yubikey 到手了, fido 模式怎么没有设置初始密钥的地方?

2022-12-08 17:04:46 +08:00
 liuidetmks

买这个主要就是用来免密码登录网站,gmail ,outlook ,应该是用的 fido2 协议吧。

( gpg 这些高级功能目前用不到,PIV 啥的也不懂)

比较疑惑的是 fido2 设置只有一个设置 pin 的选项。

第一次不是应该设置一个私钥之类的东西吗

只能用他出厂内置的私钥登录?

1980 次点击
所在节点    程序员
13 条回复
FanError
2022-12-08 17:06:40 +08:00
关注,买了 4 个,卖了 2 个,留 2 个自用,还没拆封。
me221
2022-12-08 17:13:21 +08:00
` ssh-keygen -t ed25519-sk -O resident -C "your remark" `
Zikinn
2022-12-08 17:13:25 +08:00
@FanError 如果你是 Windows 的话,在 Accounts → Sign-in Opinions → Security Key 里面,点一下图标然后按 Manage 设置密码就行了

![Imgur]( )
sobigfish
2022-12-08 17:50:19 +08:00
请问用的什么转运?貌似券码还没过期😂
leoleoasd
2022-12-08 17:55:16 +08:00
用卡上的随机数生成器生成的新秘钥才是安全的(毕竟从电脑写到卡上的过程可能被监听),用 yubikey 的管理软件应该能 reset ?大概是这个时候会在卡上生成一个秘钥?
leoleoasd
2022-12-08 17:55:30 +08:00
里面本身就有一个秘钥的话,应该是出场就自带了一个?
liuidetmks
2022-12-08 17:59:53 +08:00
@sobigfish 转运中国,这单用了 59 ,不知道什么水平。
billgong
2022-12-08 18:00:28 +08:00
FIDO2 模式密钥你看不到的,只有 pin 可以设置(必须设置一个 pin )抹掉 pin 的话私钥应该也就重置了吧

YubiOTP 的话出厂默认带一个 key 在 slot1 ,默认是锁定的状态,千万不要删掉(自己再生成的 cc key 有 trust 的问题)

大部分功能可以用 yubikey manager 管理,但更高阶的功能需要用 personalization tool ,只是那个工具现在已经 EOL 了
billgong
2022-12-08 18:14:58 +08:00
U2F 模式仅支持 MFA ,不需要用户端校验,所以每个 app 都生成新的密钥对
https://developers.yubico.com/U2F/Protocol_details/Key_generation.html
然后 yubikey 里再用设备自己的主密钥处理生成的密钥私钥,整个过程 yubikey 不存储任何新创建的信息

新的 FIDO2 支持 resident key 模式,这样就能允许设备存储某一 app 的私钥,实现(更高一级的) passwordless 。

不支持 FIDO2 的 Yubikey (四代及以前)主密钥永远不变。支持 FIDO2 的 Yubikey (五代及以后)重置 pin 会重设主密钥。
billgong
2022-12-08 18:17:56 +08:00
@billgong 更正:YubiOTP 原厂 key 是 cc 开头;
自己生成的 key ,需要公开注册的 key 是 vv 开头,其他前缀只能作为私有用途。
julyclyde
2022-12-09 09:16:27 +08:00
@billgong trust 问题是什么问题啊?
Projection
2022-12-09 13:52:10 +08:00
使用官方 YubiKey Manager 图形化界面,或者命令行:

```bash
ykman fido reset
ykman fido access change-pin
```
billgong
2022-12-09 22:39:13 +08:00
@julyclyde YubiOTP 不像 U2F ,是需要目录服务器支持的。如果 app 选择使用 YubiOTP ,他们就可以配置服务为仅信任 cc 开头的密钥,即便 Yubico 的服务器上 cc 和 vv 开头的密钥都有提供。

YubiOTP 生成的时候需要在服务端保存一个不公开的密钥。cc 密钥在设备生产的时候就已经生成了,可以理解为密钥没有在公网公开过,信任度更高。vv 密钥生成后需要通过网络传到 Yubico 的服务器,这个过程有可能被破解窃听,所以信任度不如 cc 密钥。

这些对 U2F 和 FIDO2 没有影响,两者是完全不同的技术

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/901134

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX