iShield Key ->residenten SSH Key erzeugen

[Avenger84]

Hallo,
ich habe mir den Swissbit iShield Key (Gen1, nicht 2) gekauft und damit als erstes meine Mailcow abgesichert, was sofort klappte.

Danach probierte ich einen residenten SSH Key zu erzeugen, denn angeblich kann der Stick 32 davon speichern.

Leider kriege ich nur einen non-resident Key hin mit

ssh-keygen -t ecdsa-sk

. Der funktioniert auch soweit.

Aber sobald ich

ssh-keygen -t ecdsa-sk -O resident

eingebe kommt:

Habe auch noch zig Optionen probiert wie z.B.

ssh-keygen -t ecdsa-sk -O resident -O verify-required

wie im Video

Aber immer das gleiche.

Daher die Frage:
Hat der Stick keine 32 Slots oder habe ich was falsch verstanden ?

Verwende: OpenSSH_for_Windows_9.5p2, LibreSSL 3.8.2 (Powershell / CMD)

 

[TorenAltair]

Im Handbuch steht, dass man Slots über deren Software anlegen muss, hast Du das gemacht?
https://www.swissbit.com/data/iShield_Key/iShield-Key_user_manual_DE.pdf

 

[Avenger84]

Moin,
ich habe mir das Video nochmals angeschaut, dort sieht man den "Pro" Gen2, denn in der Software von Swissbit kann man die Slots anzeigen.

Bei mir sieht es so aus:

=> keine Slots, weder Fido2 noch PIV.

Im Video:

In deiner verlinkten Anleitung steht zu den Slots:

Zertifikat-SlotsDas PIV-Applet speichert Zertifikate und dieentsprechenden Public Private Keypair in Slots - einSlot kann ein Zertifikat aufnehmen. Der iShield KeyPro verfügt über vier Standard-PIV-Steckplätze

Bezieht sich vermutlich auch auf die Pro Variante.

Langsam glaube ich die Produktbeschreibung von Berrybase ist mangelhaft.

 

[CoMo]

Ist das nicht genau, was in der Produktbeschreibung steht?

• Unterstützt die Standards FIDO2 und U2F
• Kryptographie mit öffentlichem und privatem Schlüssel
• Weitere Sicherheitsfeatures für iShield FIDO2 Pro: HOTP (Event), Smartcard (PIV kompatibel), OpenSC-kompatibel

 

[Avenger84]

Swissbit hat mir geantwortet:

Aus Ihrem Screenshot handelt es sich um einen iShield Key (Generation 1). Leider unterstützt der iShield Key (Generation 1) keine Resident Keys / Resident Credentials. Diese Funktion ist derzeit nur beim iShield Key 2 (Generation 2) verfügbar. Aber trotzdem können Sie Ihren iShield Key für OpenSSH verwenden, indem mit folgendem Kommando:

ssh-keygen -t ecdsa-sk

Der einzige praktische Unterschied zwischen FIDO2‑Key ohne und mit Unterstützung von Resident Credentials ist, dass man ohne Resident Credentials die lokal gespeicherte Key‑Handle‑Datei auf einen anderen Rechner mitnehmen muss, wenn man auf einem anderen Rechner einloggen möchte.

Somit ist, wie ich schon befürchtete, die Produktbeschreibung von Berrybase falsch.

Ergänzung (17. April 2026)

Andere Frage: ich kriege es nicht hin den Stick bei Google als 2FA zu hinterlegen, es öffnet sich immer nur Windows Hello.

Windows Hello einrichten, um einen Passkey zu erstellen