YubiKey 初体验
💡
原文中文,约3700字,阅读约需9分钟。
📝
内容提要
本文介绍了YubiKey在不同应用程序中的使用方式,包括在Arch Linux上的安装和配置,以及在WebAuthn、SSH、LUKS cryptsetup和OpenPGP中的应用。YubiKey的Yubico OTP功能可以禁用,而WebAuthn/Passkey功能可以在火狐、Google Chrome和Android中使用。SSH OpenSSH客户端需要安装libfido2包才能支持。OpenPGP可以使用ykman管理,PIV涉及PKCS#11。
🎯
关键要点
- YubiKey 支持多种协议和应用程序,安装在 Arch Linux 上无需特别设置。
- Yubico OTP 功能可以禁用,使用 AES 对称加密进行验证。
- FIDO2 / U2F 应用在 Android 上需要设置 PIN,支持字母和数字。
- WebAuthn / Passkey 在火狐和 Google Chrome 中可用,支持二步验证和直接登录。
- SSH 需要安装 libfido2 包,支持 resident 密钥和多种 key 类型。
- PAM 通过安装 pam_u2f 包实现用户认证,配置较为复杂。
- LUKS cryptsetup 不直接支持 FIDO2,需使用 systemd-cryptenroll 添加 keyslot。
- OpenPGP 应用需启用 pcscd 服务,管理 PIN 和使用 PIN 分开,需注意安全。
- PIV 涉及 PKCS#11,使用较为复杂,暂不深入研究。
❓
延伸问答
YubiKey 在 Arch Linux 上如何安装和配置?
在 Arch Linux 上,YubiKey 插上后即可使用,无需特别的驱动设置,但某些程序可能需要安装 libfido2 包。
Yubico OTP 功能是什么?
Yubico OTP 功能通过发送一串字符进行验证,使用 AES 对称加密,但可以禁用。
如何在 SSH 中使用 YubiKey?
在 SSH 中使用 YubiKey 需要安装 libfido2 包,并可以选择 resident 密钥和多种 key 类型。
WebAuthn 和 Passkey 在 YubiKey 中的使用方式是什么?
WebAuthn 和 Passkey 可以在火狐和 Google Chrome 中使用,支持二步验证和直接登录。
如何在 LUKS 中使用 YubiKey?
在 LUKS 中使用 YubiKey 需要通过 systemd-cryptenroll 添加 keyslot,解密时需输入 PIN。
OpenPGP 如何与 YubiKey 配合使用?
OpenPGP 应用需启用 pcscd 服务,使用 ykman 管理,并且不同应用的 PIN 是分开的。
➡️
