Swissbit iShield Key 2 Benutzerhandbuch

Vorschau ausblenden

100

101

102

Seite von 102

/ 102
Lesezeichen

Quicklinks

Diese Anleitung herunterladen

Benutzerhandbuch

Swissbit iShield Key 2

iShield Key 2 FIDO2

iShield Key 2 Pro

iShield Key 2 MIFARE

iShield Key 2 FIPS

Datum: 28. Februar 2025

Dokument Version: 1.0

Datei: UserManual_iShield-Key-2-Series_v1.0_DE.pdf

Inhaltszusammenfassung für Swissbit iShield Key 2

Seite 1 Benutzerhandbuch Swissbit iShield Key 2 iShield Key 2 FIDO2 iShield Key 2 Pro iShield Key 2 MIFARE iShield Key 2 FIPS Datum: 28. Februar 2025 Dokument Version: 1.0 Datei: UserManual_iShield-Key-2-Series_v1.0_DE.pdf...
Seite 2 The information or material contained in this document is property of Swissbit AG and any recipient of this document shall not disclose or divulge, directly or indirectly, this document or the information or material contained herein without the prior written consent of Swissbit AG.
Seite 3 Inhaltsübersicht INHALTSÜBERSICHT ........................3 INFORMATIONEN ZUM DOKUMENT ................... 5 ÜBERSICHT ISHIELD KEY 2 SERIE ..................... 6 VERGLEICH ZWISCHEN DER ISHIELD KEY SERIE UND DER ISHIELD KEY 2 SERIE ......... 9 SWISSBIT MANAGEMENT TOOLS ..................... 11 ....................... 11 HIELD ANAGER Einrichtung ............................11 Dashboard ............................
Seite 4 RSTE CHRITTE MIT AUF I HIELD PIV-Installationspaket ........................77 Installation des OpenSC Minitreibers und des iShield PIV-Moduls ..........78 Vorbereitung des iShield Key 2 Pro ....................79 Zurücksetzen des iShield Key 2 Pro ....................79 ................80 NWENDUNGSFALL OKALES ONTO ITLOCKER Einrichtungsprozess ...........................
Seite 5 Dokument beschreibt, wie Sie Ihren Swissbit iShield Key 2 Sicherheitsschlüssel in Betrieb nehmen können. Die iShield Key 2 Serie ist die zweite Generation der iShield Key Familie und bietet im Vergleich zur ersten Generation erweiterte Funktionen und Verbesserungen. Sie wurde entwickelt, um den neuesten Standards wie FIDO2.1 (CTAP...
Seite 6 2 Übersicht iShield Key 2 Serie Die iShield Key 2 Serie hat mehrere Produktvarianten. Um den Produktnamen besser zu verstehen, hier ein Beispiel: Das erste Feld gibt die Produktfamilie an, das zweite Feld handelt sich um die Produktgeneration. In diesem Dokument wird nur die iShield Key 2 Serie (zweite Generation der Produktfamilie "iShield Key") behandelt.
Seite 7 Auf dem Swissbit iShield Key 2 FIDO2 ist ausschließlich das FIDO2-Applet installiert, während der iShield Key 2 Pro zusätzlich die Applets FIDO2, Passcode und PIV enthält. Darüber hinaus unterstützt der iShield Key 2 Pro MIFARE den MIFARE-Standard, und der iShield Key 2 Pro FIPS ist nach dem Standard FIPS 140-3 zertifiziert.
Seite 8 FIDO2-kompatible FIDO2 Abschnitt Websites und Dienste Discoverable Credentials Erzeugen eines Discoverable Credentials (Resident FIDO2 Abschnitt Keys) auf iShield Key 2 (FIDO 2.1) 5.2.8 Resident Key 2FA für Online-Konten / VPN Zwei-Faktor-Authentifizierung für Websites, Dienste Passcode Abschnitt oder VPN, die TOTP unterstützen (TOTP) 2FA für Online-Konten / VPN...
Seite 9 Diese Funktionen erfüllen die praktischen Anforderungen der Benutzer und erhöhen die Benutzerfreundlichkeit erheblich. Der iShield Key 2 Pro bietet zusätzlich die Möglichkeit, statische Passwörter zu speichern, sodass Benutzer ihre OTPs und Passwörter bequem in einem einzigen Token verwalten können. Zudem können zwei Gesten für HOTP und/oder Passwort-Slots zugewiesen werden, um eine schnelle Ausgabe von HOTP-Codes und Passwörtern...
Seite 10 Key 2 Pro MIFARE – für Kunden, die die MIFARE-Technologie benötigen, eine bewährte Lösung für kontaktlose Chipkarten und Lesegeräte von NXP Semiconductors. MIFARE wird in vielen Sicherheits- und Zugangskontrollsystemen verwendet. 2. iShield Key 2 Pro FIPS – mit FIPS 140-3-Zertifizierung, welche fortschrittliche Manipulationsschutzmechanismen sowie identitätsbasierte Authentifizierung bietet und damit ein...
Seite 11 Der iShield Key Manager (kurz iKM) und das iShield Key Manager Kommandozeilen-Tool (kurz iKMcli) unterstützen fast alle notwendigen Operationen zur Verwaltung der Applets auf Ihrem iShield Key 2 und helfen bei den in diesem Leitfaden vorgestellten Anwendungsfälle. Sie können beide Tools von der...
Seite 12 macOS-Installation Anwendung installieren, doppelklicken „iShieldKeyManagerInstaller.pkg“. Installationsprogramm führt Sie durch die notwendigen Schritte zur Installation der Anwendung. Fortfahren Klicken Sie auf , um die Installation zu starten. Akzeptieren Sie dann bitte die Lizenzvereinbarung und folgen Sie den Anweisungen auf dem Bildschirm. Nach Abschluss der Installation können Sie die Anwendung starten, indem Sie zu "Anwendungen"...
Seite 13 Dashboard Der iShield Key Manager unterstützt nur einen einzelnen iShield Key 2, der mit dem Host-PC verbunden ist. Nach dem Start der App werden die Daten Ihres iShield Key 2 geladen. Anschließend wird ein Dashboard angezeigt, das eine Übersicht sowie zusätzliche Kacheln zur Verwaltung der Applets auf Ihrem iShield Key 2 bereitstellt.
Seite 14 Einstellungen verwiesen, um eine PIN festzulegen oder einen Werkeinstellungen zurücksetzen. Die neue PIN ist zwischen vier und acht Zeichen lang. Hinweis: Aufgrund der FIPS-Konformität, muss die neue FIDO2-PIN des iShield Key 2 Pro FIPS den PIN-Regeln entsprechen. Unter macOS, Linux oder wenn Sie die App als Administrator unter Windows starten, zeigt die FIDO2-Dashboard- Karte die AAGUID, die Version des FIDO2-Applets, die Anzahl der gespeicherten Passkeys und ermöglicht die...
Seite 15 Ihrem FIDO2-Applet einsehen und eine neue PIN festlegen oder sie später ändern. Falls Sie Ihre PIN verloren haben, können Sie das FIDO2-Applet Ihres iShield Key 2 auf die Werkseinstellungen zurücksetzen. Bitte beachten Sie, dass hierbei alle gespeicherten FIDO2-Daten und Passkeys dauerhaft gelöscht werden.
Seite 16 Im Fenster „PIN ändern“ haben Sie die Möglichkeit, eine PIN-Änderung bei der nächsten Verwendung zu erzwingen. Wenn Sie diese Einstellung mit Ihrer aktuellen PIN aktivieren, werden Sie beim nächsten Einsatz der FIDO2-Applikation dazu aufgefordert, Ihre PIN zu ändern - sei es beim Erstellen eines neuen Passkeys oder beim Verwalten gespeicherter Passkeys.
Seite 17 Mit der Unterstützung von FIDO 2.1 (CTAP2.1) kann der iShield Key 2 nun jeden Passkey unabhängig verwalten. Wenn Sie auf die Schaltfläche "Durchsuchen" klicken und die FIDO2-PIN eingeben, können Sie alle auf dem iShield Key 2 aufgelisteten Passkeys sehen und verwalten.
Seite 18 Die Passcode-Dashboard-Karte zeigt die Version des Passcode-Applets an, und die Dropdown-Liste ermöglicht Ihnen die schnelle Auswahl verschiedener Slot-Typen durch Erkennung der entsprechenden Symbole. Seite18 von 102...
Seite 19 steht für den HOTP-Slot, steht für den TOTP-Slot, steht für den Passwort-Slot, bedeutet, dass der Slot für kurzes Antippen zugewiesen ist, bedeutet, dass der Slot für langes Antippen zugewiesen ist, bedeutet, dass der Slot PIN-geschützt ist. Seite19 von 102...
Seite 20 Bevor Sie die TOTP- oder HOTP-Funktion Ihres iShield Key 2 Pro als zweiten Authentifizierungsfaktor verwenden können, müssen Sie Ihren iShield Key 2 Pro mit einem Dienst verknüpfen und einen neuen TOTP- oder HOTP-Slot konfigurieren. In der Dropdown-Liste können Sie entweder einen bereits konfigurierten Slot auswählen oder einen neuen anlegen.
Seite 21 Wenn Sie einen HOTP-Slot mit "Scannen und Konfigurieren" anlegen, werden durch Klicken auf diese Schaltfläche Informationen zum Kontonamen und zum Aussteller angezeigt. Sie können dann die PIN-Schutzfunktion aktivieren oder ein kurzes/langes Antippen zuweisen. Wenn jedoch der PIN-Schutz aktiviert ist, ist die Zuweisung von Antippen-Geste nicht möglich.
Seite 22 Alternativ können Sie einen neuen Slot auch manuell konfigurieren. Geben Sie dazu einen Aussteller und einen Kontonamen für den neuen HOTP/TOTP-Slot an und tragen Sie die entsprechenden Konfigurationswerte ein, wie Schlüssel, Algorithmus, OTP-Länge und Zeitintervall, die von Ihrem Dienst bereitgestellt wurden. Der geheime Schlüssel im Hex-Format muss zwischen 16 und 64 Byte lang sein, und die Länge des OTP kann zwischen 6 und 9 liegen.
Seite 23 Passcode-PIN Zurücksetzen löscht alle PIN-geschützten Slots und entfernt die PIN. Bei erfolgreicher Authentifizierung der PIN wird der Zähler für Wiederholungsversuche zurückgesetzt. Ein komplettes Zurücksetzen setzt das Passcode-Applet Ihres iShield Key 2 auf die Werkseinstellungen zurück. Alle Passcode-Slots und Daten werden gelöscht.
Seite 24 Zugriff zuweisen. Falls zugewiesen, können Sie einen neuen HOTP-Code generieren, indem Sie einfach das Ende Ihres iShield Key 2 berühren. Weitere Information zur Antippen-Geste finden Sie im Abschnitt Antippen-Geste. Wenn mehrere iShield Key 2 Pros gleichzeitig bereitgestellt werden sollen, lesen Sie bitte den...
Seite 25 Passwort Passwort ist eine der neuen Funktionen, die mit dem iShield Key 2 Pro eingeführt wurden. Sie können Ihre Passwörter sicher auf dem iShield Key 2 Pro speichern. Wenn ein Passwort-Slot einer Antippen-Geste zugewiesen ist, kann das gespeicherte Passwort automatisch auf dem angeschlossenen Host eingegeben werden, indem Sie einfach das Ende des iShield Key 2 Pro berühren.
Seite 26 Antipp-Gesten zuweisen, das kurze und das lange Antippen. Der mit kurzem Antippen zugewiesene Slot wird aktiviert, wenn das Ende des iShield Key 2 pro etwa 1 Sekunde lang berührt wird, und der mit langem Antippen zugewiesene Slot wird aktiviert, wenn das Ende des iShield Key 2 pro etwa 3 Sekunden lang berührt wird.
Seite 27 PIV-Dashboard-Karte Ihr iShield Key 2 Pro wird mit dem installierten PIV-Applet geliefert. Sie finden auch eine Karte zur Verwaltung des PIV-Applets auf dem Dashboard. Die Karte zeigt die Version des installierten PIV-Applets und die Anzahl der installierten Zertifikate an.
Seite 28 Die Werkseinstellung für die PIN ist 123456, der Standard-PUK ist 12345678 und der Managementschlüssel ist 010203040506070801020304050607080102030405060708 (AES 192). Hinweis: Aufgrund der FIPS-Konformität unterstützt iShield Key 2 Pro FIPS nicht den TDES-Algorithmus. Die neue PIV-PIN und PUK müssen den PIN-Regeln entsprechen.
Seite 29 , um installierte Zertifikate zu prüfen oder ein neues hinzuzufügen. Sie können Zertifikatsignierungsanforderung (CSR) für PIV-Slots erstellen, das resultierende Zertifikat von Ihrer CA signieren lassen und es in Ihren iShield Key 2 Pro importieren. In dieser Ansicht können Sie auch die Details der installierten Zertifikate einsehen, sie exportieren oder löschen.
Seite 30 Die Erkennung von FIDO2-Geräten erfordert die Ausführung des iKMcli Tools als Administrator. In den folgenden drei Abschnitten werden die unterstützten Vorgänge für FIDO2, Passcode (nur iShield Key 2 Pro) und PIV (nur iShield Key 2 Pro) näher erläutert. FIDO2-Befehl...
Seite 31 Anzahl der verfügbaren Slots auf Ihrem angeschlossenen iShield Key 2 Pro anzuzeigen: iKMcli password --info Operation verwendet den ersten erkannten iShield Key 2 Pro, aber Sie können auch einen andere Password angeschlossenen iShield Key 2 Pro angeben. Um die Operation für ein bestimmtes Gerät auszuführen, übergeben Sie dessen Pfad mit der Option .
Seite 32 iKMcli password --reset Hinweis: Befehl löscht alle Passcode-Slots und entfernt die PIN reset Neuen Passcode-Slot konfigurieren Sie können einen neuen Passcode-Slot konfigurieren: iKMcli password --conf-slot --key <key> --acccount <account> [--type <TOTP|HOTP|STATIC>] [--slot-index <index>] [--key-format <base32|hex|raw>] [--issuer <issuer>] [--hmac <SHA1|SHA256|SHA512>] [--otp-length <6|7|8|9>] [--period <Intervall>] [--pin-protected] [--touch-gesture <SHORTTAP|LONGPRESS>]...
Seite 33 --clear-slot --slot-index <index> Mass Enrollment Der Mass Enrollment ist eine der neuen Funktionen des iShield Key 2 Pro. Jedes iShield Key 2 Pro wird mit einem zufälligen geheimen Schlüssel initialisiert. Dieser wird zusammen mit folgenden Informationen in einer CSV- Datei gespeichert: •...
Seite 34 Key 2 Pro anzuzeigen: iKMcli piv --info Operation verwendet den ersten erkannten iShield Key 2 Pro, aber Sie können auch einen andere angeschlossenen iShield Key 2 Pro angeben. Um die Operation für ein bestimmtes Gerät auszuführen, übergeben Sie dessen Pfad mit der Option .
Seite 35 Optional können Sie angeben: der Algorithmus des Verwaltungsschlüssels. Standardmäßig ist AES192. --new-management-key-algorithm Hinweis: Aufgrund der FIPS-Konformität unterstützt der iShield Key 2 Pro FIPS nicht den TDES-Algorithmus. Die neue PIV-PIN und PUK müssen den PIN-Regeln entsprechen. Die PIV-PIN darf nur Zahlen (0-9) enthalten.
Seite 36 iKMcli piv --reset Neue Werte für die eindeutige Karteninhaberkennung (CHUID) und den Card Capability Container (CCC) können mit den folgenden Befehlen festgelegt werden: iKMcli piv --set-chuid --management-key <key> iKMcli piv --set-ccc --management-key <key> Seite36 von 102...
Seite 37 Dieser Abschnitt erklärt die FIDO2-Registrierung und Anmeldung. Alle FIDO2-Funktionen sind mit allen iShield Key 2 Produktvarianten kompatibel. In Abschnitt 5.2 finden Sie Informationen, wie Sie Ihren iShield Key 2 in Betrieb nehmen und in 5.3 erfahren Sie, wie Sie den Schlüssel bei verschiedenen Online-Diensten registrieren können.
Seite 38 Nach erfolgreicher FIDO2-Registrierung verfügt der Online-Dienst über den Public Key für das Benutzerkonto, und der entsprechende Private Key ist sicher auf dem iShield Key 2 gespeichert. Der Online-Dienst fordert den Benutzer auf, mit dem Private Key zu signieren. Wenn der Online-Server die Signatur anhand des Public Keys verifizieren kann, ist die Authentifizierung erfolgreich und der Benutzer erhält Zugang zu seinem Konto.
Seite 39 PIN-Regeln entsprechen. Um die FIDO2 PIN des Swissbit iShield Key 2 zu verwalten, kann eine in Windows 10 eingebaute Funktion zur Verwaltung von Sicherheitsschlüssel verwendet werden. Um die Verwaltung der Sicherheitsschlüssel zu starten, klicken Sie bitte auf "Start --- Einstellungen --- Konten", wählen Sie dann die Option "Sicherheitsschlüssel"...
Seite 40 Sie können eine neue FIDO2 PIN einrichten, wenn keine FIDO2 PIN im Gerät gespeichert ist. Um die FIDO2 PIN zu ändern, ist die aktuelle FIDO2 PIN erforderlich. Bitte beachten Sie, dass alle Anmeldedaten nach dem Zurücksetzen verloren sind, wenn Sie den Swissbit iShield Key 2 zurücksetzen...
Seite 41 Bitte besuchen Sie die Test-Website https://webauthn.io, um Ihren Swissbit iShield Key zu testen. Die Website sieht wie folgt aus: Um den Swissbit iShield Key 2 zu registrieren, geben Sie einen beliebigen Namen (Test-ID) ein und klicken Sie auf "Register". Seite41 von 102...
Seite 42 5.2.2, um den iShield Key 2 zurückzusetzen. Nach dem Zurücksetzen müssen Sie Ihren iShield Key 2 erneut registrieren. Nachdem die FIDO2 PIN akzeptiert wurde, müssen Sie das Ende des iShield Key 2 berühren, um sicherzustellen, dass ein Mensch und nicht eine Maschine den iShield Key bedient.
Seite 43 Sie können sich mit dem iShield Key 2 ganz einfach bei Ihrem Microsoft-Konto anmelden, ohne Ihre E-Mail- Adresse und Ihr Passwort anzugeben. In diesem Abschnitt erklären wir Ihnen, wie Sie den iShield Key 2 in einem „Online“-Microsoft-Konto registrieren. Die Anmeldung bei einem Offline-Microsoft-Konto, wie beispielsweise einem lokalen Windows-PC-Konto, wird hier nicht behandelt.
Seite 44 Sie "Verwalten, wie ich mich anmelde". Auf dieser Seite können Sie Ihre aktivierten Anmelde- und Verifizierungsoptionen verwalten. Klicken Sie auf "Neue Möglichkeit zur Anmeldung oder Verifizierung hinzufügen", um den iShield Key 2 als Sicherheitsschlüssel hinzuzufügen. Seite44 von 102...
Seite 45 Wählen Sie auf der folgenden Seite "Gesichtserkennung, Fingerabdruck, PIN oder Sicherheitsschlüssel". Weiter Schließen Sie Ihren Swissbit iShield Key an und klicken Sie auf " ". Da der iShield Key 2 ein USB- Sicherheitsschlüssel mit NFC ist, können Sie ihn entweder an Ihren USB-Anschluss anschließen oder ihn über einen geeigneten NFC Reader verbinden.
Seite 46 Folgen Sie den Anweisungen im Pop-up-Fenster, um die Registrierung Ihres iShield Key 2 abzuschließen. Nach erfolgreicher Registrierung können Sie sich damit anmelden. Bitte beachten Sie, dass Microsoft vom Benutzer verlangt, eine FIDO2 PIN für den iShield Key 2 einzurichten. Nach Abschluss der Einrichtung werden Sie automatisch zur Seite „Verifizierungsoptionen“ weitergeleitet. Ihr iShield Key sollte dort bereits aufgelistet sein und Sie können ihn jederzeit verwalten.
Seite 47 In der Zwischenzeit werden Sie eine E-Mail von Microsoft erhalten. Passwortlose Anmeldung bei einem Online-Microsoft-Konto Da der Swissbit iShield Key 2 bereits bei Microsoft registriert ist, können Sie sich nun ohne E-Mail Adresse und Passwort anmelden. Besuchen Sie https://login.live.com/, um sich anzumelden, und klicken Sie unten auf "Anmeldeoptionen" und wählen Sie „Gesichtserkennung, Fingerabdruck, PIN oder Sicherheitsschlüssel ".
Seite 48 Stecken Sie nun Ihren iShield Key 2 ein oder halten Sie ihn in die Nähe Ihres NFC-Lesers. Nachdem Ihr iShield Key 2 erkannt wurde, geben Sie Ihre FIDO2 PIN ein. Jetzt sind Sie erfolgreich bei Ihrem Microsoft-Konto angemeldet. Anmeldung mit externem Identitätsanbieter Wenn Sie „Single-Sign-On“...
Seite 49 Key 2 bei Keycloak als Identifikator registriert hat, kann sich ohne erneute Registrierung mit seinem Benutzernamen und iShield Key 2 bei Dracoon anmelden. Sobald ein Benutzer authentifiziert ist, informiert Keycloak Dracoon darüber, dass Benutzer erfolgreich authentifiziert wurde stellt Identitätsinformationen dieses Benutzers zur Verfügung.
Seite 50 Weitere Informationen anderen Konfigurationen OIDC-Clients finden unter https://www.keycloak.org/docs/11.0/server_admin/#oidc-clients. Bitte aktivieren Sie "WebAuthn Register Passwordless" in der Registerkarte "Required Actions", und richten Sie dann einen passwortlosen Browser-Login ein. Sie können ihn hinzufügen, indem Sie dieser Anleitung folgen https://www.keycloak.org/docs/latest/server_admin/#creating-a-password-less-browser-login-flow. Nachdem dieser Ablauf erstellt wurde, klicken Sie auf Authentifizierung und wechseln Sie auf die Registerkarte "Flows".
Seite 51 Klicken Sie auf "Systemeinstellungen --- Authentifizierung", wechseln Sie auf die Registerkarte "OpenID Connect". Klicken Sie auf "Hinzufügen", um ein neues Profil hinzuzufügen. Das bedeutet, dass Keycloak als Identitätsanbieter verwendet wird. (Im Screenshot oben ist "Swissbit" der Profilname). Der Konfigurationswert <Keycloak-URL>/auth/realms/{realm-name}/.well-known/openid-configuration des Identity Providers kann von geholt werden.
Seite 52 Der Konfigurationswert, den Sie oben erhalten haben, sollte in Dracoon wie unten gezeigt eingegeben werden. Seite52 von 102...
Seite 53 OpenID-Connect-Clients finden unter https://cloud.support.dracoon.com/hc/en-us/articles/360001372679-OpenID-Connect-Keycloak. Swissbit iShield Key Registrierung Wenn der Benutzer sich auf der Kontoseite von Keycloak authentifiziert, kann er mehrere Möglichkeiten wählen, :<Keycloak-URL>/auth/realms/{realm-name}/account/ sich anzumelden. Sie finden die Kontoseite unter Erweitern Sie "Account Security" und klicken Sie dann auf die Option "Signing In" und richten Sie einen neuen Sicherheitsschlüssel ein, indem Sie auf das Symbol "configure"...
Seite 54 Bitte folgen Sie den Anweisungen, um die Einrichtung Ihres Swissbit iShield Keys abzuschließen. Der registrierte Swissbit iShield Key ist unten aufgelistet. Im Beispiel unten hat der Benutzer einen iShield Key konfiguriert (im Screenshot wäre "iShield FIDO2") Single-Sign-On Test Nun ist es an der Zeit, die „Single-Sign-On“ Funktionalität zu testen.
Seite 55 Sie werden automatisch zum Keycloaks Login-Interface weitergeleitet. Geben Sie dann Ihren Benutzernamen ein und wählen Sie die Option "Use your security key for passwordless sign in", anstatt ein Passwort einzugeben. Wählen Sie "Sign in with security key". Folgen Sie den Anweisungen des Pop-ups, um sich anzumelden. Wenn Ihre Anmeldung erfolgreich ist, werden Sie automatisch zu Dracoon weitergeleitet.
Seite 56 Key 2 (im Screenshot wäre "iShield FIDO2"). Erzeugen eines Resident Keys für die sichere SSH-Authentifizierung Dank der Unterstützung von CTAP2.1 ermöglicht der iShield Key 2 jetzt die Erzeugung von Resident Key für die sichere SSH-Authentifizierung mit OpenSSH. Vorteile gegenüber der herkömmlichen Methode: •...
Seite 57 Schalten Sie den Schalter (1.) um, um den "WebAuthn with FIDO Security Keys" zu aktivieren. Für die 2. Einstellung können Sie die Verifizierungsbedingung ändern, wenn der Swissbit iShield Key als Sicherheitsschlüssel registriert wird. Wenn Sie "If supported" oder "Required" wählen, ist eine FIDO2 PIN erforderlich, wenn der Swissbit iShield Key als zweiter Authentifizierungsfaktor verwendet wird.
Seite 58 Zurück zur vorherigen Seite (Multi-Faktor-Authentication), können Sie nun festlegen, ob die gerade aktivierte Multi-Faktor-Authentifizierung immer erforderlich ist. Klicken Sie auf "Save", um Ihre Einstellung zu speichern. Im Screenshot unten, "Always" bedeutet, dass der Benutzer immer den Swissbit iShield Key zur Authentifizierung verwenden muss.
Seite 59 Nach dem Pop-up zur Registrierung Ihres Swissbit iShield Keys (im Screenshot wäre "iShield FIDO2"), können Sie einen Alias für ihn vergeben. Sie haben Ihren Swissbit iShield Key erfolgreich registriert. Nun können Sie sich damit anmelden. Seite59 von 102...
Seite 60 Bitbucket Gehen Sie nach der Anmeldung zu den persönlichen Einstellungen und klicken Sie unter „Security“ auf "Two- step verification". Dann können Sie sehen, dass Sie SSH auf Ihrem Konto einrichten müssen, bevor Sie die 2FA aktivieren können. Weitere Informationen zur SSH-Konfiguration bei Bitbucket finden Sie unter https://support.atlassian.com/bitbucket-cloud/docs/set-up-an-ssh-key/.
Seite 61 Besuchen Sie nach der SSH-Einrichtung erneut die Seite "Two-step verification". Sie können nun die zwei-Stufige Authentifizierung mit einer App aktivieren. Bitte folgen Sie der Anleitung, um die Einrichtung abzuschließen. Seite61 von 102...
Seite 62 Aktivierung der zweistufigen Authentifizierung zu bestätigen. Nun können Sie Ihren Swissbit iShield Key als Sicherheitsschlüssel bei Bitbucket registrieren. Geben Sie den Gerätenamen an und klicken Sie auf "Add security key" auf der rechten Seite (im Screenshot wäre "iShield FIDO2").
Seite 63 Github Gehen Sie zu den Einstellungen, klicken Sie auf „Password and authentication" unter der Registerkarte „Access" und wählen Sie dann „Security keys" aus den „Two-factor authentication“. Bestätigen Sie nun die Einstellungen für die Kontowiederherstellung. Stellen Sie sicher, dass Sie eine Authenticator-App eingerichtet und einen Wiederherstellungscode gespeichert haben, bevor Sie fortfahren.
Seite 64 Nun können Sie einen Namen für Ihren Swissbit iShield Key 2 eingeben (im Screenshot wäre "iShield FIDO2"). Seite64 von 102...
Seite 65 Folgen Sie den Anweisungen im Pop-up-Fenster, um die Registrierung Ihres Swissbit iShield Keys abzuschließen. Nach erfolgreicher Registrierung können Sie sich damit anmelden. Amazon Web Service (AWS) Nachdem Sie sich bei der AWS-Verwaltungskonsole angemeldet haben, klicken Sie oben rechts auf Ihre ID und wählen Sie "Sicherheitsanmeldeinformationen"...
Seite 66 Stecken Sie Ihren iShield Key 2 ein und berühren Sie das Ende Ihres Swissbit iShield Key 2. Ihr iShield Key 2 wird automatisch erkannt. Sie haben Ihren iShield Key 2 erfolgreich registriert. Nun können Sie sich damit anmelden. Sie können Ihren Sicherheitsschlüssel unter "Multi-Faktor-Authentifizierung (MFA)" verwalten.
Seite 67 Der iShield Key berechnet die zeitbasierten OTPs unter Verwendung des RFC 6238-Algorithmus. Mit einem Schlüssel und der aktuellen Uhrzeit als Eingabewerte berechnet der iShield Key 2 einen sechs- bis neunstelligen TOTP. Innerhalb eines Zeitintervalls wird das Berechnungsergebnis für das TOTP gleich sein.
Seite 68 Nach erfolgreicher Registrierung Ihres iShield Key 2 mit dem Dienst berechnen beide dieselbe Reihe von TOTP für den konfigurierten Slot. Der iShield Key 2 generiert auf Anfrage ein neues TOTP basierend auf der aktuellen Uhrzeit. Bei der Anmeldung erzeugt der Dienst ebenfalls ein TOTP für die aktuelle Zeit und vergleicht es mit dem vom Benutzer eingegebenen Code.
Seite 69 Um die Einrichtung abzuschließen, generieren Sie ein neues OTP mit dem iKM oder iKMcli, geben Sie es auf der Github-Website ein und klicken auf "Save". Jetzt können Sie sich mit der TOTP-Funktion Ihres iShield Key 2 Pro als zweiten Faktor anmelden.
Seite 70 Re-Synchronisierung des HOTP-Zählers. Der Abschnitt 7.2 gibt eine kurze Einführung in den HOTP-Anwendungsfall "Mass Enrollment". Bitte beachten Sie, dass dieser Abschnitt nicht für die Produktvariante "iShield Key 2 FIDO2" relevant ist. HOTP Seeding Der iShield Key 2 Pro nutzt den HMAC-basierten RFC 4226-Algorithmus zur Generierung von schlüssel- und zählerbasierten HOTPs.
Seite 71 Algorithmus sowie an dem gemeinsam genutzten Schlüssel und Zähler zwischen dem iShield Key 2 Pro und dem Server. Bei einer Berührung generiert der iShield Key 2 Pro ein neues HOTP und erhöht den Zähler. Der Dienst vergleicht dieses OTP mit seiner eigenen Berechnung. Stimmt es überein, wird die Authentifizierung erfolgreich abgeschlossen und auch der Zähler des Servers synchronisiert.
Seite 72 Geräte effizient in einem zentralisierten Geräteverwaltungssystem zu registrieren. Seit Version 1.7.4 unterstützt das iKMcli-Tool die Bereitstellung von HOTP-Slots für mehrere iShield Key 2 Pro. Die HOTP- Funktionalität jedes iShield Key 2 Pro wird mit einem eindeutigen Zufallsgeheimnis/Schlüssel initialisiert. Diese Informationen werden zusammen mit der Seriennummer des Geräts, dem anfänglichen Zählerwert und der HOTP-...
Seite 73 8 PIV-Anwendungen Dieser Abschnitt der Anleitung zeigt Ihnen, wie Sie den Swissbit iShield Key 2 Pro als Personal Identification and Verification (PIV) unter Windows nutzen können. Der iShield Key 2 Pro mit PIV-Applet stellt mehrere Zertifikats- Slots für unterschiedliche Anwendungsfälle bereit. In dieser Anleitung wird der OpenSC Minidriver zusammen mit dem Swissbit iShield PIV-Modul verwendet, um die Smartcard mit Zertifikaten zu versehen.
Seite 74 Passworts. Ihr Windows-Benutzerkonto ist so konfiguriert, dass es dem Zertifikat auf Ihrer Smartcard vertraut. Außerdem müssen Sie nur Ihren iShield Key 2 Pro einstecken und eine kurze PIN eingeben, was nicht nur sicherer als Passwörter ist, sondern auch bequemer.
Seite 75 Einstecken des Laufwerks oder beim Starten Ihres PCs eingeben müssen. Für eine höhere Sicherheit können Sie den iShield Key 2 Pro verwenden, um die erforderlichen Zertifikate und Entschlüsselungsinformationen zu speichern. Wann immer ein Benutzer auf Daten auf dem besagten Medium zugreifen möchte, muss er die Smartcard mit dem entsprechenden Verschlüsselungszertifikat einstecken und...
Seite 76 Das PIV-Applet speichert Zertifikate und die entsprechenden Public Private Keypair in Slots - ein Slot kann ein Zertifikat aufnehmen. Der iShield Key 2 Pro verfügt über vier Standard-PIV-Steckplätze 9A, 9C, 9D und 9E sowie 20 weitere Slots für abgelaufene Zertifikate 82 - 95. Jeder Standard-PIV-Slot hat einen bestimmten Zweck, die Slots für abgelaufene Zertifikate werden in der Regel für abgelaufene Zertifikate verwendet, können aber wie die...
Seite 77 Das erste Zertifikat wird in Slot 9A gespeichert, das nächste in Slot 9D, gefolgt von den ausgeschiedenen Slots in dieser Reihenfolge. Anforderungen Swissbit hat bis jetzt folgende Systeme und Anwendungen mit Swissbit iShield Key 2 Pro für PIV getestet. • PC-Betriebssystem: Windows 10 Pro; die Home-Editionen werden nicht mit Bitlocker- oder Domänenkonto-Unterstützung ausgeliefert.
Seite 78 • ├── ishield-piv-modul │ • ├── PIV-II.Profil OpenSC PIV-Profil │ │ • └── vcruntime140.dll, msvcp140.dll, usw. Erforderliche System-Laufzeitbibliotheken │ │ Installation des OpenSC Minitreibers und des iShield PIV-Moduls Das Installationsprogramm für den OpenSC-Minidriver sowie alle PIV-Konfigurationen sind bereits im PIV- Installationsprogramm enthalten.
Seite 79 Einstellen einer neuen eindeutigen Karteninhaberkennung und eines neuen Card Capability Container durch iKMcli piv --set-chuid --management-key <key> iKMcli piv --set-ccc --management-key <key> Bereiten Sie Ihren iShield Key 2 Pro für die Nutzung vor und legen Sie eine neue PIN, PUK und einen Managementschlüssel fest, wie in Abschnitt 8.4.3.
Seite 80 Privatkunden, die die Bitlocker-Funktionalität auf ihren Heimgeräten nutzen möchten. Einrichtungsprozess Um Bitlocker mit iShield Key 2 Pro einzurichten, müssen Sie ein Zertifikat auf den iShield Key 2 Pro schreiben. Wir werden das in Microsoft eingebaute EFS-Zertifikatsdienstprogramm verwenden, das die Zertifikatserstellung und -speicherung auf der Smartcard automatisch übernimmt.
Seite 81 EFS-Zertifikat generieren In diesem Schritt werden Sie ein Windows-Tool verwenden, um ein EFS-Zertifikat auf dem iShield Key 2 Pro zu erzeugen. Wenn ein solches Zertifikat (oder ein anderes Bitlocker-kompatibles Zertifikat) bereits vorhanden ist, können Sie diesen Schritt überspringen. Starten Sie die Systemsteuerung: •...
Seite 82 "☑ • Neues selbstsigniertes Zertifikat erstellen und auf meiner Smartcard speichern" Weiter > Seite82 von 102...
Seite 83 • Geben Sie die PIN für Ihren iShield Key 2 Pro ein • Abbrechen Klicken Sie auf (Sie brauchen den Vorgang nicht zu beenden, da das Dienstprogramm das Zertifikat bereits auf die Smartcard geschrieben hat). EFS-Zertifikate für Bitlocker zulassen In diesem Abschnitt werden Sie Ihr lokales Bitlocker-Setup so konfigurieren, dass es Zertifikate mit der OID akzeptiert, die ursprünglich den Microsoft File Encryption Certificates zugewiesen wurde.
Seite 84 Daten-Disks funktioniert. Hinweis: Für diesen Schritt brauchen Sie den OpenSC Minidriver und das iShield PIV-Modul nicht mehr zu installieren. Sobald ein gültiges Zertifikat auf dem iShield Key 2 Pro vorhanden ist, funktionieren die vorinstallierten Windows-Tools von selbst. Stecken Sie das zu verschlüsselnde Gerät in Ihren PC und öffnen Sie es im Windows Explorer.
Seite 85 Smartcard zum Entsperren des Laufwerks verwenden und klicken Sie Weiter • Bewahren Sie Ihren Wiederherstellungsschlüssel an einem sicheren Ort auf. Falls Sie Ihren iShield Key 2 Pro in Zukunft verlieren sollten, können Sie Ihr verschlüsseltes Laufwerk immer noch wiederherstellen. Weiter Klicken Sie auf...
Seite 86 • Legen Sie Ihr Laufwerk ein. Sie sollten die Meldung "Dieses Laufwerk ist gesperrt" sehen. • Öffnen Sie das Laufwerk über den Explorer. Es erscheint eine Aufforderung, Ihre Smartcard (iShield Key 2 Pro) oder Ihren Wiederherstellungsschlüssel einzugeben. • Wählen Sie die Option "Smartcard" und geben Sie Ihre PIV-PIN ein.
Seite 87 Anwendungsfall: Active Directory Bitlocker In diesem Szenario handelt es sich bei dem Windows PC, der den Bitlocker verwendet, um eine Arbeitsstation innerhalb einer Active Directory-Domäne. Der Domänenserver verwaltet alle relevanten Domäneninformationen. Auf Anfrage stellt die Zertifizierungsstelle des Domänenservers das benötigte Zertifikat aus und signiert es. Diese Lösung ist besonders geeignet für Unternehmen, die bereits eine AD-Infrastruktur nutzen.
Seite 88 Zertifikatsvorlagen Verwalten 4. Rechtsklick auf > Zertifikatvorlagenkonsole Smartcard User Vorlage 5. Klicken Sie in der mit der rechten Maustaste auf > duplizieren und passen Sie die Eigenschaften der einzelnen Registerkarten wie folgt an: Allgemein : Vorlage umbenennen Anforderungsverarbeitung : Zweck wählen Verschlüsselung Seite88 von 102...
Seite 89 Kryptographie ☑ Für Anforderungen muss einer der folgenden Anbieter verwendet werden, Anbieter: ☑ Microsoft Base Smart Card Crypto Provider Erweiterungen Anwendungsrichtlinien : Bearbeiten... -> - Alle entfernen; ▪ Seite89 von 102...
Seite 90 Hinzufügen... -> Neu... -> Name: nach Wahl (z.B. "Bitlocker network unlock"), Objektkennung: 1.3.6.1.4.1.311.67.1.1 (Standard in den Bitlocker-Richtlinien, muss den Einstellungen auf dem Client entsprechen); Schlüsselverwendung ▪ Bearbeiten...> ☑ Austausch nur mit Verschlüsselung zulassen ☑ Diese Erweiterung als kritisch markieren Seite90 von 102...
Seite 91 Sicherheit ☑ Lesen, ☑ Registrieren Authenticated Users > Seite91 von 102...
Seite 92 Antragstellenrname ☑ Informationen werden in der Anforderung angegeben -> Warnung akzeptieren 6. Klicken Sie auf , um die Vorlage zu speichern. aktuellen Domain In certsrv: Gehen Sie zu Ihrer > klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen Auszustellende Zertifikatvorlage >...
Seite 93 Einrichtung der Verwaltung von Client-Zertifikaten Melden Sie sich auf der Workstation mit dem Benutzerkonto an, für das die Bitlocker-Verschlüsselung der Smartcard aktiviert werden soll. Stecken Sie Ihren iShield Key 2 Pro auf dem Client-PC ein. Benutzerzertifikate verwalten Gehen Sie ins Start-Menü und suchen Sie nach "...
Seite 94 4. Klicken Sie sich durch: Wählen Sie die Active Directory-Registrierungsrichtlinie und dann Weiter Registrieren 5. Wählen Sie die Vorlage für den Bitlocker-Anwendungsfall, dann 6. Unter dem Namen der Vorlage sollte ein Ausrufezeichen mit folgender Information erscheinen, „Es werden zusätzliche Informationen für diese Zertifikatsregistrierung benötigt. Klicken Sie hier, um die Einstellungen zu konfigurieren.“...
Seite 95 Boot-Laufwerke geeignet ist, sondern ausschließlich für Datenlaufwerke verwendet werden kann. Hinweis: Für diesen Schritt ist die Installation des OpenSC Minidriver und des iShield PIV-Moduls nicht mehr erforderlich. Sobald ein gültiges Zertifikat auf dem iShield Key 2 Pro gespeichert ist, können die vorinstallierten Windows-Tools automatisch genutzt werden.
Seite 96 Anwendungsfall: Windows-Anmeldung bei Active Directory In diesem Szenario handelt es sich bei dem Windows PC, der die Smartcard-Anmeldung verwendet, um eine Arbeitsstation innerhalb einer Active Directory-Domäne. Der Domänenserver verwaltet alle relevanten Domäneninformationen. Auf Anfrage stellt die Zertifizierungsstelle des Domänenservers das benötigte Zertifikat aus und signiert es.
Seite 97 11. Wählen Sie die Vorlage für den Anwendungsfall Smartcard-Anmeldung aus, dann Eine Aufforderung zur Eingabe der PIN für den iShield Key 2 Pro wird angezeigt. Nachdem Sie die PIV PIN eingegeben haben, sollte Windows eine Erfolgsmeldung anzeigen. Wir empfehlen, den PC nach der Zertifikatsregistrierung neu zu starten.
Seite 98 2. Wenn Sie nicht automatisch nach Ihrer "Smartcard-PIN" gefragt werden, können Sie zu "Anmeldeoptionen" navigieren und das Smartcard-Symbol auswählen 3. Geben Sie den PIV PIN Ihres iShield Key 2 Pro an. Wenn Sie alle Schritte korrekt ausgeführt haben, sollten Sie jetzt angemeldet sein.
Seite 99 Fehlersuche Fehlerbehebung "Die Smartcard ist schreibgeschützt / kann den angeforderten Vorgang nicht ausführen" Wenn Ihr iShield Key 2 Pro als schreibgeschützt angezeigt wird oder den gewünschten Vorgang nicht unterstützt, ist der PIV-Installationsprogramm möglicherweise nicht korrekt installiert. Um Ihr Zertifikat bereitzustellen, müssen Sie den PIV-Installationsprogramm verwenden.
Seite 100 9 Glossar Abkürzung Beschreibung Two-Factor-Authentication Active Directory Certificate Authority Certificate Enrollment Policy Service Certificate Enrollment Service Cryptographic Service Provider Certificate Signing Request Domain Controller Encrypting File System Fast Identity Online FIDO Hashed Message Authentication Code HMAC HMAC-based One-Time Password HOTP Internet Engineering Task Force IETF iShield Key Manager...
Seite 101 10 Änderungshistorie Version Aktualisiert am Aktualisiert von Kurzbeschreibung 28.02.2025 Swissbit AG Erste Fassung Seite101 von 102...
Seite 102 SWISSBIT makes no commitments to update or to keep current information contained in this document. The products listed in this document are not suitable for use in applications such as, but not limited to, aircraft control systems, aerospace equipment, submarine cables, nuclear reactor control systems and life support systems.

Diese Anleitung auch für:

Ishield key 2 fid02 Ishield key 2 proIshield key 2 mifareIshield key 2 fips