9
Canokey用户手册 - Thinking Null
source link: https://awsl.blog/2021/canokey-docs
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
Canokey用户手册
2021-02-27 | Canokey | 暂无评论 | 175 次阅读 | 446字
Setup
本节介绍开始使用CanoKey之前需要做的事情。
Linux
为了允许非root用户使用密钥,您需要在其中添加udev规则/etc/udev/rules.d/69-canokeys.rules
# GnuPG/pcsclite
SUBSYSTEM!="usb", GOTO="canokeys_rules_end"
ACTION!="add|change", GOTO="canokeys_rules_end"
ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42d4", ENV{ID_SMARTCARD_READER}="1"
LABEL="canokeys_rules_end"
# FIDO2/U2F
# 如果你在 70-u2f.rules 找到这一行,你可以忽略它
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42d4", TAG+="uaccess", GROUP="plugdev", MODE="0660"
# 让usb设备对其他用户可用,在 WebUSB中使用
# 改变模式让非特权用户使用它,尽管不安全
SUBSYSTEMS=="usb", ATTR{idVendor}=="20a0", ATTR{idProduct}=="42d4", MODE:="0666"
#如果以上方法适用于WebUSB(Web控制台),则可以更改为更安全的方式
#选择以下规则之一
#注意,如果您使用“ plugdev”,请确保您拥有该组,并且所需的用户在该组中
#SUBSYSTEMS=="usb", ATTR{idVendor}=="20a0", ATTR{idProduct}=="42d4", GROUP="plugdev", MODE="0660"
#SUBSYSTEMS=="usb", ATTR{idVendor}=="20a0", ATTR{idProduct}=="42d4", TAG+="uaccess"
TAG+="uaccess"更systemd相关,而 GROUP="plugdev", MODE="0660"更传统。您可以选择其中一种解决方案。
添加此文件后,运行以下命令以应用更改。
udevadm control --reload-rules && udevadm trigger
Shell
您可以安装最新版本的ccid,因为CanoKey已包含在其中上游。
您可以检查一下 canokey 是否在你的/etc/libccid_Info.plist 里面。
如果不是,或者您不想/不能/不会安装的最新版本的ccid,则应对/etc/libccid_Info.plist进行以下更改。
对于数组ifdVendorID,ifdProductID, 和 ifdFriendlyName,分别附加一些值,如下所示 diff
diff --git a/libccid_Info.plist b/libccid_Info.plist
index 05c0208..33a1779 100644
--- a/libccid_Info.plist
+++ b/libccid_Info.plist
@@ -576,6 +576,7 @@
<string>0x08C3</string>
<string>0x15E1</string>
<string>0x062D</string>
+ <string>0x20A0</string>
</array>
<key>ifdProductID</key>
@@ -1054,6 +1055,7 @@
<string>0x0402</string>
<string>0x2007</string>
<string>0x0001</string>
+ <string>0x42D4</string>
</array>
<key>ifdFriendlyName</key>
@@ -1532,6 +1534,7 @@
<string>Precise Biometrics Precise 200 MC</string>
<string>RSA RSA SecurID (R) Authenticator</string>
<string>THRC Smart Card Reader</string>
+ <string>CanoKey</string>
</array>
<key>Copyright</key>
libfido2
libfido2适用于FIDO2 / U2F相关程序。其他依赖关系可以通过Yubico的指南进行检查。
Admin
- 密码:默认值123456
- LED:默认点亮
- 键盘:默认关闭
+++
标题=“ FIDO2 / U2F”
日期= 2021-01-16T01:30:15 + 08:00
体重= 15
+++
支持协议类型
实现如下功能
CTAP2 和 CTAP1 / U2F规范。
支持的功能:
- 多达
64个驻留密钥 - Ed25519
多因素身份验证
您可以在许多网站上将CanoKey用作2FA设备。
默认情况下未设置PIN码。您可以使用Windows Hello或其他可能的应用程序设置新的PIN。
OpenSSH
您可以使用以下命令为ssh生成私钥。有关更多信息,请参见这里。
ssh-keygen -t ecdsa-sk
# 如果你更喜欢 ed25519
ssh-keygen -t ed25519-sk
使用由Yubico提供pam_u2f。一种常见的用途是sudo。
HMAC-secret 扩展
可能的应用:
本篇文章采用 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 许可协议进行许可。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK