Bevor Funkuhren modern wurden setzte man Uhrenanlagen auf Basis einer Mutter- oder Hauptuhr ein, welche mit teils aufwändiger Technik eine genaue Uhrzeit für eher „dumme“ Tochter- oder Nebenuhren bereitstellte. So hatte man auf großen Geländen wie Fabriken, Schulen oder Bahnhöfen überall die gleiche Zeitanzeige und musste bei Abweichungen oder Zeitumstellungen nur an einer Stelle nachstellen. Eine solche Mutteruhr liegt nun Dank Jonas auf der Werkbank, also schauen wir mal, was für eine Technik in einem solchen Gerät steckt.
Nicht jede Antenne ist für jede Frequenz zu gebrauchen. Möchte man herausfinden, was eine Antenne leisten kann, oder selbst eine Antenne bauen und für einen gewissen Einsatzzweck optimieren, kommt üblicherweise ein „Vector Network Analyzer“, kurz VNA, zum Einsatz. Professionelle Geräte sind gerne im 4-stelligen Euro-Bereich angesiedelt. In vielen Fällen kann man das Ziel jedoch auch mit einem abgespeckten Gerät erreichen, einem „Vector Impedance Analyzer“. Ein solcher, genauer der NS1201SA, ist mir günstig bei einer Auktion begegnet. Also schauen wir mal, was die hiesigen Antennen so können.
Achtung: Preise können stark Schwanken. Wenn du sowas wirklich kaufen willst ist es besser sich Zeit zu lassen und zu schauen, wie sich die Preise entwickeln. Denk bei Händlern aus dem EU-Ausland daran, dass Einfuhrumsatzsteuer und ggf. Zollgebühren dazu kommen. Solltest du hohe Frequenzen wie z.B. WLAN nicht benötigen ist ein Blick auf andere, günstigere Geräte wie z.B. NanoVNA sicher keine schlechte Idee.
Elektrische Zahnbürsten sind praktisch – zumindest so lange sie läuft. Kurzer Blick auf ein Oral-B-Modell der Firma Braun. Leider hier nicht wie vermutet ein platter Akku, sondern Wasserschaden durch die fehlenden Dichtungen.
Heute finden sie sich überall: Glasfaserstrecken sind für Netzwerke in vielen fällen unverzichtbar. Während heute bereits viele Prosumer-Modelle Glasfasermodule unterstützen waren solche Einschübe bei älteren Modellen eine teuer zu erkaufende Zusatzfunktion. Wollte man eine bestehende, nur auf Kupfer ausgelegte, Installation nicht vollständig ersetzen kamen oft Medienwandler, auch Medienkonverter genannt, zum Einsatz: Diese eigenständigen Geräte können Signale verschiedener Medien, z.B. Kupfer und Glasfaser, übersetzen und so extern eine Glasfaserstrecke nachrüsten. Schauen wir mal, was in einem solchen Gerät verbaut wurde.
Eine meiner ersten selbstgebauten Platinen war ein 1-Wire auf UART-Adapter, welcher DS18B20-Temperatursensoren abfragt und an meinen Homeserver weiterreicht. Seit mehr als ? Jahren tut dieser nun – trotz einiger Fummeleien – seinen Dienst. Vor einigen Jahren hatte ich beim Austausch meines Homeservers auf USB umgestellt und dazu einen USB-EIA232-Adapter verwendet. Leider sind diese nicht sonderlich zuverlässig. Ein USB-TTL-Adapter soll diesen nun ersetzen, dazu muss aber erst mal der Pegelwandler raus. Schauen wir also mal, was ich seinerzeit so verbrochen hatte. Zudem zeige ich, wie man bei CP2102 USB-Adaptern die Seriennummer ändern und mittels udev das Gerät unter Linux immer wieder zuverlässig erkennen kann.
Die Card10 ist eine Sensorplattform, welche an die Besucher des Chaos Communication Camps ausgegeben wurde. Die gerade auf dem Tisch angekommene hat ein Bad in Kaffee hinter sich, also ein Wasserschaden, und entsprechend nicht mehr im besten Zustand. Schauen wir mal, ob wir die defekte identifizieren und beheben können.
In perfekten Netzen könnte jeder mit jedem kommunizieren, in der Praxis sieht es oft anders aus. Mittels VPN kann man ein „virtuelles Netzwerkkabel“ zwischen zwei PCs oder Routern aufbauen. Eine solche VPN-Software ist Wireguard, welches für alle gängigen Betriebssysteme verfügbar und vergleichsweise einfach einzurichten ist.
Inhalt
00:10 Was ist ein VPN
05:42 Klassische VPN-Lösungen
08:26 Wireguard
10:04 Installation & Konfiguration unter Debian Linux (CLI)
18:00 Installation & Konfiguration unter Arch Linux (CLI)
24:45 Zugriff auf’s Internet: Forwarding & NAT
27:51 Installation & Konfiguration unter Arch Linux (NetworkManager)
Wenn es um Security-Tokens geht, hat YubiCo mit seinem YubiKey klar die Nase vorn. Nicht zuletzt, da diese so ziemlich die ersten Geräte waren, welche die gängigsten Sicherheitsmechanismen in einem Gerät vereinen konnten. Vor allem U2F, TOTP (aka Google Authenticator) und PGP sind bei mir fast dauerhaft im Einsatz. Mit dieser Kombination kann ich 2-Faktor-Anmeldung auf Webseiten nutzen, E-Mails signieren und entschlüsseln, mich auf SSH-Servern anmelden und Zugriff auf lokale Dateien und Programme absichern. Auch Zertifikate, aka X.509, sind eine praktische Sache, können sie doch für Logins in Windows-Netzen, S/MIME oder das signieren von Dokumenten unter Windows genutzt werden. Zwar lassen sich all diese Mechanismen auch ohne Dongle nutzen, dieser bringt jedoch zwei wichtige Sicherheitsverbesserungen mit sich: Der Zugriff ist nur möglich, wenn das Gerät eingesteckt ist, sodass eine „versehentliche“ Nutzung erschwert wird. Zudem sind die privaten Schlüssel auf einem – vorzugsweise sicheren – Microcontroller gespeichert und können das Gerät nicht mehr verlassen.
Ich selbst bin Ende 2016 auf den YubiKey NEO * umgestiegen. Dieser kann per USB oder NFC genutzt werden. Letzteres ist z.B. für Logins oder Mailverkehr am Handy interessant. Etwas bedenken hatte ich, da USB-Sticks bei mir selten lange überleben und ein YK nicht gerade günstig ist. Das Werbesersprechen „unkaputtbar“, die robust aussehende Form und Empfehlungen aus dem Bekanntenkreis überzeugten jedoch am Ende. Seit dem ist er Stammgast an meinem Schlüsselbund, somit ständiger Begleiter und wird entsprechend viel genutzt.
YubiKey Neo an Schlüsselband
Schnellvorlauf November letzten Jahres, also 2 Jahre nach dem Kauf. Einiges hatte sich getan, aber der YK verrichtete noch anstandslos seine Dienste. Also fast. Von einem Tag auf den Anderen war NFC nicht mehr nutzbar und ich somit auf die Nutzung am PC beschränkt. Kein Beinbruch, Handy-Logins nutze ich eher selten, allerdings auch kein Pluspunkt für mein Vertrauen in die Haltbarkeit. Ich vermutete einen Softwarefehler, alternativ eine Einwirkung durch statische Aufladung. Beides Dinge, die nicht passieren sollten. Auch sonst zeigten sich Schwächen: Aus Sicherheitsgründen ist es nicht möglich die Firmware der Geräte zu aktualisieren. Hierdurch war ich bei PGP auf Keys mit maximal 2048 Bit limitiert. Noch OK, aber auch nicht toll. Einzige Möglichkeit auch in den Genuss neuerer Verfahren zu kommen wäre ein neueres Modell, diese hatten zum damaligen Zeitpunkt jedoch kein NFC und nutzten für PGP nun statt einer Open-Source-Lösung eine Eigenentwicklung des Herstellers, welcher sich nicht einsehen ließ.
Meh. Roughly 2 years after I bought my @yubico #Yubikey Neo it already failed. USB luckily still OK, but NFC completely dead. Really hoped these things would be more durable :<
Da die neueren Modelle für mich keine Option waren wandte ich mich via Twitter an den Hersteller. Unter „unkaputtbar“ verstehe ich etwas Anderes, als 2 Jahre und somit knapp über den regulären Gewährleistungen. Meine Intention: Ich wollte wissen was da schief gelaufen ist, ob es eventuell durch einen Reset o.Ä. behoben werden kann, wie man das verhindern kann und ob bei zukünftigen Modellen dieses Problem umgangen werden kann. Man verwies mich auf das Ticketsystem, antwortete dort jedoch nur mit Textblöcken. Nach meiner Info, dass ich die Diskusion in dem Fall für Sinnlos hielt bot man mir den Austausch gegen einen neuen Neo an. Da auf Grund der alternden PGP-Unterstützung und der unbekannten Fehlerursache das Modell eher auf meiner Abschussliste war lehnte ich dankend ab und nutzte mein Modell per USB weiter.
10 Monate später sprach mich ein Mitglied des lokalen Hackerspace auf den YubiKey an. Ein Arbeitskollege hätte da einen unschönen Ausfall mit seinem Key gehabt. Das ABS-Gehäuse wäre durch den Schlüsselring durchgescheuert und das Gerät hätte den Dienst versagt. Könnte das mit meinem Problem zu tun haben? Sure enough: Auch bei mir ist das Plastik im Bereich des Schlüsselrings schon sehr abgenutzt. Dass das ein technisches Problem verursachen könnte hatte ich gar nicht auf dem Schirm.
Abgenutzter Bereich am Schlüsselring-Loch eines YubiKey NEO
Zudem: ABS? Durchscheuern? Ich hatte vermutet, dass unter der Plastik-Packung noch ein Metallring eingearbeitet wäre, welche das ganze etwas verstärkt. Aber jetzt, wo ich das höre – hm, ja, da reflektiert ja etwas. Ein Blick unter dem Mikroskop verrät recht schnell, was mein NFC getötet hat: die Antenne ist um das Schlüsselring-Loch gelegt und inzwischen durchgescheuert. WTF.
Beschädigte NFC-Antenne an einem YubiKey NEO
Erinnert Ihr euch dran, dass ich ABS sagte? ABS kennt man ja auch von 3D-Druckern, hier ist es üblich mit Aceton das Plastik nach dem Druck anzulösen und zu glätten. Mit entsprechenden Konzentrationen kann man das Plastik aber auch einfach wegschmelzen. Exakt dies hat HexView mit einem YubiKey Neo gemacht, sodass sich das Innenleben in voller Pracht bewundern lässt. Glücklicherweise sieht es so aus, als ob hier wirklich nur die Antennen vorbeilaufen und ein Ausfall eher nicht wahrscheinlich ist. Trotzdem würde ich jedem mit YubiKey NEO raten, an dieser Stelle mit Aceton das Plastik anzulösen und mit mehr ABS oder gar einem Metallring zu verstärken um Ausfälle durch Abnutzung zu vermeiden.
Ich selbst bin etwa an selber Stelle wie vorher: Ich werde den NEO wohl weiter nutzen. Zwar hat man inzwischen den YubiKey 5 NFC * herausgebracht, welcher wieder NFC kann, auch längere Keys für PGP unterstützt und das bei mir ursächliche Schlüsselring-Loch verstärkt hat, allerdings sind mir sowohl die fehlenden Quellen als auch die unschöne Reaktion des Supports doch eher sauer aufgestoßen. Hätte man mir bei meiner Nachfrage geantwortet, dass es vermutlich ein bekanntes Problem wäre und man das in der nächsten Produktversion angehen würde – ich hätte sie vermutlich direkt nach dem Release hier liegen gehabt. Leider mangelt es aber auch an Konkurrenz. Viele Keys wie z.B. Thetis oder Googles TitanKey nutzen ausschließlich U2F. Toll für’s Web, aber meine Hauptanwendung ist eher PGP. TOTP sucht man bei allen vergeblich, ließe sich mit etwas Gebastel aber halbwegs brauchbar in Software nachbilden – freie Standards haben so ihre Vorteile. Etwas besser sieht es bei NitroKey aus, hier ist GPG, TOTP und X.509 verfügbar. Leider ist U2F nur als separates Gerät erhältlich und TOTP mit 15 Einträgen etwas knapp (YubiKey Neo 28, YubiKey 5: 32). Da es sich um einen freien Algorithmus handelt könnte man aber, zumindest bei der TOTP-Limitierung, mit etwas Software nachhelfen. Ein Auge habe ich zudem noch auf Somu. Dieses Crowdfunding-Projekt dreht sich primär um einen U2F und FIDO2-Stick, als Stretch-Goal hat man jedoch GPG und SSH auf dem Plan. Alles soll am Ende Open Source sein, was sich auch eher positiv anhört. Ob sie am Ende liefern können, was sie versprechen, werde ich dann ja sehen.
In eine vorherigen Variante des Artikels wurde angegeben, dass NitroKey kein TOTP könne. Dies ist nicht korrekt, sowohl Nitrokey Pro 2 und Nitrokey Storage 2 können jeweils 15 TOTP-Einträge speichern.
Eine meiner LEDs hat das zeitliche gesegnet. Nicht wirklich ungewöhnlich, allerdings interessiert mich doch, warum die Lampe so schnell den Dienst eingestellt hat. Also schauen wir mal, was die Ursache für den Ausfall ist.
03:25 In der Praxis gibt es u.A. noch einen Spannungsabfall durch die Dioden, hier ca. 2 × 0.4V
