V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
liuidetmks
V2EX  ›  程序员

yubikey 到手了, fido 模式怎么没有设置初始密钥的地方?

  •  
  •   liuidetmks · 2022-12-08 17:04:46 +08:00 · 1948 次点击
    这是一个创建于 724 天前的主题,其中的信息可能已经有所发展或是发生改变。

    买这个主要就是用来免密码登录网站,gmail ,outlook ,应该是用的 fido2 协议吧。

    ( gpg 这些高级功能目前用不到,PIV 啥的也不懂)

    比较疑惑的是 fido2 设置只有一个设置 pin 的选项。

    第一次不是应该设置一个私钥之类的东西吗

    只能用他出厂内置的私钥登录?

    13 条回复    2022-12-09 22:39:13 +08:00
    FanError
        1
    FanError  
       2022-12-08 17:06:40 +08:00
    关注,买了 4 个,卖了 2 个,留 2 个自用,还没拆封。
    me221
        2
    me221  
       2022-12-08 17:13:21 +08:00
    ` ssh-keygen -t ed25519-sk -O resident -C "your remark" `
    Zikinn
        3
    Zikinn  
       2022-12-08 17:13:25 +08:00
    @FanError 如果你是 Windows 的话,在 Accounts → Sign-in Opinions → Security Key 里面,点一下图标然后按 Manage 设置密码就行了

    ![Imgur]( )
    sobigfish
        4
    sobigfish  
       2022-12-08 17:50:19 +08:00
    请问用的什么转运?貌似券码还没过期😂
    leoleoasd
        5
    leoleoasd  
       2022-12-08 17:55:16 +08:00
    用卡上的随机数生成器生成的新秘钥才是安全的(毕竟从电脑写到卡上的过程可能被监听),用 yubikey 的管理软件应该能 reset ?大概是这个时候会在卡上生成一个秘钥?
    leoleoasd
        6
    leoleoasd  
       2022-12-08 17:55:30 +08:00
    里面本身就有一个秘钥的话,应该是出场就自带了一个?
    liuidetmks
        7
    liuidetmks  
    OP
       2022-12-08 17:59:53 +08:00
    @sobigfish 转运中国,这单用了 59 ,不知道什么水平。
    billgong
        8
    billgong  
       2022-12-08 18:00:28 +08:00
    FIDO2 模式密钥你看不到的,只有 pin 可以设置(必须设置一个 pin )抹掉 pin 的话私钥应该也就重置了吧

    YubiOTP 的话出厂默认带一个 key 在 slot1 ,默认是锁定的状态,千万不要删掉(自己再生成的 cc key 有 trust 的问题)

    大部分功能可以用 yubikey manager 管理,但更高阶的功能需要用 personalization tool ,只是那个工具现在已经 EOL 了
    billgong
        9
    billgong  
       2022-12-08 18:14:58 +08:00   ❤️ 1
    U2F 模式仅支持 MFA ,不需要用户端校验,所以每个 app 都生成新的密钥对
    https://developers.yubico.com/U2F/Protocol_details/Key_generation.html
    然后 yubikey 里再用设备自己的主密钥处理生成的密钥私钥,整个过程 yubikey 不存储任何新创建的信息

    新的 FIDO2 支持 resident key 模式,这样就能允许设备存储某一 app 的私钥,实现(更高一级的) passwordless 。

    不支持 FIDO2 的 Yubikey (四代及以前)主密钥永远不变。支持 FIDO2 的 Yubikey (五代及以后)重置 pin 会重设主密钥。
    billgong
        10
    billgong  
       2022-12-08 18:17:56 +08:00
    @billgong 更正:YubiOTP 原厂 key 是 cc 开头;
    自己生成的 key ,需要公开注册的 key 是 vv 开头,其他前缀只能作为私有用途。
    julyclyde
        11
    julyclyde  
       2022-12-09 09:16:27 +08:00
    @billgong trust 问题是什么问题啊?
    Projection
        12
    Projection  
       2022-12-09 13:52:10 +08:00
    使用官方 YubiKey Manager 图形化界面,或者命令行:

    ```bash
    ykman fido reset
    ykman fido access change-pin
    ```
    billgong
        13
    billgong  
       2022-12-09 22:39:13 +08:00 via iPhone   ❤️ 1
    @julyclyde YubiOTP 不像 U2F ,是需要目录服务器支持的。如果 app 选择使用 YubiOTP ,他们就可以配置服务为仅信任 cc 开头的密钥,即便 Yubico 的服务器上 cc 和 vv 开头的密钥都有提供。

    YubiOTP 生成的时候需要在服务端保存一个不公开的密钥。cc 密钥在设备生产的时候就已经生成了,可以理解为密钥没有在公网公开过,信任度更高。vv 密钥生成后需要通过网络传到 Yubico 的服务器,这个过程有可能被破解窃听,所以信任度不如 cc 密钥。

    这些对 U2F 和 FIDO2 没有影响,两者是完全不同的技术
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1226 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 18:00 · PVG 02:00 · LAX 10:00 · JFK 13:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.