Hi Peter,
danke für die ausführliche Antwort. Die meisten Posts, die ich vorher gelesen hatte waren übrigens von dir und Ich find's wirklich toll, wie engagiert Du die Mitglieder hier betreust - aber das mal off-topic.
Zu Thunderbird, OpenVPN: Hatte ich auch so verstanden
Truecrypt unterstützt das PK-Verfahren nicht, das ist richtig. Zumindest lässt sich aber das Keyfile auf auf der Smartcard speichern:
Zitat
TrueCrypt can directly use keyfiles stored on a security token or smart card that complies with the PKCS #11 (2.0 or later) standard [23] and that allows the user to store a file (data object) on the token/card.
Das finde ich immerhin schonmal ganz nützlich und würde ich auch gerne verwenden. Dürfte dann mit jedem "normalen" crpyto-provider auch gehen.
Putty unterstützt in der spezialversion "putty sc" einen pkcs#11 provider. Ob und wie das genau funktioniert müsste man dann mal ausprobieren.
Datenveschlüsselung
Ich hatte da an sowas wie bei GPG gedacht: rechtsklick-> bitte verschlüsseln. Die ganze Festplatte wollte ich eigentlich nicht verschlüsseln. Denn das hat aus meiner Sicht nur einen Vorteil: Man brauch sich bei einem "Unfall" garnicht die Arbeit zu machen, nach einem Recovery tool zu suchen Diese Sache ist aber nicht so dringend. Nice-to-have
Wozu ich als Privatperson eine Smartcard-Lösung brauche?
Grund 1: Die Schwachstelle an dem ganzen System ist meine Passphrase. Mit gefällt der Gedanke nicht, dass jemand einfach mein Keyfile kopieren kann und die nächsten 5 Jahre (ich übertreibe jetzt mal) eine brute-force Attacke darauf laufen lassen kann oder einen Keylogger benutzt, um heranzukommen.
Grund 2: Die technische Herausfoderung und "Warum nicht sicherer machen, wenn es sicherer geht?"
Grund 3: Ich denke, dass Smartcards - sofern einfach zu verwenden - für Anfägner sicherer zu handhaben sind, als Softtoken. Denn wenn mein Onkel beim Softtoken als Passphrase "1234" eingibt oder er aus Versehen den Private Key per email versendet, ist die Sicherheit dahin. Bei der Smartcard kann man nicht so viel falsch machen. Wenn das also gut klappt, würde ich die Lösung propagieren.
Linux Kompatibilität
Wenn ich meine Karte verliere, stind meine verschlüsselten Daten futsch. Das ist nicht schön, daher hab ich folgenden Lösungsansatz auch schon für meine OpenPGP Card verwendet:
Schlüssel auf einem Live-Linux System ohne Festplatte und ohne Netzwerk generieren und auf die Smartcard aufspielen. Ausßerdem zwei Sicherheitskopien mit einer laaaaaangen Passphrase auf einer CF-Speicherkarte anlegen. Speicherkarten an einem sicheren Ort verwahren.
Sollte meiner Smartcard etwas zustoßen, kann ich eine neue anfertigen.
Zusammengefasst
So wie ich das sehe, brauch ich also einfach eine PKCS11-Kompatible Karte, die
-möglichst problemlos mit den Linuxprojekten zusammenarbeitet
-zertifikate importieren kann
-einen data object store hat (für TrueCrypt)
Kannst Du eine empfehlen? Mit dieser .NET Karte hast Du keine Erfahrung, oder?
Gruß,
Stefan