{"id":3427,"date":"2023-09-12T11:41:12","date_gmt":"2023-09-12T09:41:12","guid":{"rendered":"https:\/\/linux-bibel.at\/?p=3427"},"modified":"2023-10-20T19:52:51","modified_gmt":"2023-10-20T17:52:51","slug":"passwortmanager-keepassxc-mit-security-token-nitrokey-oeffnen","status":"publish","type":"post","link":"https:\/\/linux-bibel.at\/index.php\/2023\/09\/12\/passwortmanager-keepassxc-mit-security-token-nitrokey-oeffnen\/","title":{"rendered":"Passwortmanager „KeepassXC“ mit Security-Token „Nitrokey“ \u00f6ffnen"},"content":{"rendered":"\n

Eines vorneweg:<\/strong> Neben der Inbetriebnahme des Nitrokeys, sind nur drei der nachfolgenden Befehl<\/a>szeilen wichtig. Zwei, zum Erstellen der KeepassXC-Datenbank<\/a> (1., 2.<\/strong>) und eine, um dieselbe zu öffnen (3.<\/strong>). Da ich, insbesondere beim Thema Verschlüsselung<\/a>, der Meinung bin, man sollte genau wissen, was man tut, ist das Wiki<\/a> etwas umfangreicher geworden, als ursprünglich geplan<\/a>t.<\/p>\n\n\n\n

Einführung<\/h2>\n\n\n\n

Mittlerweile haben wohl die meisten von uns zahlreiche Online-Konten für Online-Shops, Webmailer, Internetforen und Ähnlichem. Um diese Zugangsdaten<\/a> sicher zu verwalten eignen sich Passwortmanager, wie z.B. das quelloffene KeepassXC<\/a> sehr gut. Selbstredend muss das Masterpasswort, zum Öffnen des Passwortmanagers höchsten Sicherheitsansprüchen genügen, da ein schwaches Masterpasswort die Sicherheit aller gespeicherten Zugangsdaten<\/a> gefährdet.

Als Ersatz für sichere – und damit meist schwer zu merkende – Passwörter eignen sich Security-Tokens. Diese garantieren einen sicheren Identitätsnachweis, wie er z.B. bei der Zwei-Faktor-Authentisierung<\/a> (2FA) zum Einsatz kommt.

KeepassXC unterstützt Security-Tokens, allerdings nur den Marktführer YubiKey<\/a>. Ich bevorzuge jedoch den Nitrokey<\/a>. Im Gegensatz zum YubiKey sind beim Nitrokey Hard- und Firmware<\/a> als „Open Source<\/a>“ veröffentlicht. Das ermöglicht unabhängigen Sicherheitsexperten, die Fehlerfreiheit des Nitrokeys zu überprüfen. Anwender sind damit nicht allein auf die Versprechen des Herstellers angewiesen.

Obwohl KeepassXC den Nitrokey nicht direkt unterstützt, ermöglicht ein Trick die Zusammenarbeit beider Systeme. Dazu dient das auf dem Nitrokey gespeicherte OpenPGP-Schlüsselpaar.

Für den Einsatz mit KeepassXC eignen sich die Nitrokey-Modelle „Start”, „Pro 2“ und „Stor<\/a>age 2“.
<\/p>\n\n\n\n

Funktionsprinzip<\/h2>\n\n\n\n
    \n
  1. Ein sicheres Passwort für die KeepassXC-Datenbank<\/a> wird, mit dem öffentlichen Schlüssel des Nitrokeys verschlüsselt, in einer Passwort-Datei<\/a> gespeichert.<\/li>\n\n\n\n
  2. Mit der Passwort-Datei<\/a> wird eine KeepassXC-Datenbank<\/a> erstellt.<\/li>\n\n\n\n
  3. Zum Öffnen der KeepassXC-Datenbank<\/a> wird die Passwort-Datei<\/a> mit dem geheimen Schlüssel des Nitrokeys entschlüsselt und an KeepassXC übergeben.<\/li>\n<\/ol>\n\n\n\n

    Ohne die Notwendigkeit, das Datenbank<\/a>-Passwort manuell einzugeben, kann es beliebig lan<\/a>g und komplex sein. Zum Entschlüsseln wird der Anwender nach der Benutzer-PIN des Nitrokeys gefragt. Da die Benutzer-PIN – wie bei einer EC-Karte – nach dreimaliger Falscheingabe automatisch gesperrt wird, bietet ein sechsstelliger Zahlencode zuverlässigen Schutz.<\/em><\/p>\n\n\n\n

    Vorbereitungen<\/h2>\n\n\n\n

    Für den Einsatz des Nitrokeys müssen zunächst die notwendigen Program<\/a>mpaket<\/a>e unter Linux<\/a> installiert und ein OpenPGP-Schlüsselpaar erstellt werden, wie in der Nitrokey-Dokumentation<\/a> beschrieben.
    Für die Nitrokeys Pro und S    tor<\/a>age beschränkt sich die Installation unter Debian<\/a> und dessen Derivat<\/a>en auf folgende Paket<\/a>e aus dem Repository<\/a>:<\/p>\n\n\n\n

    sudo apt update && sudo apt install libccid scdaemon nitrokey-app -y<\/code><\/pre>\n\n\n\n
    Beim Nitrokey Start ist die Installation etwas anders – weitere Details in der Online-Dokumentation<\/a>.

    Es spielt keine Rolle, ob auf dem Nitrokey das OpenPGP-Schlüsselpaar als RSA- oder ECC-Schlüssel erzeugt wird.
    Ich empfehle jedoch ECC-Schlüssel, da diese bei gleichem Sicherheitsniveau mit deutlich kürzeren Schlüssellängen auskommen, was sich durch eine spürbar geringere Reaktionszeit bemerkbar macht.

    Für das Arbeiten mit dem OpenPGP-Schlüsselpaar muss auf dem PC das Prog    ram<\/a>m gpg<\/a> installiert sein, was mit folgendem Kommando überprüft werden kann.<\/p>\n\n\n\n
    gpg --version<\/code><\/pre>\n\n\n\n
    Sollte gpg<\/code> noch nicht installiert sein, kann das mit folgendem Befehl<\/a> nachgeholt werden.<\/p>\n\n\n\n
    sudo apt install gpg<\/code><\/pre>\n\n\n\n
    Ob auf den Nitrokey zugegriffen werden kann, zeigt der folgende Befehl<\/a>.<\/p>\n\n\n\n
    gpg --card-status<\/code><\/pre>\n\n\n\n
    Sollte das Kommando kein Ergebnis zeigen, den Nitrokey kurz ab- und neu einstecken, dann das Kommando wiederholen.

    Wird der Nitrokey korrekt erkannt, meldet er sich mit seinen Statusinformationen.
    Die Zeile Key attributes<\/strong> zeigt, dass auf diesem Nitrokey ECC-Schlüssel vom Typ Brainpool<\/em> mit einer Schlüssellänge von 512 Bit erzeugt wurden.
    Die Zeile Signature key<\/strong> zeigt den Fingerprint<\/em> des Schlüssels, den wir später zum Verschlüsseln benötigen.<\/p>\n\n\n\n
    user@deb11:~$ gpg --card-status\nReader ...........: 20A0:4109:0000000000000:0\nApplication ID ...: D1860001242303030005000073C10000\nApplication type .: OpenPGP\nVersion ..........: 3.3\nManufacturer .....: ZeitControl\nSerial number ....: 000082A5\nName of cardholder: [nicht gesetzt]\nLanguage prefs ...: de\nSalutation .......: \nURL of public key : [nicht gesetzt]\nLogin data .......: [nicht gesetzt]\nSignature PIN ....: zwingend\nKey attributes ...: brainpoolP512r1 brainpoolP512r1 brainpoolP512r1\nMax. PIN lengths .: 64 64 64\nPIN retry counter : 3 0 3\nSignature counter : 4\nKDF setting ......: off\nSignature key ....: D5FF 1F24 2453 A3A4 78EF  6512 0635 326F 3446 172F\n      created ....: 2022-09-03 15:10:22\nEncryption key....: B176 C5F5 D1EC 0A34 112B  B31A 435D 90D1 3AF7 460C\n      created ....: 2022-09-03 15:10:22\nAuthentication key: C73D DC31 FEED 2594 9057  433C 0569 A09C 0766 82AC\n      created ....: 2022-09-03 15:10:22\nGeneral key info..: [none]<\/code><\/pre>\n\n\n\n
    Funktioniert der Nitrokey, muss als letzte Vorbereitung noch KeepassXC<\/a> installiert werden. Am einfachsten installiert man es über die Paket<\/a>verwaltung der Linux<\/a>-Distribution<\/a>. Bei Debian<\/a> und dessen Derivat<\/a>en mit dem Kommando:<\/p>\n\n\n\n
    sudo apt install keepassxc -y<\/code><\/pre>\n\n\n\n
    <\/p>\n\n\n\n
    Erstellen der KeepassXC-Datenbank<\/strong><\/h2>\n\n\n\n
    1. Erster Schritt: <\/strong>Als Passwort für die KeepassXC-Datenbank<\/a>, erstellen wir eine zufällige Zeichenfolge mit dem Kommandozeilen-Tool keepassxc-cli<\/a>.<\/p>\n\n\n\n
    keepassxc-cli generate --length 64 -l -U -n | gpg --encrypt --recipient 3446172F --output ~\/keepassxc-pw_encrypted.gpg<\/code><\/pre>\n\n\n\n
    Das Kommandozeilen-Tool von KeepassXC `keepassxc-cli<\/a>` erzeugt eine zufällige Zeichenfolge (`generate`) mit einer Länge von 64 Zeichen (`–length 64`). Die Zeichenfolge enthält Kleinbuchstaben (`-l` lowercase characters), Großbuchstaben (`-U` uppercase characters) und Ziffern (`-n` numbers). Sonderzeichen (`-s` special characters) sollte man nicht im Datenbank<\/a>-Passwort verwenden. Diese könnten das später verwendete Kommando `printf` aus dem Tritt bringen.

    Das Ergebnis wird über das Pipe-Kommando, den senkrechten Strich (`|`), an das     Verschlüsselung<\/a>sprogram<\/a>m `gpg` übergeben. Dieses verschlüsselt (`–encrypt`) die übergebene Zeichenfolge mit dem öffentlichen Schlüssel des Nitrokeys (`–recipient 3446172F`). Gespeichert (`–output`) wird das Ergebnis im Home<\/a>verzeichnis<\/a> des angemeldeten Nutzers (`~\/`) in der Datei<\/a> `keepassxc-pw_encrypted.gpg`.

    (Die ID hinter `–recipient` ist der Wert in der Zeile „Signature key“ des Kommandos `gpg –card-status`, ohne Leerzeichen. Man muss nicht unbedingt die gesamte ID angeben, es genügen die letzten 8 Zeichen, sofern diese innerhalb des gpg-Keyrings eindeutig sind.)

    Mit folgenden     Befehl<\/a> können Sie das Datenbank<\/a>-Passwort aus der verschlüsselten Passwort-Datei<\/a> auslesen. Dabei wird die Benutzer-PIN des Nitrokeys abgefragt.<\/p>\n\n\n\n
    gpg --decrypt ~\/keepassxc-pw_encrypted.gpg<\/code><\/pre>\n\n\n\n
    Ich empfehle dringend, das unverschlüsselte Datenbank<\/a>-Passwort auszudrucken und an einem sicheren Ort aufzubewahren. Sollte einmal der Nitrokey verloren oder kaputt gehen, ist dieser Ausdruck die einzige Möglichkeit, die Keepass-Datenbank<\/a> zu öffnen.<\/strong>

    Bitte     speichern<\/a> Sie keinesfalls das unverschlüsselte Datenbank<\/a>-Passwort auf Ihrer Festplatte. Dies wäre ebenso so unsinnig, wie den Schlüssel Ihrer Wohnungstür unter die Fußmatte zu legen. Erschwerend kommt hinzu, dass bei modernen SSD<\/a>-Laufwerken, Datei<\/a>en nicht zuverlässig unwiederbringlich gelöscht werden können.<\/strong>

    2. Zweiter Schritt:<\/strong>
    Mit der verschlüsselten Passwort-    Datei<\/a> wird die Keepass-Datenbank<\/a> erstellt.<\/p>\n\n\n\n
    printf \"`gpg --quiet --decrypt ~\/keepassxc-pw_encrypted.gpg`\\n`gpg --quiet --decrypt ~\/keepassxc-pw_encrypted.gpg`\" | keepassxc-cli db-create -p ~\/keepassxc-datenbank.kdbx 2> \/dev\/null<\/code><\/pre>\n\n\n\n
    Die Befehl<\/a>szeile sieht verwegen aus, ist aber relativ schnell erklärt:<\/p>\n\n\n\n
    Die Keepass-Datenbank<\/a> wird mit dem Kommando am Ende der Befehl<\/a>szeile erstellt.<\/p>\n\n\n\n
    keepassxc-cli db-create -p ~\/keepassxc-datenbank.kdbx<\/code><\/pre>\n\n\n\n
    `keepassxc-cli<\/a>` erstellt (`db-create`) eine Datenbank<\/a> mit Namen `keepassxc-datenbank<\/a>.kdbx` im Home<\/a>-Verzeichnis<\/a> des Benutzers. (Der Datenbank<\/a>name ist natürlich frei wählbar). Geschütz wird die Datenbank<\/a> mit einem Passwort (`-p`).

    Für sich alleine eingegeben, würde `keepassxc-    cli<\/a>` an der Konsole<\/a> auf die Eingabe des Datenbank<\/a>-Passworts durch den Benutzer warten. Wir wollen das Datenbank<\/a>-Passwort aber nicht manuell eingeben, sondern die im ersten Schritt erstellte Zeichenfolge als Passwort übergeben. Dies erledigt das folgende Befehl<\/a>sfragment.<\/p>\n\n\n\n
    `gpg --quiet --decrypt ~\/keepassxc-pw_encrypted.gpg`<\/code><\/pre>\n\n\n\n
    Es entschlüsselt (--decrypt<\/code>) die Passwortdatei<\/a> keepassxc-pw_encrypted.gpg<\/code> mit dem geheimen Schlüssel des Nitrokeys und gibt das Ergebnis dieser Aktion (also das unverschlüsselte Datenbank<\/a>-Passwort) als Zeichenkette zurück. Der Schalter (--quiet<\/code>) sorgt dafür, dass nur das unverschlüsselte Datenbank<\/a>-Passwort übergeben wird und nicht zusätzlich die Metadaten<\/a> der Passwortdatei<\/a>. Die „Backticks“, die nach links ki<\/a>ppenden Hochkommata (), sorgen daf\u00fcr, dass das Resultat des Befehls und nicht das Befehlsfragment selbst als Argument zur\u00fcckgegeben wird. Dass<\/code>gpgden geheimen Schl\u00fcssel des Nitrokeys f\u00fcr die Entschl\u00fcsselung ben\u00f6tigt und nicht irgendeinen anderen, liest<\/code>gpgaus den Metadaten von<\/code>keepassxc-pw_encrypted.gpg`.<\/p>\n\n\n\n
    Wie bei Passwortdefinitionen üblich, erwartet auch keepassxc-cli<\/code> zweimal nacheinander die Eingabe des Passworts. Darum ist das Befehl<\/a>sfragment zur Entschlüsselung der Passwortdatei<\/a> zweimal angegeben, getrennt durch das Steuerzeichen „New Line“ (\\n<\/code>), welches das Drücken der Eingabetaste simuliert.<\/p>\n\n\n\n
    printf<\/code> ist ein Kommando zum Formatieren von Zeichenketten. Hier bringt es alles, was zwischen den doppelten Anführungszeichen („) steht in die erforderliche Form und „piped“ es als Passworteingabe zu keepassxc-cli<\/code>.<\/p>\n\n\n\n
    Die Sequenz ganz am Ende ist rein kosmetischer Natur.<\/p>\n\n\n\n
    2> \/dev\/null<\/code><\/pre>\n\n\n\n
    Sie schickt nichtssagende Fehlermeldungen zum „Null-Device”, also ins Daten<\/a>-Nir­wa­na.
    Die     Befehl<\/a>szeile zum Erstellen der Keepass-Datenbank<\/a> meldet dann nur noch die erfolgreiche Ausführung.<\/p>\n\n\n\n
    Successfully created new database<\/code><\/pre>\n\n\n\n
    <\/p>\n\n\n\n
    Öffnen der Keepass-Datenbank<\/h2>\n\n\n\n
    3. Dritter Schritt:<\/strong> Folgende Befehl<\/a>szeile öffnet die Keepass-Datenbank<\/a> mit Hilfe des Nitrokeys. Abgefragt wird dabei nicht das Datenbank<\/a>-Passwort, sondern die Benutzer-PIN zum Entsperren des Nitrokeys.<\/p>\n\n\n\n
    gpg --decrypt ~\/keepassxc-pw_encrypted.gpg | keepassxc ~\/keepassxc-datenbank.kdbx --pw-stdin<\/code><\/pre>\n\n\n\n
    Die mit dem Nitrokey entschlüsselte Passwort-Datei<\/a> wird an KeepassXC übergeben und die Keepass-Datenbank<\/a> damit geöffnet.<\/p>\n\n\n\n
    \"\"<\/figure>\n\n\n\n
    <\/p>\n\n\n\n
    <\/p>\n\n\n\n
    Ergänzungen aus dem Forum<\/strong><\/p>\n\n\n\n
    Frage:<\/strong>
    Ich verwende KeepassXC aber auch auf einem Android Handy bzw. Android Tablet.
    Wie öffne ich die     Datenbank<\/a>-Tabelle dann dort?
    Ist das überhaupt möglich?
    Antwort:<\/strong>
    Prinzipiell sollte das mit dem Nitrokey 3 NFC möglich sein, da dieser sich via NFC (Near Field Communication) per Funk mit dem Handy verbinden kann.
    Leider ist der Nitrokey 3 noch nicht lieferbar, darum konnte ich das noch nicht testen.<\/p>\n\n\n\n
    Frage:<\/strong>
    Generelle Frage zu KeepassXC? Ich habe bis jetzt noch nie mit KeepassXC gearbeitet. Meine Accounts die ein Passwort erfordern, stehen auf einer Handgeschriebenen Liste, die sicher aufbewahrt wird. Grob gesagt sind es etwa 15 Accounts, die unterschiedliche Passwörter haben. Die meisten habe ich im Kopf und die sind zwischen 12 und 16 Zeichen. Die Konzentration läßt aber manchmal etwas nach und ich muss auch mal spickeln…
    Meine einzige Frage wäre jetzt, denn KeepassXC Manager nutzen und die     Daten<\/a> für die Accounts nicht auf der Festplatte des benutzten Rechners selbst abspeichern<\/a>, sondern auf einem USB<\/a>-Stick, bzw. externer Festplatte. Dieses Video zum KeepassXC ist mir aufgefallen und hat für mich den Eindruck das es sich hierbei um ein viel genutztes Program<\/a>m handelt. Ich war all die Jahre immer der Meinung, das Passwörter auf einem Rechner nichts zu suchen haben. Egal in welcher Form? Bin damit seit 25 Jahren immer gut gefahren.
    Vielleicht sollte ich daran auch nicht rütteln…
    Antwort:<\/strong>
    Meine Meinung dazu:
    ich bin ganz und gar nicht dafür das man Passwörter auf einem externen Medium, sei es jetzt ein     USB<\/a> Stick, Festplatte oder auch nur einem Zettel (dieser ist ja die unsicherste Lösung) speichert.
    Wenn eben jemand in Besitz dieser Medien ge    lan<\/a>gt hat er \/sie lan<\/a>ge Zeit zu versuchen das Passwort zu knacken und bei einem Zettel besteht ja gar keine Passwort Möglichkeit.
    Wenn schon     speichern<\/a> dann eben mit einem sehr sicheren Passwort (mindestens 16 Zeichen) eben auf dem Rechner den ich nutze.
    Ich selbst habe es in einer     Cloud<\/a> (natürlich sage ich hier jetzt nicht in welcher) gespeichert. Damit kann ich eben mit all meinen Geräten von überall darauf zugreifen.
    Weiters bietet KeepassXC auch die Möglichkeit, mittels der Browser-Erweiterung, viele Anmeldungen bzw. Passwort-Eingaben zu automatisieren.

    Eine Alternative zum Zettel, für das     Speichern<\/a> von Passwörtern, wäre eventuell der „Nitrokey Stor<\/a>age 2” (https:\/\/www.nitrokey.com\/de#comparison<\/a>).
    Dieser enthält einen verschlüsselten     Daten<\/a>speicher. Ein Nachteil ist allerdings der hohe Preis von über 100 Euro.
    <\/p>\n\n\n\n
    Erstveröffentlichung: Sa 24. Sep 2022, 21:04, Rupert<\/strong><\/p>\n
    \r\n    
    \r\n    \r\n                            \"Gef\u00e4llt\r\n            <\/a>\r\n    2    <\/span>\r\n<\/div>
    \r\n    \r\n                            \"Gef\u00e4llt\r\n            <\/a>\r\n    <\/span>\r\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"
    Eines vorneweg: Neben der Inbetriebnahme des Nitrokeys, sind nur drei der nachfolgenden Befehlszeilen wichtig. Zwei, zum Erstellen der KeepassXC-Datenbank (1., 2.) und eine, um dieselbe zu \u00f6ffnen (3.). Da ich, insbesondere beim Thema Verschl\u00fcsselung, der Meinung bin, man sollte genau wissen, was man tut, ist das Wiki etwas umfangreicher geworden, als urspr\u00fcnglich geplant. Einf\u00fchrung Mittlerweile […]<\/p>\n","protected":false},"author":95,"featured_media":3441,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[72],"tags":[],"class_list":["post-3427","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit"],"_links":{"self":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/3427","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/users\/95"}],"replies":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/comments?post=3427"}],"version-history":[{"count":4,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/3427\/revisions"}],"predecessor-version":[{"id":10389,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/posts\/3427\/revisions\/10389"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media\/3441"}],"wp:attachment":[{"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/media?parent=3427"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/categories?post=3427"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/linux-bibel.at\/index.php\/wp-json\/wp\/v2\/tags?post=3427"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}