Bestehenden Key kopieren

Im Regelfall besitzt der sicherheitsbewusste User jedoch bereits einen PGP-Key und möchte diesen auf den Stick verschieben. Auch das klappt mit dem roten USB-Teil sofort: Der Benutzer sucht die Key-ID, die er auf den Crypto-Stick verschieben will, mit »gpg --list-secret-keys« raus und ruft dann Gpg so auf, als ob er seinen Schlüssel editieren möchte:

gpg --edit-key D9AC74D0

In Gpg findet sich zum Verschieben eines Schlüssels auf eine Open-PGP-Smartcard das Kommando »keytocard«:

Command> keytocard
Really move the primary key? (y/N) y
Signature key ....: DB5A 2732 [...]
Encryption key....: 0E83 9844 [...]
Authentication key: 64A9 0DE1 [...]
You may only store a 1024 bit RSA key on
 the card

Hier kommt die erste Einschränkung des Geräts ans Licht: Der Crypto-Stick sowie die Open-PGP-Karte der FSFE unterstützen bisher nur nur RSA-Schlüssel. Der Benutzer im Beispiel oben kann seinen bestehenden Key also nicht mit dem Crypto-Stick einsetzen.

Dafür klappt die Integration in Gpg problemlos: In dieser Ausgabe von »gpg --list-secret-keys«

sec>  2048R/C42F009A 2010-10-15
      Card serial no. = 0005 00000695
uid                     Felix Kronlage 
 (test key) <felix@gottorp16.de>
ssb>  2048R/F5A80732 2010-10-15
ssb>  2048R/A5415839 2010-10-15

taucht der Testkey auf dem Stick bereits auf. Ist der Crypto-Stick angesteckt, zeigt Gpg automatisch dessen Inhalt mit an. Sobald Gpg-Aktivitäten auf den Key auf dem USB-Medium zugreifen, leuchtet er hell-rot und Gpg fragt den Anwender nach der PIN statt nach dem Passwort.

GUI-Tools

Die German Privacy Foundation empfiehlt Enigmail als GUI-Tool zur Schlüsselverwaltung. Das funktionierte im Test einwandfrei, überhaupt scheinen sich die Entwickler auf die Programme des Mozilla-Projekts, zum Beispiel Thunderbird zu konzentrieren. Trotzdem laufen Evolution und andere Mailer ebenfalls mit dem Stick.

Möglich macht das Gpg: Jedes Programm, dass diesen Stack nutzt, wird mit dem Crypto-Stick funktionieren. Ein proprietärer PKCS#11-Treiber von Peter Koch (siehe auch den Artikel zu IPsec und Smartcards in diesem Schwerpunkt) ist zwar noch in Entwicklung und offenbar ganz auf Mozilla beschränkt, doch dies alles zeigt, wohin die Reise gehen kann.

Aber ein freier Treiber wird sicherlich nicht lange auf sich warten lassen, und dann funktioniert der Crypto-Stick vielleicht auch als Zugangstoken für VPNs. Die Liste der unterstützten Anwendungen kann sich jetzt schon sehen lassen: Da finden sich Truecrypt, die SSH, Putty, Treiber für Windows und nicht zuletzt auch der GNU Privacy Assistant (GPA, Abbildung 6, [9]).

Abbildung 6: Der GNU Privacy Assistant unterstützt den Stick out of the Box.