> mkdir ~/yubikey
> cd ~/yubikey
> wget http://yubico-c.googlecode.com/files/libyubikey-1.5.tar.gz
> tar xvfz libyubikey-1.5.tar.gz
> cd libyubikey-1.5
> ./configure
> make
> make install

Nun kommt das eigentliche Personalisierungs-Tool an die Reihe:

> cd ~/yubikey
> http://yubikey-personalization.googlecode.com/files/ykpers-1.5.0.tar.gz
> tar xvfz ykpers-1.5.0.tar.gz
> cd ykpers-1.5.0
> ./configure
> make
> make install

Nach erfolgreichem Anschluss der Installation sind nun die benötigten Tools wie z.B. ykpersonalize verfügbar.

Der eigentliche Programmiervorgang

Ich gehe hier davon aus, dass in einer GPG verschlüsselten und signierten Datei keys.txt ein oder eine Reihe von Schlüsseln liegen, die auf den/die Yubikeys geschrieben werden sollen.

Im ersten Schritt müssen die Schlüssel aus dem Container gelesen werden:

root@nf310:~# gpg < keys.txt

You need a passphrase to unlock the secret key for
user: "YK-KSM crater Import Key"
2048-bit ELG-E key, ID C938E64A, created 2011-03-08 (main key ID 9BC9EDF4)

gpg: gpg-agent is not available in this session
gpg: encrypted with 2048-bit ELG-E key, ID C938E64A, created 2011-03-08
      "YK-KSM crater Import Key"
# ykksm 1
# serialnr,identity,internaluid,aeskey,lockpw,created,accessed[,progflags]
2,cccccccccccd,059ea92c0ca9,a31ddbaf37b2350771633b94c6538c25,b0c6023e3dbd,2011-03-19T16:08:12,

gpg: Signature made Sat 19 Mar 2011 04:08:12 PM CET using DSA key ID 9BC9EDF4
gpg: Good signature from "YK-KSM crater Import Key"

Diese Werte, d.h der Schlüssel mit der Seriennummer 2 soll nun programmiert werden.

Der Aufruf hierzu sieht wie folgt aus:

ykpersonalize -aAESKEY -oUID=INTERNALUID -ofixed=IDENTITY

also konkret:

root@nf310:~# ykpersonalize -aa31ddbaf37b2350771633b94c6538c25 -ouid=059ea92c0ca9 -ofixed=cccccccccccd -o-append-cr

Die Ausgabe in der Console sieht dann so aus:

Firmware version 2.2.1 Touch level 1793 Program sequence 1

Configuration data to be written to key configuration 1:
fixed: m:cccccccccccd
uid: h:059ea92c0ca9
key: h:a31ddbaf37b2350771633b94c6538c25
acc_code: h:000000000000
ticket_flags: 
config_flags:
extended_flags:

Commit? (y/n) [n]: y

root@nf310:~#

Mit dem Parameter "-o-append-cr" wird verhindert, dass der Yubikey nach dem Senden des OTP am Ende noch ein Linefeed anhängt.

Da ich noch am Testen bin habe ich auch die Konfiguration nicht geschützt. Setzt man einen Kennwortschutz, so darf man das Kennwort keinesfalls vergessen! Das Kennwort ist write-only und kann somit definitiv nie wieder ausgelesen werden- der Yubikey kann dann nicht mehr umprogrammiert werden!

Nun kann der frisch programmierte Token z.B. gegen den Keyserver getestet werden:

root@nf310:~# curl 'http://kss.rs.de/wsapi/decrypt?otp=cccccccccccdljjebkhetgihhcincjkdcidbghnferhr'

Die Antwort, die kommen sollte, sollte in etwa so aussehen:

OK counter=0002 low=79a9 high=98 use=00

Der Yubikey mit der Seriennummer 2 ist nun also fertig programmiert und einsatzbereit. Wie gesagt: Die Konfiguration ist nicht geschützt- der Einsatz sollte sich also derzeit noch auf eine geschlossene Testumgebung beschränken!

Autor: rs (domain@bayreuth.tk)



Computer Asterisk FreeBSD clonen Linux Soft-RAID Linux Grub nach Windows Installation reparieren Ubuntu- lo fehlt Ubuntu- Bonding Ubuntu- IPv6 abschalten OpenBSD Windows und Konsorten Motorola Symbol Technologies AP5131 IPv6 Teaming unter Novell NetWare MySAR OpenSSH für OTP unter Linux ISO3166-1 Typo3- RealURL VMWare ESX About Mail HTTP Statuscodes Yubikey Yubikey Validierungs- und KSM Server Yubikey personalisieren unter Windows Yubikey personalisieren unter Linux Datensicherungsprobleme mit Laufwerken an einem LSI-Logic Adapter Extreme Networks EMC-NS480 EMC DS-300 Rescan SCSI Bus unter Linux EMC Networker Silver Peak Links Sitemap Impressum /me .tk ?	Installlation der notwendigen Werkzeuge Als erstes muss, soweit noch nicht vorhanden, eine Abhängigkeit erfüllt werden: > apt-get install libusb-1.0.0-dev Im nächsten Schritt sind die zum Programmieren notwendigen Libs zu installieren: > mkdir ~/yubikey > cd ~/yubikey > wget http://yubico-c.googlecode.com/files/libyubikey-1.5.tar.gz > tar xvfz libyubikey-1.5.tar.gz > cd libyubikey-1.5 > ./configure > make > make install Nun kommt das eigentliche Personalisierungs-Tool an die Reihe: > cd ~/yubikey > http://yubikey-personalization.googlecode.com/files/ykpers-1.5.0.tar.gz > tar xvfz ykpers-1.5.0.tar.gz > cd ykpers-1.5.0 > ./configure > make > make install Nach erfolgreichem Anschluss der Installation sind nun die benötigten Tools wie z.B. ykpersonalize verfügbar. Der eigentliche Programmiervorgang Ich gehe hier davon aus, dass in einer GPG verschlüsselten und signierten Datei keys.txt ein oder eine Reihe von Schlüsseln liegen, die auf den/die Yubikeys geschrieben werden sollen. Im ersten Schritt müssen die Schlüssel aus dem Container gelesen werden: root@nf310:~# gpg < keys.txt You need a passphrase to unlock the secret key for user: "YK-KSM crater Import Key" 2048-bit ELG-E key, ID C938E64A, created 2011-03-08 (main key ID 9BC9EDF4) gpg: gpg-agent is not available in this session gpg: encrypted with 2048-bit ELG-E key, ID C938E64A, created 2011-03-08 "YK-KSM crater Import Key" # ykksm 1 # serialnr,identity,internaluid,aeskey,lockpw,created,accessed[,progflags] 2,cccccccccccd,059ea92c0ca9,a31ddbaf37b2350771633b94c6538c25,b0c6023e3dbd,2011-03-19T16:08:12, gpg: Signature made Sat 19 Mar 2011 04:08:12 PM CET using DSA key ID 9BC9EDF4 gpg: Good signature from "YK-KSM crater Import Key" Diese Werte, d.h der Schlüssel mit der Seriennummer 2 soll nun programmiert werden. Der Aufruf hierzu sieht wie folgt aus: ykpersonalize -aAESKEY -oUID=INTERNALUID -ofixed=IDENTITY also konkret: root@nf310:~# ykpersonalize -aa31ddbaf37b2350771633b94c6538c25 -ouid=059ea92c0ca9 -ofixed=cccccccccccd -o-append-cr Die Ausgabe in der Console sieht dann so aus: Firmware version 2.2.1 Touch level 1793 Program sequence 1 Configuration data to be written to key configuration 1: fixed: m:cccccccccccd uid: h:059ea92c0ca9 key: h:a31ddbaf37b2350771633b94c6538c25 acc_code: h:000000000000 ticket_flags: config_flags: extended_flags: Commit? (y/n) [n]: y root@nf310:~# Mit dem Parameter "-o-append-cr" wird verhindert, dass der Yubikey nach dem Senden des OTP am Ende noch ein Linefeed anhängt. Da ich noch am Testen bin habe ich auch die Konfiguration nicht geschützt. Setzt man einen Kennwortschutz, so darf man das Kennwort keinesfalls vergessen! Das Kennwort ist write-only und kann somit definitiv nie wieder ausgelesen werden- der Yubikey kann dann nicht mehr umprogrammiert werden! Nun kann der frisch programmierte Token z.B. gegen den Keyserver getestet werden: root@nf310:~# curl 'http://kss.rs.de/wsapi/decrypt?otp=cccccccccccdljjebkhetgihhcincjkdcidbghnferhr' Die Antwort, die kommen sollte, sollte in etwa so aussehen: OK counter=0002 low=79a9 high=98 use=00 Der Yubikey mit der Seriennummer 2 ist nun also fertig programmiert und einsatzbereit. Wie gesagt: Die Konfiguration ist nicht geschützt- der Einsatz sollte sich also derzeit noch auf eine geschlossene Testumgebung beschränken!
Autor: rs (domain@bayreuth.tk)
(c) rs 2012