speichert. Darauf finden bis zu drei unabhängige 2048-Bit-RSA-Keys fürs Signieren, Verschlüsseln und Authentifizieren Platz. Wer sich bei ihnen auf 1024 Bit beschränkt, kann sogar einen Signaturschlüssel von 3072 Bit verwenden.

Open-Source-Hardware

Das Besondere an dem auf der Cebit 2010 erstmals vorgestellten Stick ist jedoch das Entwicklungskonzept: Er ist Open Source. Seit dem ersten Hype um frei entwickelte Hardware, zum Beispiel rund um Oscar, das Open-Source-Auto, ist zwar bereits einige Zeit vergangen, doch das offene Konzept bürgt auch hier wie in der Softwarewelt für Sicherheit und Transparenz. Die German Privacy Foundation betreut das Projekt und vermarktet den Stick für 49 Euro.

Der aktuelle Crypto-Stick in der Version 1.2 basiert auf einem ST7GEME4-IC, die Entwicklerversion 2 enthält einen STM32F103RCT6-Microprozessor [3]. Auf den Webseiten der Foundation stehen technische Details, eine Darstellung der Hardware unter [4] und [5].

Der rote Stecker verwendet einen eingebauten USB-Hub mit Smartcard und Mass Storage für die Zertifikate. Unter Ubuntu meldet er sich auf das Lsusb-Kommando (Abbildung 1) mit der ID 20a0:4107 und gibt folgende Informationen preis:

Abbildung 1: Die ersten Schritte mit dem Stick: Lsusb gibt Aufschluss über das Gerät, Aptitude installiert die Libccid und Pcsd. Auf dem Stick ist ein eigener USB-Hub untergebracht, der zwei Geräte bereitstellt.

[...]
Bus 003 Device 003: ID 20a0:4107  
Device Descriptor:
  iManufacturer  1 German Privacy Foundation
  iProduct       2 Crypto Stick v1.2
  Interface Descriptor:
       bInterfaceClass   11 Chip/SmartCard
[...]

Die weiteren Zeilen nennen unter anderem die Versionsnummer des Crypto-Sticks und Details wie dessen ID.

Startschuss

Um den Stick in Betrieb zu nehmen, installiert Root zuerst das »libccid«-Paket, das »pcsd«, den PC/SC Lite Resource Manager für Smartcards, gleich mitzieht. Für die Stick-Version 1.0 reicht das, für Version 1.2 gibt es unter [6] und [7] aktualisierte Treiber und viele Tipps zu problematischen Paketen (Open SC, Open CT) oder weiteren Abhängigkeiten, die das von den Autoren verwendete Ubuntu 10.10 bereits installiert hatte, etwa GNU PG 1 oder 2 oder die Libpcslite.

Wer als regulärer Benutzer auf den Stick zugreifen will, braucht noch eine passende Udev-Regel, sonst funktionieren die folgenden Beispiele nur als Root. Die Regel sollte folgende Zeilen beinhalten:

SUBSYSTEM!="usb", GOTO="cryptostick_
rules_end"
ACTION!="add", GOTO="cryptostick_rules_end"
ATTR{idVendor}=="20a0", ATTR{idProduct}==
"4107", ENV{ID_SMARTCARD_READER}="1",
 ENV{ID_SMARTCARD_READER_DRIVER}="gnupg"
LABEL="cryptostick_rules_end"

Eine funktionierende Datei mit der vollständigen Udev-Regel gibt es als »40-cryptostick.rules« oder als Debian-Paket zum Download auf [8].

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Spendenaufruf: Crypto-Stick-Projekt möchte OpenSC-Integration und braucht noch 400 Euro

    Das Crypto-Stick-Projekt möchte seinen verschlüsselten USB-Stick kompatibel zu dem weit verbreiteten Standard-Framework Open SC machen. Von den dafür notwendigen 900 Euro Spenden für einen externen Entwickler hat man bereits 500 eingesammelt. Das fehlende Geld soll jetzt ein Spendenaufruf bringen.

  • Stahlnetz

    Ipsec gilt für viele als der Standard unter den VPN-Technologien. Wer dabei ganz auf Nummer sicher gehen will, speichert seine Zugangsberechtigung in Form von X.509-Zertifikaten auf verschlüsselten Tokens oder USB-Sticks. Wie das geht, zeigt dieser Artikel am Beispiel von Strongswan.

  • Leserbriefe

    Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an redaktion@linux-magazin.de. Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.

  • Crypto Stick sucht Beta Tester

    Für den Crypto Stick 1.4 sucht der Hersteller des Open-PGP-Sticks Betatester. All zu lange sollten sich Interessenten aber nicht Zeit lassen: Maximal 20 Personen sollen vorab einen Stick zum Preis von 50 Dollar bekommen.

  • Linuxtag 2014 veröffentlicht Programm

    Die Organisatoren des Linuxtags, der vom 8. bis 10 Mai 2014 in der Station Berlin stattfindet, haben das Programm für die Veranstaltung veröffentlicht.

comments powered by Disqus

Ausgabe 10/2016

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.