Vor einiger Zeit hatte ich hier im Blog schon mal beschrieben, wie man VeraCrypt-Volumes mit auf einem YubiKey gespeichterten Schlüsseldatei absichern kann. Das Ganze funktioniert unter Verwendung der PKCS#11-Schnittstelle. Aus Interesse habe ich mal ausprobiert, ob und wie sich das mittels TPM (Trusted Platform Module) umsetzen lässt. Verwendet habe ich hierzu, wie schon beim verschlüsselten Speichern von SSH-Keys per TPM, die Bibliothek tpm2-tools.
VeraCrypt: Schlüsseldatei (Keyfile) mit TPM absichern
Mein E-Mail-Setup mit mailbox.org & eigener Domain
Seit nunmehr 2 Jahren verwende ich für meine private E-Mail-Kommunikation den E-Mail-Anbieter mailbox.org. aus Deutschland. Zuvor hatte ich nur eine einzige E-Mail-Adresse bei einem der bekannten Freemail-Anbieter. Im Laufe der Zeit hatte sich aber bei mir ein verstärktes Bewusstsein sowie Bedürfnis für mehr Datenschutz entwickelt. Aus diesem Grund ging ich den Schritt, weg vom kostenlosen, werbefinanzierten Freemailer, hin zum kostenpflichtigen, aber datenschutzfreundlichen mailbox.org. Dabei habe ich von Anfang eine eigene Domain verwendet und angefangen, für jeden Online-Dienst eine separate kategorisierte E-Mail-Adresse zu generieren. Wie ich das mittels Catch-All und Sieve-Filter umgesetzt habe, beschreibe ich in diesem Beitrag.
Passwort-Manager KeePassXC (Linux) und KeePassDX (Android) mit YubiKey verwenden
Der Passwort-Manager KeePassXC hatte schon länger die Möglichkeit angeboten, die Passwort-Datenbank zusätzlich zum Passwort mittels YubiKey abzusichern. Hierbei kommt das YubiKey-Challenge-Response-Verfahren auf Basis von HMAC-SHA1 zum Einsatz. Leider unterstützte das die mobile Android-Variante KeePassDX lange Zeit nicht. Seit Version 3.5.0 kann nun auch KeePassDX mit YubiKey abgesicherten Datenbanken umgehen. Allerdings wird hierfür eine weitere App namens Key Driver benötigt. Derzeit ist diese anscheinend nicht über F-Droid, sondern nur über den Google Play Store verfügbar. Wie eine neue oder bestehende Datenbank mit YubiKey-Challenge-Response erstellt bzw. angepasst werden kann, zeige ich euch in diesem Beitrag.
Duplicity: Sichere Daten-Backups erstellen - mit eigenem GPG-Schlüssel verschlüsselt & signiert
Mit Duplicity lassen sich unter Linux sichere (verschlüsselte und signierte) inkrementelle Daten-Backups erstellen. Für die Sicherung in der Cloud unterstützt Duplicity diverse bewährte Protokolle, wie z.B. SSH und WebDAV. Zum Verschlüsseln verwendet Duplicity GnuPG. Standardmäßig kommt dabei eine symmetrische Verschlüsselung zur Anwendung. Alternativ kann aber auch eine asymmetrische Verschlüsselung in Verbindung mit einem eigenen GPG-Schlüssel eingesetzt werden. Wie letztgenanntes umsetzbar ist, erfahrt ihr in folgendem Beitrag.
YubiKey: TOTP-Schlüssel für 2FA sicher speichern
Im Rahmen einer 2-Faktor-Authentisierung bieten viele Online-Dienste das weit verbreitete TOTP-Verfahren zur Absicherung des Benutzerkontos an. Die meisten Benutzer speichern den zum Generieren der Einmalkennwörter (OTPs) notwendigen geheim sowie sicher aufzubewahrenden TOTP-Schlüssel auf Ihrem mobilen Endgerät und nutzen hierfür OTP-Apps, wie z.B. Google Authenticator, FreeOTP etc. Im Gegensatz dazu speichere ich meine TOTP-Schlüssel auf meinem YubiKey. Für mich hat das den Vorteil, dass ich meine TOTP-Schlüssel nicht auf all meinen (mobilen) Endgeräten, wie z.B. Notebook, Smartphone und Tablet synchroniseren bzw. speichern muss und trotzdem auf all meinen Geräten Zugriff auf die TOTP-Schlüssel habe. Zudem lassen sich die auf dem YubiKey gespeicherten TOTP-Schlüssel nachträglich nicht mehr auslesen (Funktionsweise siehe Yubico-Doku: OATH). In diesem Beitrag zeige ich euch, wie das Ganze funktioniert.