Cartão inteligente OpenPGP com GnuPG no Fedora

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

active

inactive

active

active

inactive

Nota

As instruções que se seguem requerem que o Nitrokey 3 tenha, pelo menos, a versão de firmware 1.4.0 instalada. Consulte firmware update para saber como actualizá-lo.

Agora distribua a chave pública actualizada.

Nota

O scdaemon ** é instalado em /usr/libexec/scdaemon. Este caminho geralmente não faz parte da variável de ambiente PATH.

O projeto GnuPG suporta duas configurações de interface com um smartcard OpenPGP.

  1. GnuPG (scdaemon com driver CCID) → Smartcard (por exemplo, Nitrokey)

    Nesta configuração o scdaemon comunica diretamente com o Nitrokey com o seu driver CCID interno e libusb. Requer que as regras Udev sejam definidas, porque o scdaemon ** corre no espaço do utilizador com as permissões do utilizador com sessão iniciada.

  2. Para gerar um segredo, existe um botão no campo do lado direito. Também é possível introduzir o seu próprio segredo, desde que esteja em conformidade.

    Nesta configuração, o scdaemon comunica com o pcscd, que por sua vez comunica com o Nitrokey.

No Fedora apenas a segunda configuração é suportada, porque a configuração do pacote GnuPG define o controlador CCID como desativado e o suporte pcsc como necessário. A configuração relevante pode ser encontrada no ficheiro de especificações aqui e aqui.

Resolução de problemas

A versão mais recente do Fedora 38 deve funcionar sem problemas após a instalação. As versões actualizadas do Fedora podem ter configurações conflituosas e devem ser verificadas conforme abaixo. Foi reportado que o Fedora Silverblue tem problemas com o GnuPG e smartcards. As instruções abaixo aplicam-se apenas às edições Fedora Workstation e Fedora Server.

A configuração correta de uma instalação pode ser verificada consultando informações sobre o Nitrokey com gpg --card-status.

Verificar o reconhecimento

Verificar com o comando lsusb se o Nitrokey é reconhecido. A saída deve listar o Nitrokey, por exemplo, Bus 001 Device 002: ID 20a0:42b2 Clay Logic Nitrokey 3.

Check system configuration

  1. Certifique-se de que o pacote pcscd está instalado com dnf install pcsc-lite. Além disso, o serviço systemd e o socket devem ser activados e iniciados com systemctl enable pcscd.socket pcscd.service && systemctl start pcscd.socket.

  2. O scdaemon requer a biblioteca libpcsclite para se ligar a pcscd. O caminho para a biblioteca pcsc pode ser definido explicitamente com echo "pcsc-driver /usr/lib64/libpcsclite.so.1" >> ~/.gnupg/scdaemon.conf. Alternativamente, a biblioteca também pode ser disponibilizada com um link simbólico da seguinte forma ln -s /usr/lib64/libpcsclite.so.1 /usr/lib64/libpcsclite.so. Certifique-se de que o arquivo ~/.gnupg/scdaemon.conf não tenha configurações conflitantes aplicadas.

  3. O scdaemon requer a biblioteca <x id=»28»></x>libpcsclite<x id=»40»></x> para se ligar a <x id=»64»></x>pcscd<x id=»70»></x>. O caminho para a biblioteca pcsc pode ser definido explicitamente com <x id=»129»></x>`<x id=»131»></x><x id=»203»></x>`. Alternativamente, a biblioteca também pode ser disponibilizada com um link simbólico da seguinte forma <x id=»287»></x>`<x id=»289»></x><x id=»348»></x>`. Certifique-se de que o arquivo <x id=»366»></x>`<x id=»368»></x><x id=»390»></x>` não tenha configurações conflitantes aplicadas.