• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Nitrokey

/dev/null

Moderator
Teammitglied
Hallo Freunde des Tux!

Ich bin (wohl resultierend aus meiner ehemaligen beruflichen Tätigkeit) ein Liebhaber der sicheren Authentisierung an möglichst vielen externen aber auch internen Diensten. Nachdem ich einige Jahre meinen YubiKey und auch diverse OTP-Authentikatoren eingesetzt habe, habe ich mir nun den neuen "Nitrokey 3A NFC" gegönnt. (Meinen Dank @harley nach Leipzig ... .)

Aber im Gegensatz zum bisherigen YubiKey, für den es einfache Anleitungen bspw. zur Sicherung von KeepassXC und für andere Programme/Dienste im Internet und bei heise.de gibt, komme ich mangels entsprechender Angebote mit dem Nitrokey noch nicht weiter. Bis jetzt wird er lediglich mit lsusb erkannt ... .

Deswegen meine Frage an @all: Hat jemand von euch schon praktische Erfahrungen mit dem NK sammeln können und können wir hier im Forum einen Erfahrungsaustausch zu diesem Thema beginnen?

Würde mich sehr freuen ... .

vy 73 de Peter
 
OP
/dev/null

/dev/null

Moderator
Teammitglied
Hallo @Geier0815,

Danke für deine Antwort.
Den verlinkten Beitrag hatte meine Suche auch schon gefunden (ich lese auch sonst gern bei Mike Kuketz). Nur leider ist dieser Artikel, wie du ja auch schon bemerkt hast, nicht mehr ganz aktuell. Der von mir genutzte "Nitrokey 3A NFC" ist noch "zu neu" und vieles wird etwas anders geregelt. So funktioniert unter anderem die an sich sehr gute und selbsterklärende NitroKey-App nicht (oder noch nicht???) mit diesem Token. Ich kann mir aber gut vorstellen, dass sich das alles in ein paar Monaten geregelt hat. Wir haben ja auch einige Monate auf die Auslieferung unserer vorbestellten Token gewartet - da wird es mit der Software wohl ähnlich laufen.

vy 73 de Peter
(verbunden mit lieben Grüßen nach Leipzig ;) )
 
OP
/dev/null

/dev/null

Moderator
Teammitglied
Hallo Freunde!

Vor exakt einem Jahr (14.01.22) habe ich hier eine Frage hinsichtlich meines neuen "Nitrokey 3A NFC" gestellt. Die hier erhaltenen Informationen waren erwartungsgemäß sehr gering - das Teil war damals einfach zu neu.

Hier ein Update meiner bisherigen Erkenntnisse:
  1. Die für die älteren Nitro-Produkte schon lange existierende Nitrokey-App funktioniert bislang immer noch nicht für den NK3. Darauf wird auch deutlich auf der Webseite des (deutschen) Herstellers hingewiesen.
  2. Es existiert aber eine gute Anleitung zur Installation des Python-Programmes "nitropy", welches zwar nur auf der Konsole läuft, aber zumindest schon eine funktionierende Nutzung des NK3 ermöglicht.
So konnte ich meinen NK3 mit einer PIN versehen, dessen Firmware Upgraden, diverse Schlüssel erzeugen und diesen für 2FA (mit OTP) nutzen. Auch der komplette Reset wurde getestet. Jetzt fehlt mir nur noch eine (für mich interessante) Webseite, auf welcher ich mich mit FIDO-2 (also ohne Passwort) anmelden kann.
Es geht also voran … .

So, jetzt wird es für dieses Thema [OT].
Ich habe zuerst auf meinem Desktop-Rechner nitropy installiert, leider ist da etwas falsch gelaufen (garantiert ein Level-8-Fehler!). Danach habe ich auf meinem tuxedo-Laptop (beide aktuelles Tumbleweed) die Installation "in aller Ruhe" und völlig exakt nach Anleitung vollzogen, und - kaum macht man es richtig - nun läuft alles perfekt.
Es werden beim Lauf von nitropy (auf dem Desktop-Rechner) Fehler in den kryptografischen Funktionen, eine fehlerhafte Autokonfiguration und auch eine falsche Verlinkung gemeldet. (Ist ja auch das erste Mal, wo ich bewusst ein Programm unter Python installiere oder überhaupt bewusst Python nutze.)

Meine Frage an die Auskenner:
Bei mir ist "out of the Box" Python 2.7 installiert, zusätzlich habe ich noch das für nitropy erforderliche Python 3.10 nachinstalliert. Am liebsten würde ich wegen des Fehlers python* komplett deinstallieren und evtl. vorhandene Reste einschließlich des Programms nitropy suchen und einfach löschen.
Jetzt weiß ich aber nicht, ob es da irgendwelche Sachen (vlt. im KDE oder in anderen Programmen?) gibt, welchen ich dabei die Grundlage entziehe. Klar könnte ich einfach "machen", möchte mir aber unnützen Stress vermeiden.
Gibt es eurerseits Meinungen und Hinweise dazu?
[/OT]

vy 73 de Peter

Und wie immer: Liebe Grüße nach Leipzig! ;)
 
Zuletzt bearbeitet:

susejunky

Moderator
Teammitglied
Hallo @/dev/null ,

Bei mir ist "out of the Box" Python 2.7 installiert, zusätzlich habe ich noch das für nitropy erforderliche Python 3.10 nachinstalliert. Am liebsten würde ich wegen des Fehlers python* komplett deinstallieren und evtl. vorhandene Reste einschließlich des Programms nitropy suchen und einfach löschen.
seltsam, auf meinem openSUSE Tumbleweed 20230119 ist nur Python 3.8 und Python 3.10 installiert. Python 2.7 wurde schon vor längerer Zeit (mangels upstream support?) bei einer Aktualisierung gelöscht.

Was geschieht, wenn Du Python 3.8/3.10 löschen willst, kannst Du einfach ausprobieren. Bei mir sieht das so aus:
Code:
# zypper rm python310
Installierte Pakete werden gelesen...
Paketabhängigkeiten werden aufgelöst...

Die folgenden 41 Pakete werden GELÖSCHT:
  calibre cepces cepces-certmonger dstat libreoffice libreoffice-base libreoffice-calc libreoffice-calc-extensions libreoffice-draw libreoffice-filters-optional libreoffice-gnome
  libreoffice-gtk3 libreoffice-impress libreoffice-l10n-de libreoffice-l10n-en libreoffice-math libreoffice-pyuno libreoffice-writer libreoffice-writer-extensions libsamba-policy0-python3
  python310 python310-cryptography python310-curses python310-dnspython python310-pyOpenSSL python310-requests python310-requests-gssapi python310-requests-toolbelt python310-urllib3
  python3-cepces samba-gpupdate samba-libs-python3 samba-python3 samba-tool scout scout-command-not-found yast2-python3-bindings yast2-samba-client yast2-samba-server youtube-dl yt-dlp

41 zu entfernende Pakete.
Nach dem Vorgang werden 518,3 MiB freigegeben.
Fortfahren? [j/n/v/...? zeigt alle Optionen] (j): n
#

Viele Grüße

susejunky
 
OP
/dev/null

/dev/null

Moderator
Teammitglied
Danke!
Mein 2.7 wird wohl noch aus Zeiten stammen, wo ich mich mal für Tumbleweed entschieden habe. Das ist seeeeehr lange her.
Na gut, LO kann ich ja wieder installieren, das dürfte kein Problem werden. Bei mir wurde noch einiges mehr angezeigt, was ich nicht zuordnen konnte.
Ach was solls, ist nur schade, da mein System gerade so superstabil und schnell ist. Werde mich einfach mal trauen (und vorher kopieren, was außer LO noch so gelöscht wird.)

vy 73 de Peter
 
Vorläufig verstehe ich Dein Problem nicht. Welchen Nutzen bringt es Dir, alle Pakete mit "python" (und manchmal auch nur "py") im Namen samt allen Paketen, für die sie Voraussetzung sind, zu entfernen?
 
OP
/dev/null

/dev/null

Moderator
Teammitglied
@gehrke:
Diese Testseite funktioniert mit dem NK3 perfekt. Ich meinte Webseiten (oder sonstige Anwendungen, wie Web-GUI verschiedener Geräte), welche FIDO2 benutzen. Aber ich bin Optimist und hoffe, dass ich das in den mir noch verbleibenden Lebensjahren noch erleben darf.

@josef-wien:
Nach meiner ersten Installation von nitropy (auf dem Desktop-PC "erde"), welche ebenfalls fehlerfrei durchlief und welche das gegenüber dem zweiten Versuch auf meinem tuxedo-Laptop völlig bitidentische "nitropy" erzeugte, kommt beim Aufruf von nitropy immer eine Fehlermeldung:
Code:
peter@erde:~> nitropy nk3 test
Command line tool to interact with Nitrokey devices 0.4.32
Auto configuration failed
140517704352896:error:0EFFF065:configuration file routines:CRYPTO_internal:missing equal sign:conf/conf_def.c:346:line 24
peter@erde:~>
Selbstverständlich auch, wenn ich die (ja, völlig identische!) Datei vom tuxedo auf den anderen Rechner kopiere und starte.
Ich habe am WE Dutzende von Datei- und Pfadvergleichen zwischen den beiden Rechnern vorgenommen. Und ja, selbstverständlich ist auch die "41-nitrokey.rules" an die richtige Stelle kopiert und dort aktiviert (sonst könnte ich ja auch nitropy nicht einfach als user aufrufen).
Und ich habe auch bislang noch nicht herausfinden können, in welcher Konfigurationsdatei der Fehler auf Zeile 24 steckt. Habe wirklich so ziemlich alles verglichen, einschließlich des kompletten Ordners /etc/ssl/ und seines Inhalts.

Ich habe mich (vorher) noch nie intensiv mit Python befasst. Und ich bin auch garantiert jemand, der nicht so schnell aufgibt, eher trifft das Gegenteil zu … .
Aber jetzt bin ich wirklich mit meinem Latein am Ende. (Es sei denn, DU gibst mir jetzt den entscheidenden Tipp, welcher meine Denke auf die richtige Spur setzt.)

Antwort auf deine eigentliche Frage:
Meine letzte Idee war, alles, was mit Python zu tun hat, zu deinstallieren und bestehende Reste usw. manuell auszuputzen. Ohne Rücksicht auf garantiert auftretende Kollateralschäden (diese sollte ich ja bei der Deinstallation erkennen und kann benötigte Programme ja wieder installieren). Und dann python3.10 sowie pip und pipx und dann nitropy sauber zu installieren. Und zum Schluss die oben erwähnten "Kollateralschäden" wie LO u.a. zu beseitigen.
Ja, das wäre eine Methode, welche wir eigentlich den Nutzern der WinDOSe zuschreiben. Aber irgendwann … => siehe oben.

OK?

vy 73 de Peter
 
Du könntest als root die installierten Pakete prüfen:
Code:
rpm -qa | while read paketname ; do rpm -V $paketname | grep ^..5.* && echo $paketname ; done | tee /tmp/rpm.txt
Der Paketname wird jeweils am Ende eines Blocks ausgegeben.

Die ersten 8 Stellen bedeuten (grep wählt nur den Wert 5 aus):
Code:
S file Size differs
M Mode differs (includes permissions and file type)
5 MD5 sum differs
D Device major/minor number mismatch
L readLink(2) path mismatch
U User ownership differs
G Group ownership differs
T mTime differs
P caPabilities differ
missing (oder fehlend, je nach Sprachversion) Datei nicht vorhanden

Natürlich findest Du auch Dateien, die entweder von Dir oder einer Einstellungsroutine verändert wurden. Bei Programmen und Bibliotheken sollte das aber nciht der Fall sein.

P. S.
Das sieht eher nach einem Hinweis auf den Quellcode aus.
 
OP
/dev/null

/dev/null

Moderator
Teammitglied
Oooooh, das ist ja viel Holz …
Ich werde das die nächsten Tage mal alles der Reihe nach abarbeiten.
Erster kurzer Blick: Eine ganze Menge zu …fonts…, …sane…, …grub… und …postfix, welche ich wohl ignorieren kann.
Und 30 Ergebnisse, welche allesamt mit "/usr/lib/python3.10/site-packages/click/" beginnen.

Die werde ich mir mal anschauen, aber wonach ich da genau sehen muss, weiß ich noch nicht.
Wie sagte meine Schwiegermutter des Öfteren: Man kann alt werden wie eine Kuh, man lernt immer noch dazu!

Bis die Tage!
 
/usr/lib/python3.10/site-packages/click/
python*-click ist bei mir nicht installiert, aber wenn ich in der Paket-Beschreibung "Command Line Interface Creation Kit" lese, deutet das wohl nicht auf Dein Problem hin. Und wenn python*-OpenSSL im Ergebnis nicht aufscheint, muß dieser Teil passen.

Mit mehr theoretischen Ideen kann ich nicht aufwarten.
 

gehrke

Administrator
Teammitglied
@gehrke:
Diese Testseite funktioniert mit dem NK3 perfekt. Ich meinte Webseiten (oder sonstige Anwendungen, wie Web-GUI verschiedener Geräte), welche FIDO2 benutzen. Aber ich bin Optimist und hoffe, dass ich das in den mir noch verbleibenden Lebensjahren noch erleben darf.
Ja, ich warte auch noch auf den großen Run. Zuletzt habe ich es mir vor einem Jahr angesehen - funktionierte alles gut, aber gab keine Websites in meinem Interessensfeld.
 
Oben