Skip to content
#
Magazin

YubiKey als Smartcard verwenden – Der YubiKey Guide – Teil 4

Was sind Smartcards und wie funktionieren sie?

Jeder von uns nutzt Smartcards mehrmals täglich, doch kaum einer weiß, was genau sie machen oder wie sie funktionieren. Sicherlich haben einige von Ihnen Smartcards im Unternehmensumfeld bereits aktiv kennengelernt. Sie werden oftmals vom Unternehmen ausgegeben, um interne Systeme oder den Zugriff auf den Rechner zu schützen. Doch die wenigsten werden wissen, dass Smartcards auch im privaten Umfeld einen zentralen Platz haben.

Der wohl häufigste Verwendungszweck von Smartcards ist das Smartphone. Jede SIM-Karte ist eine Smartcard. Auch kommen Smartcards in Streaming-Receivern oftmals zum Einsatz. Und auch Kredit- und Debitkarten, sowie Krankenkassenkarten sind im Grunde Smartcards.

Smartcards haben den Zweck, den Besitzer auszuweisen und Informationen an einen Dienst oder einen Service zu übergeben. Die auf ihnen gespeicherten Informationen sind durch mehr oder weniger starke Kryptografie vor Auslesen und Manipulation geschützt. Die goldfarbenen Chips auf den Karten sind die eigentlichen Smartcards, der Rest außen herum dient oftmals lediglich der einfacheren Handhabung.

Neuere Karten besitzen zusätzlich noch eine Art „Funkverbindung“, die es ermöglicht, die Informationen ohne physikalischen Kontakt zum Chip auszulesen. Die Antenne hierfür ist entweder direkt im Chip integriert oder befindet sich im Kunststoff-Teil der Karte eingelassen.

Smartcards lassen sich in der Regel nicht durch den normalen Benutzer beschreiben, das bedeutet die Informationen darauf können lediglich ausgelesen, nicht jedoch verändert werden. Aber auch beim Lesen gibt es starke Einschränkungen.

Die Informationen, die auf einer Smartcard gespeichert sind, werden in der Regel durch einen PIN geschützt. Erst wenn Sie diesen PIN korrekt an einem Terminal (Geldautomaten, Bezahlterminal) oder Ihrem Rechner (Login) eingegeben haben, kann das System auf die Informationen auf der Karte zugreifen. Diese Art von 2-Faktor-Authentifizierung hat sich in vielen Bereichen bewährt. Es gibt Ausnahmen wie beispielsweise die Krankenkassenkarte, auf deren Informationen beispielsweise ein Arzt auch ohne PIN zugreifen kann.

Aufbau einer Smartcard – Einfach erklärt

Eine Smartcard (Chip) besteht in der Regel aus vier Hauptkomponenten:

  1. Gesicherter Speicher für den PIN des Benutzers. (Bei vielen Modellen gibt es zusätzlich zum Nutzer PIN noch einen sogenannten SO-PIN (Security Operator PIN). Dieser Admin PIN wird meist vom Systemadministrator der Firma verwendet und verwaltet und ermöglich bei Vergessen des Nutzer PIN einen PIN Reset.)
  2. Sicherer Prozessor – Dieser führt alle sicherheitsrelevanten Operationen auf dem Chip aus und ist speziell gegen Angriffe gesichert.
  3. Verschlüsselter Speicher für Zertifikate. Dieser Speicher wird durch die Eingabe des Benutzer PIN entsperrt und gibt anschließend das entsprechende Zertifikat für die Authentifizierung bei einem Dienst oder Service frei. Auch dieser Speicher ist speziell gegen Auslesen und andere Arten von Angriffen gesichert.
  4. Optional enthalten viele Smartcards mittlerweile eine Antenne oder ein Modul, dass das kontaktlose Bedienen ermöglich.

YubiKey als Smartcard unter Windows 10 nutzen

Wir zeigen Ihnen hier ein Anwendungsszenario der SmartCard-Funktion des YubiKeys. Es gibt natürlich noch deutlich mehr, aber zum Anfangen ist das genau das Richtige.

Wir werden Ihnen hier zeigen, wie Sie Ihren YubiKey mit einem eigenen Zertifikat ausstatten, diese bei Windows einbinden und anschließend Dateien damit verschlüsseln können.

Schritt 1

Zu Beginn müssen Sie sich von der Yubico Seite den YubiKey Manager (!Nicht das Personalization Tool) herunterladen.

YubiKey Manager für 64Bit Windows: HIER
YubiKey Manager für 32Bit Windows: HIER

Schritt 2

Nachdem Sie den YubiKey Manager installiert haben, öffnen Sie ihn durch einen Doppelklick

Schritt 3

Anschließend stecken Sie Ihren YubiKey an den USB-Slot Ihres Computers an. Der Infobereich des YubiKey Managers signalisiert Ihnen anschließend, wie viele Zertifikate Sie bereits auf Ihrem YubiKey gespeichert haben und welche Version Sie verwenden:

Schritt 4

Wenn Sie Ihren YubiKey das erste mal mit dem PIV YubiKey Manager öffnenen erscheint das „Device Initialization“ Fenster.

Schritt 5

Hier tragen Sie Ihre persönliche PIN ein.

Sollten Sie Ihn verlieren, können Sie nicht mehr auf Ihre Zertifikate auf dem YubiKey zugreifen. Geben Sie Ihren PIN später bei der Entschlüsselung 3-mal falsch ein, wird er ebenfalls unwiederbringlich gelöscht und Ihre Zertifikate sind für immer weg.

Schritt 6

Im nächsten Schritt legen Sie im Bereich „Management Key“ einen neuen Hauptschlüssel an. Diesen benötigen Sie, wenn Sie Änderungen an den Zertifikaten vornehmen möchten oder alte löschen wollen.

Um einen neuen Management Key zu erzeugen, wählen Sie zuerst wie auf dem Bild zu sehen, den Punkt „Use separate key“ aus, wenn nicht bereits geschehen.

Anschließend klicken Sie auf den darunterliegenden Button „Randomize“. Der YubiKey Manager generiert dir nun einen individuellen Management Schlüssel.

Notieren Sie sich auch diesen Schlüssel sorgfältig auf einem Zettel oder in Ihrem Passwortmanager und bewahren Sie ihn ebenso sicher auf, wie Ihre PIN. Im optimalen Fall lagern Sie PIN und Management Key an zwei unterschiedlichen Orten.

Schritt 7

Jetzt vergeben Sie im untersten Feld noch eine PUK (Personal Unlock Key). Mit dem PUK können Sie eine weitere Schicht an Sicherheit für sich einbauen. Dieser kann eingesetzt werden, um nach 3-maliger Falscheingabe Ihrer PIN eine neue PIN zu vergeben, ohne dass der gesamte YubiKey resettet werden muss.

Das Prinzip ist vergleichbar mit deiner SIM Karte im Smartphone, bei der auch der PUK als „Backup“ für deine PIN genutzt wird.

Wählen Sie einen PUK, der nicht gleich Ihrer PIN ist, und notieren Sie auch diesen auf einem Zettel oder in Ihrem Passwortmanager und verwahren Sie ihn sicher.

Schritt 8

Nachdem Sie nun PIN, Management Key und PUK eingetragen haben, klicken Sie auf „OK“ und Ihr YubiKey ist soweit als SmartCard konfiguriert.

Schritt 9

Stecken Sie nun Ihren YubiKey aus und wieder neu an. –> Jetzt sind Sie Ready to go.

Zertifikate unter Windows 10 mit dem YubiKey selbst generieren

Im nächsten Schritt generieren wir Ihr Zertifikat, welches Sie benötigen, um Dateien auf Ihrem Windows-System zu verschlüsseln.

Schritt 1

Um ein neues Zertifikat für Ihre Dateiverschlüsselung zu generieren, klicken Sie nun auf den Button „Certificates“ im Startmenü des YubiKey PIV Managers.

Schritt 2

Navigieren Sie jetzt in den Menütab „Key Management“

Schritt 3

Hier klicken Sie auf den Button „Generate new key…“

Schritt 4

Jetzt wählen Sie im Bereich „Algorithm“ den von Ihnen gewünschten Verschlüsselungsalgorithmus aus. Wir empfehlen an dieser Stelle den RSA (2048 bits) zu verwenden.

Die Alternativen ECC P-256 und ECC P-384 sind zwar an und für sich etwas sicherer, allerdings funktionieren sie derzeit nicht besonders gut in Kombination mit Windows. RSA (1024 bits) empfehlen wir nur, wenn Ihr Computer etwas älter ist und Probleme mit der Erstellung des RSA-Schlüssels mit 2048 bits Länge hat.

Schritt 5

Anschließend wählen Sie bei „Output“ den Punkt „Create a self-signed certificate“ aus und vergeben im Feld „Subject“ einen Namen.

Achte hier darauf, dass du nur das ersetzt, was nach dem = geschrieben steht. Es kann sonst zu Problemen kommen.
WICHTIG!
unbedingt beachten!

Schritt 6

Nachdem Sie einen Namen vergeben haben, müssen Sie noch ein Ablaufdatum für Ihr Zertifikat einstellen. Wir empfehlen in diesem Fall ein Datum zu nehmen, das weit in der Zukunft liegt. Das erleichtert die Handhabung und ist für die meisten Anwender vollkommen ausreichend.

In unserem Beispiel haben wir den 28.06.2030 als Ablaufdatum gewählt.

Schritt 7

Sie brauchen jetzt nur noch auf „OK“ zu klicken. Ihr YubiKey verlangt jetzt die zuvor von Ihnen erstellte PIN zur Bestätigung und Erzeugung des Zertifikates.

Dieser Vorgang kann, abhängig von Ihrem Computer und seiner Geschwindigkeit eine Weile dauern.

Sobald der Vorgang abgeschlossen ist erscheint ein Hinweis mit der Nachricht „New key generated“.

Sie werden nun wieder zurückgeleitet und das eben erstellte Zertifikat wird angezeigt:

Schritt 8

Damit Sie jetzt mit diesem Zertifikat weiterarbeiten können, müssen Sie Ihren YubiKey abermals vom Computer trennen und wieder neu anstecken.

Jetzt ist Ihr YubiKey bereit für die Windows 10 Dateienverschlüsselung

Sie haben Fragen zum Thema YubiKey?

Windows 10 Dateienverschlüsselung mit Zertifikat und YubiKey einrichten

Nachdem Sie jetzt Ihren YubiKey eingerichtet und ein passendes Zertifikat erstellt haben, können wir mit der Einrichtung unter Windows loslegen.

Als kleiner Tipp vorweg:

Probieren Sie das folgende Tutorial zunächst mit einer Dummy-Datei aus, um sicherzustellen, dass alles so funktioniert wie es soll. Legen Sie sich dazu am besten einfach ein Testdokument auf Ihrem Desktop an und probieren Sie die folgenden Schritte damit aus. Wenn alles so funktioniert wie hier beschrieben, dann können Sie mit Ihren richtigen Daten loslegen.

Schritt 1

Öffnen Sie die Windows Systemsteuerung. Am einfachsten finden Sie den Systemsteuerungsordner, indem Sie die WINDOWS-Taste auf Ihrer Tastatur drücken und „Systemsteuerung“ eingeben.

Schritt 2

Sobald Sie im Systemsteuerungsmenü sind, klicken Sie auf den kleinen Pfeil oben in der Adressleiste neben dem Wort „Systemsteuerung“. Anschließend wählen Sie den Menüpunkt „Alle Systemsteuerungselemente“ aus. Ihnen sollten jetzt alle verfügbaren Icons und Features angezeigt werden.

Sollte bei Ihnen der Pfeil nicht sofort sichtbar sein, klicken Sie einfach auf das Wort „Systemsteuerung“ in der Adressleiste, dann sollten auch Sie den kleinen Pfeil sehen können.

Schritt 3

Jetzt klicken Sie auf den Menüpunkt „Benutzerkonten“ (Das Icon mit den beiden Personen).

Schritt 4

In der linken Spalte finden Sie jetzt den Menüpunkt „Dateiverschlüsselungszertifikate verwalten“. Diesen klicken Sie an.

Schritt 5

Nachdem Sie das Hinweis PopUp „Verwalten Sie die Zertifikate zur Dateiverschlüsselung“ mit „Weiter“ übersprungen haben, öffnet sich folgendes Fenster:

Schritt 6

Hier sollten bei Ihnen in der Regel noch keine Zertifikate gelistet sein. Wenn doch, ist das auch kein Problem, Sie müssen dann nur das richtige auswählen.

Schritt 7

Um nun das Zertifikat auszuwählen, welches Sie im vorangegangenen Schritt auf Ihrem YubiKey erstellt haben, wählen Sie bitte den Button „Zertifikat auswählen“ rechts neben dem weißen Kasten aus.

Schritt 8

Es öffnet sich ein graues Pop-Up-Fenster mit dem Titel „Windows-Sicherheit“. Ihr YubiKey muss natürlich zu diesem Zeitpunkt bereits am USB-Port Ihres Computers angesteckt sein, sonst funktioniert dieser Vorgang nicht.

Lassen Sie sich an dieser Stelle nicht von unserem Bild verunsichern. Wir haben bereits einige Zertifikate installiert und im Gebrauch, darum werden bei uns deutlich mehr angezeigt, als das bei Ihnen der Fall sein wird.

Sollte bei Ihnen noch nicht das richtige Zertifikat ausgewählt sein, klicken Sie bitte auf den Schriftzug „Weitere Optionen“. Nun werden Ihnen alle Zertifikate angezeigt, die Ihnen zur Verfügung stehen.

Schritt 9

Wählen Sie nun das Zertifikat aus, welches Sie im vorigen Tutorial erstellt haben und bestätigen Sie Ihre Auswahl mit „OK“.

Schritt 10

Nachdem Sie Ihre Auswahl mit „OK“ bestätigt haben, fragt Ihr YubiKey (Smartcard) nach Ihrer vorher definierten PIN. Geben Sie diese jetzt in das Feld ein und bestätigen Sie wieder mit einem Klick auf „OK“.

Schritt 11

Sie sehen jetzt in dem zuvor noch weißen Kasten Ihr ausgewähltes Zertifikat und wann es abläuft. In unserem Fall am 28.06.2030. Anschließend bestätigen Sie mit einem Klick auf den „Weiter“-Button die Richtigkeit des Zertifikates.

Schritt 12

Im nächsten Bildschirm wird Ihnen von Windows vorgeschlagen, bereits bestehende Verschlüsselungen zu aktualisieren, auch wenn Sie bisher keine eingerichtet haben.

Klicken Sie hier unbedingt auf „Verschlüsselte Dateien später aktualisieren Rekey Treeview“. Damit verhindern Sie, dass Windows beispielsweise Ihre Bitlocker-Verschlüsselung der Festplatte neu generiert und Ihre Daten damit verschlüsselt. Wir wollen an dieser Stelle lediglich einzelne Dateien und Ordner verschlüsseln, nicht das gesamte System.
Vorsicht!
unbedingt beachten!

Schritt 13

Anschließend werden Sie nochmals nach der PIN Ihres YubiKeys gefragt. Geben Sie diese ein und bestätigen Sie alles wieder mit einem Klick auf „OK“.

Schritt 14

Ihr Zertifikat ist jetzt eingerichtet und Sie sind startklar. Das zeigt Ihnen das Fenster mit dem Satz „Zertifikat und der Schlüssel wurden eingerichtet“ an.

Sollte hier etwas schiefgehen, setzen Sie das Zertifikat auf Ihrem YubiKey einfach nochmal zurück. Da Sie ja nur einen Test gemacht haben, ist das nicht weiter schlimm.

Dateien unter Windows 10 mit dem YubiKey und der Smartcard Funktion einfach verschlüsseln

Nachdem Sie jetzt Ihren YubiKey eingerichtet, ein Zertifikat erstellt und dieses bei Windows hinterlegt haben, können Sie mit dem Schützen Ihrer Dateien beginnen.

Das vorher angelegte Dummy-Dokument auf Ihrem Desktop wird uns jetzt als Beispiel dafür dienen.

Schritt 1

Um Ihr Dokument nun zu verschlüsseln, machen Sie einen Rechtsklick auf das Dokument und wählen anschließend den Menüpunkt „Eigenschaften“ ganz unten aus.

Schritt 2

Im Eigenschaften-Menü klicken Sie nun auf den Button „Erweitert…“ ganz unten bei „Attribute“.

Schritt 3

Sie setzen einen Haken im untersten Feld „Inhalt verschlüsseln, um Daten zu schützen“ und bestätigen das Ganze mit „OK“

Schritt 4

Danach müssen Sie auf „Übernehmen“ klicken, um das Ganze zu speichern.

Schritt 5

Es erscheint eine „Verschlüsselungswarnung“, bei der Sie „Nur Datei verschlüsseln“ auswählen und mit „OK“ bestätigen.

Wenn Sie keine Datei, sondern einen ganzen Ordner verschlüsseln möchten, müssen Sie an dieser Stelle natürlich den oberen Punkt „Datei und übergeordnete Ordner verschlüsseln“ auswählen.

Schritt 6

Die Datei auf Ihrem Desktop hat nun ein kleines Schloss Symbol angeheftet. Das zeigt Ihnen an, dass der Vorgang erfolgreich war.

Schritt 7

Wundern Sie sich nicht, wenn Sie die Datei jetzt gerade noch ohne weitere Eingabe oder Abfrage einer PIN bzw. ohne Ihren angesteckten YubiKey öffnen können.

Das liegt daran, dass das Zertifikat noch im Speicher liegt. Wenn Sie Ihre Verschlüsselung jetzt testen möchten, müssen Sie Ihren Computer einmal neustarten.

Schritt 8

Nach dem Neustart Ihres Computers erscheint bei dem Versuch die Datei zu öffnen folgendes Fenster:

Schritt 9

Wenn Sie Ihren YubiKey angesteckt und die PIN richtig eingegeben haben, öffnet sich Ihre verschlüsseltes Dokument.