Erster Versuch klappt

Für einen ersten Funktionstest bietet sich ein prüfender Blick auf den Crypto-Stick mit den Tools der GNU Privacy Guard (GPG) an. Wenn alles funktioniert, ist es wahrscheinlich, dass auch andere, darauf aufbauende Tools damit zurechtkommen. Das Kommando »gpg --card-status« (beziehungsweise »gpg2«) gibt dann auch erfolgreich erste Informationen aus (siehe Abbildung 2).

Abbildung 2: Ein unkonfigurierter Stick gibt direkt nach dem Auspacken erste interne Informationen preis. Als Werkzeug dafür bietet sich Gpg an.

Die eigene PIN

Der Crypto-Stick kommt im Lieferzustand mit zwei Default-PINs: einmal die reguläre PIN »123456« und für den Admin »12345678«. Ihre Längen sind fest vorgeschrieben. Die Admin-PIN entsperrt die reguläre und schaltet die administrativen Kommandos für den Crypto-Stick frei. Es empfiehlt sich, die PIN gleich zu Beginn zu individualisieren, was mit dem Befehl »gpg --change-pin« geschieht (siehe Abbildung 3). Dies bestätigt Gpg als Erstes mit der Ausgabe der ID des Sticks, die Aufschluss darüber gibt, auf welche Open-PGP-Karte der Benutzer zugreift. Anschließend bietet ein Textmenü die Möglichkeit, die PIN zu ändern, zu entsperren und die Admin-PIN oder den Resetcode zu setzen.

Abbildung 3: Beim Ändern der PIN übernimmt Pinentry unter Ubuntu die Eingabe-Aufforderung in einem eigenen Fenster.

Damit der Crypto-Stick funktioniert, sollte der Benutzer ihn jetzt in einen vernünftigen Grundzustand versetzen. »gpg --card-edit« startet eine Subshell mit eigenem Befehlssatz, der sich über »help« ausgeben lässt (Abbildung 4). Wer hier Änderungen vornehmen will, sollte zunächst mit dem Kommando »admin« den erweiterten Befehlssatz für die Administration freischalten (Abbildung 5).

Abbildung 4: Die Shell des Card-Edit-Parameters von Gpg gibt die Hilfe aus.

Abbildung 5: Zuerst entsteht auf dem Stick ein Benutzer, dann ein Key.

Jetzt geht's ans Personalisieren. Der Befehl »name« ermöglicht es, Vor- und Nachnamen des Benutzers einzugeben. Diese Daten speichert der Stick, sobald der Anwender die Admin-PIN korrekt eingegeben hat. Danach kann das Kommando »generate« einen neuen Key erzeugen. Ein anschließendes »list«-Kommando im interaktiven Modus zeigt die erzeugten Schlüssel auf dem Stick (Abbildung 6).