To main content

Die FSFE Fellowship Smartcard

Veröffentlicht von Benjamin Marwell am

Hin- und hergerissen. Braucht man so etwas oder nicht? Es geht um die Fellowship Smartcard der Free Software Foundation Europe. Inhaltlicher einfacher Deal, aber was bringt es?

Im Endeffekt hat man mit PGP bzw. GnuPG ein kleines Problem: Möchte man sich mit seinem Schlüssel authentifizieren (z.B. per SSH irgendwo einloggen) oder ein Dokument ver-/entschlüsseln oder signieren, braucht man ein vertrauenswürdiges System. Wird der Schlüssel kompromittiert - also ausgelesen - muss dieser revoked werden. Ein Grund, warum auf meinem Laptop der private Schlüssel nur in einer LUKS-Partition existieren darf.

Ab was ist eigentlich, wenn man mal unterwegs ist - ohne Klappcomputer? Dann hilft nur ein verschlüsselter USB-Stick. Aber auch da kann man sich nicht sicher sein, ob der benutzte Computer nicht heimlich Schlüssel kopiert. Selbst wenn man vom USB-Stick bootet könnten noch Keylogger und per Hardware ein Schattenkopierer versteckt sein. Also unterwegs nicht kryptografisch erreichbar? Die Kryptokarte der FSFE versucht dieses Problem geschickt zu umgehen.

In dieser Karte befindet sich alles nötige für eine Hardwareverschlüsselung. Technisch genau genommen: RSA mit 3072bit. Der Clou: Der Schlüssel wird auf der Karte selbst so abgelegt, dass er von außen nicht ausgelesen werden kann. Die Verschlüsselung, Signierung, Authentifizierung findet vollständig auf dem Chip der Karte statt. Dadurch ist die Benutzung an jedem Computer möglich, ohne dass man Angst haben muss, dass der private Schlüssel mitgelesen wird. Wer sich noch gegen Keylogger absichert bringt nicht etwa eine eigene Tastatur mit (im Gerät könnte das USB/PS2-Kabel über einen Hardwarelogger laufen), sondern man kauft sich ein Lesegerät mit Tastatur. Et voilà!

Das System mit dem Ablegen der public/private Keys ist nur leider etwas komplizierter als über den "üblichen" Weg. Wer sich für Details interessiert sollte einmal einen Blick auf die Links am Ende dieses Artikels werfen.

Die Kosten für eine Karte betragen übrigens ca. € 15,-, außerdem braucht man einen Kartenleser der auch locker € 40,- kosten kann (Bereich € 20 - € 80). Die Mitgliedschaft bei der FSFE kostet hingegen € 120,- im Jahr (unterer empfohlener Betrag für Mittelverdiener, mehr Geld wird gerne gesehen). Außerdem unterstützt man einen guten Zweck. Und die Karte ist bunt :-). Darum bin ich hin- und hergerissen: Ist es mir das Geld wert? Braucht man das wirklich? Es ging doch bislang auch so! Und Hand aufs Herz: Wie viel meiner Kommunikation läuft verschlüsselt ab? Daher verschiebe ich den Kauf erst einmal, auch der Eintritt in die FSFE wird sich wohl noch auf unbestimmte Zeit verzögern.

Weblinks