YubiKey 初体验
💡
原文中文,约3700字,阅读约需9分钟。
📝
内容提要
本文介绍了YubiKey在不同应用程序中的使用方式,包括在Arch Linux上的安装和配置,以及在WebAuthn、SSH、LUKS cryptsetup和OpenPGP中的应用。YubiKey的Yubico OTP功能可以禁用,而WebAuthn/Passkey功能可以在火狐、Google Chrome和Android中使用。SSH OpenSSH客户端需要安装libfido2包才能支持。OpenPGP可以使用ykman管理,PIV涉及PKCS#11。
🎯
关键要点
-
YubiKey 支持多种协议和应用程序,安装在 Arch Linux 上无需特别设置。
-
Yubico OTP 功能可以禁用,使用 AES 对称加密进行验证。
-
FIDO2 / U2F 应用在 Android 上需要设置 PIN,支持字母和数字。
-
WebAuthn / Passkey 在火狐和 Google Chrome 中可用,支持二步验证和直接登录。
-
SSH 需要安装 libfido2 包,支持 resident 密钥和多种 key 类型。
-
PAM 通过安装 pam_u2f 包实现用户认证,配置较为复杂。
-
LUKS cryptsetup 不直接支持 FIDO2,需使用 systemd-cryptenroll 添加 keyslot。
-
OpenPGP 应用需启用 pcscd 服务,管理 PIN 和使用 PIN 分开,需注意安全。
-
PIV 涉及 PKCS#11,使用较为复杂,暂不深入研究。
➡️
