Einsatz eines Aladdin-ETokens unter Debian GNU/Linux

Im folgenden wird beschrieben, wie man mit einem Aladdin EToken (32k-Version) unter Debian GNU/Linux vernünftig arbeiten kann und was alles möglich/machbar ist.

Hinweis: Ein EToken ist ein kleiner Computer, der wie ein USB-Speicherstick aussieht. Er ist dafür gedacht, geheime Schlüssel sicher auf ihm abzulegen. Es gibt keine Möglichkeit auf den Datenbereich direkt zuzugreifen. Der Umweg über den Mikroprozessor ermöglicht es, auf der Karte über kryptographische Verfahren die Daten vor fremdem Zugriff zu schützen.

Vorraussetzungen zum Einsatz des eTokens

Es versteht sich von selbst, dass die USB-Schnittstellen des entsprechenden Computers konfiguriert sein müssen. Mit folgenden Linux-Kernel-Versionen wurde das hier getestet:

• 2.4.29
• 2.6.11.6

Mit folgenden Debian-Distributionen haben wir das gemacht (Stand jeweils 29.05.2005):

• Sarge
• Sid

Einige Pakete müssen auf dem Entsprechenden Rechner installiert sein:

root@host > apt-get install opensc openct libetoken hotplug pcscd

Einen Stolperstein gibt's noch. Das Verzeichnis /var/run/openct ist per default nur Mitgliedern der Gruppe scard zugänglich. Man kann also entweder alle, die mit einem eToken arbeiten wollen, in diese Gruppe verfrachten, oder mit folgendem Kommando das Verzeichnis freigeben:

root@host > chmod 755 /var/run/openct

eMail mit dem eToken

Verschiedene eMail-Programme unterstützen s/mime über opensc. Hier wird auf einige davon eingegangen.

Mozilla-Thunderbird

Wenn man ein Zertifikat auf seinem eToken hat, kann man mit Thunderbird gleich loslegen. An dieser Stelle wird davon ausgegangen, dass man seinen Mail-Account bereits eingerichtet hat.

Einrichtung des Treibers

Los geht's im Einstellungsdialog. Zuerst muss OpenSC als Security Device eingebunden werden:

Das benötigte Crypto Plugin ist Teil des libopensc1 -Paketes. Der Dateiname ist /usr/lib/pkcs11/opensc-pkcs11.so . Welchen Namen man für das Modul wählt, ist jedem selbst überlassen:

Jetzt noch eine Bestätigung ...

... und schon sieht man das angesteckte eToken in der Liste der Security-Devices. Jetzt muss man sich noch Einloggen - also den Erstkontakt zum eToken herstellen:

Dazu muss das Passwort des eTokens eingegeben werden:

Vertrauen für die Certification Authority

Sollte das Zertifikat auf dem eToken auf einer Certificate-Authority basieren, deren Schlüssel noch nicht im Browser verewigt ist (das galt am 29.04.2005 z.B. für die MPG-CA), dann muß dem entsprechenden Zertifikat an dieser Stelle noch das Vertrauen aussprechen:

Nur so als kleiner Hinweis: Hier ist auch das eigene Zertifikat zu finden:

Hier findet man die Root-Zertifikate, die der Browser kennt. Alle Zertifikate, deren Vertrauenskette bei einer vertrauenswürdigen CA beginnt, werden automatisch akzeptiert.

Wenn die Root-CA des eigenen Zertifikates noch nicht vom Hersteller des Mailprogrammes akzeptiert wurde, muss man das jetzt selbst machen:

In diesem Fall müßte man das DFN- sowie das MPG-Zertifikat akzeptieren. Durch einen Druck auf Edit kann man für jeweils ein Zertifikat festlegen, in welcher Hinsicht man ihm vertrauen will. Vertraut man dem Zertifikat, aktiviert man jedoch üblicherweise alle drei Checkboxen:

Konfigurations des Mail-Accounts

Das mühevoll integrierte Zertifikat muss man jetzt noch einem Mail-Account zuweisen. Achtung: Die Mailadresse muss natürlich mit der in dem Zertifikat vermerkten Adresse übereinstimmen.

Das Zertifikat wird im Account-Setup zugewiesen:

Der folgenden Auswahldialog ist fehlerhaft. Der OK-button wird erst angezeigt, wenn man das Fenster extrem vergrößert. Es reicht jedoch aus, in der Auswahlliste Certificate das Zertifikat auszuwählen und Return zu drücken:

Da Thunderbird zwischen Verschlüsselungs- und Signatur-Zertifikaten unterscheidet, muss man jetzt noch bestätigen, dass man mit dem eigenen Zertifikat auch verschlüsseln will:

Und los gehts...

Jetzt kann man loslegen und mit Thunderbird signierte eMails schreiben.

KMail

Wichtige Infos und eine Anleitung für kmail findet man unter:

• Agypten2
• CERN CA with KMail