Introductie

Waarschuwing:
  • Disclaimer
  • Ik noch linuxgebruikers.nl zijn op enige manier verbonden met Yubico, de fabrikant van de YubiKey. Het onderstaande is zeer waarschijnlijk ook mogelijk met andere dongles en dergelijke devices. De reden waarom we in deze artikels de YubiKey gebruiken is simpelweg omdat ik deze zelf bezit en niet omdat we hiervoor betaald worden.
Gevaar!:
  • Het is altijd mogelijk dat bij dit soort bewerkingen je de toegang tot jouw systeem verliest. Het is daarom aan te raden om de volgende instructies enkel te doen na het gemaakt hebben van een Back-up van het systeem zodat je dit altijd kunt herstellen.

Om jouw computer extra te beschermen tegen data diefstal is het aan te raden om tijdens de installatie van jouw Linux Distributie (Debian GNU/Linux in mijn geval) voor de Encrypted LVM optie te kiezen. Dit zal een geëncrypteerde partitie aanmaken en daarin worden de eigenlijke partities in geplaatst.

Dit zorgt ervoor dan wanneer jouw computer wordt gestolen of wanneer je deze verliest (bij een Laptop bijvoorbeeld), de dief/vinder niet zomaar aan alle bestanden op jouw computer kan komen.

Om dit zo veilig mogelijk te maken moet je natuurlijk een "sterk" wachtwoord gebruiken, maar veel mensen doen dit niet omdat ze dit dan steeds moeten ingeven wanneer ze hun computer opstarten, om dit te vergemakkelijken gaan we gebruik maken van:
  1. Een "sterk" wachtwoord voor in geval van verlies van de YubiKey
  2. één of meer Yubikey's (versie 4 of nieuwer) en een gemakkelijker te onthouden wachtwoord.
Figuur: Enkele Yubikey's (versie 4)
Figuur: De "Security Key" van Yubico (dit is versie 1 met fido versie 1 ondersteuning, er is nu ook een nieuwe versie die ook fido versie 2 ondersteunt).
ter verduidelijking, dit is oa. mogelijk met de verschillende YubiKeys:
  • YubiKey 4 (zwart of wit).
    • LUKS decryptie
    • PAM Login (U2F)
    • OpenPGP smartcard functies
    • SSH Login met GnuPG
    • email ondertekenen met GnuPG
    • Encryptie met GnuPG
    • FIDO (versie 1)
    • OTP
    • AOTH
  • YubiKey (ouder model) Zwart
    • LUKS decryptie
    • OTP
    • OATH
  • YubiKey FIDO versie 1(blauw)
    • PAM Login (U2F)
    • FIDO (versie 1)

Voor een complete lijst met ondersteunde functies zie de website van Yubico.

Voor 1. moeten we tijdens de installatie een sterk wachtwoord instellen (bijvoorbeeld : 2*c#mYX%q84EHPKk) bewaar dit op een veilige plaats zodat je het niet verliest. Zonder dit wachtwoord kun je het systeem niet meer gebruiken bij verlies/diefstal van de yubikey.

2. Ik heb voor dit artikel een YubiKey 4 en een Yubikey FIDO U2F gebruikt, deze ondersteund ook OpenPGP (smartcard) en kan dus ook gebruikt worden i.s.m. GnuPG en GPG sleutels zie SSH Beveiligen met Sleutel of YubiKey 4 voor meer informatie. Er zijn nog andere types van YubiKey maar ik kan niet garanderen dat deze werken.

De FIDO U2F security key werkt bijv. wel met PAM om in te loggen, maar niet met de LUKS decryptie. Dit kan eventueel nog een extra beveiligingsniveau toevoegen omdat je een "gewone" YubiKey gebruikt voor LUKS decryptie en een andere "FIDO" YubiKey voor het inloggen en SUDO

Als je hierbij nog jouw YubiKey 4 zo instelt dat je met een PIN code deze key als OpenPGP Smartcard gebruikt voor SSH dan heb je 1 YubiKey voor gebruik met 3 verschillende beveiligingen (eventueel meer als je het 1ste con- figuratie slot van de YubiKey niet aanpast, want dan kun je deze gebruiken voor OTP of "One Time Passwords").