V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
RqPS6rhmP3Nyn3Tm
V2EX  ›  YubiKey

买了个 Yubikey,顺手写了个教程

  •  1
     
  •   RqPS6rhmP3Nyn3Tm · 2016-10-28 15:41:44 +08:00 · 7555 次点击
    这是一个创建于 2930 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://mechanus.io/ke-neng-shi-zui-hao-de-yubikey-gpg-ssh-zhi-neng-qia-jiao-cheng/

    写了一下绕过的坑。苟利国家生死以,岂因祸福避趋之。

    21 条回复    2016-12-01 00:40:08 +08:00
    imn1
        1
    imn1  
       2016-10-28 15:56:20 +08:00
    2MB 的图……
    letitbesqzr
        2
    letitbesqzr  
       2016-10-28 15:59:08 +08:00
    什么渠道入的?
    dzxx36gyy
        3
    dzxx36gyy  
       2016-10-28 16:07:16 +08:00 via Android
    有人准备黑五组个团买吗
    ynyounuo
        4
    ynyounuo  
       2016-10-28 16:17:36 +08:00
    不为酷炫的话, pinentry + keychain 也是差不多的意思
    ryd994
        5
    ryd994  
       2016-10-28 16:43:13 +08:00
    有个 bug : keytocard 之后私钥就已经转移了,所以这时候再说备份就晚了, keytocard 之前就要备份
    严格来说,要安全的话,可以让卡直接内部生成,在外部完全不留任何记录
    这样是无法备份的,所以不建议对加密密钥这样做
    在主密钥有可靠备份的前提下,可以这样生成签名密钥
    在有备用登录的前提下,可以这样生成认证密钥

    简单来讲,对于 gpg ,应该要有一个冷储存,足够长,平时不用的主密钥,其他密钥都由主密钥签名并以尽可能多的途径扩散出去(多个密钥服务器)主密钥即使有密码也不要放电脑里,因为真要被盗的话暴力破个对称加密还是相对容易的,务必冷储存。

    至于 gpg-agent ,如果你以前用过 ssh-add 就容易懂
    后台常驻 ssh-agent , ssh-add 把私钥解开密码后交给 agent ,保存在内存里(是的你没看错,明文在内存里)
    gpg-agent 实现了 ssh-agent 的协议,通过环境变量把 ssh-agent 抢走了


    此外,对于 vps 还有本地登录,还可以折腾一下 pam_yubico
    shiji
        6
    shiji  
       2016-10-28 16:59:39 +08:00 via Android
    我来发个广告,还剩两个全新 4 nano 在国内
    https://www.v2ex.com/t/284526
    wevsty
        7
    wevsty  
       2016-10-28 17:09:35 +08:00
    不太了解这个东西,这个和 SafeNet 的 USBKEY 有啥区别?
    yushiro
        8
    yushiro  
       2016-10-28 17:09:57 +08:00 via iPhone
    @ryd994
    按照楼主的这个教程,是不是 vps 上都用同一个公钥,这样可以用这个卡登录这些 vps ?
    lazycat
        9
    lazycat  
       2016-10-28 17:58:06 +08:00
    只有我看到了链接里的 zhi-neng-qia 么。。。
    v1024
        10
    v1024  
       2016-10-28 19:00:49 +08:00 via iPhone
    期待新 macbook 的 touchID 结合 pgp 的应用
    invalidtoken
        11
    invalidtoken  
       2016-10-28 20:01:39 +08:00 via iPhone
    @lazycat 这个应该是自动转拼音的吧...有这种功能的插件
    nopy
        12
    nopy  
       2016-10-28 22:53:47 +08:00
    我有个问题,能够用 subkey 生成新的 subkey (subkey 的 subkey) 么?查了查好像不能?但是理论上好像是可以的呀?
    ryd994
        13
    ryd994  
       2016-10-28 23:19:44 +08:00 via Android
    @yushiro 难道不该这样么?一人一对密钥
    RqPS6rhmP3Nyn3Tm
        14
    RqPS6rhmP3Nyn3Tm  
    OP
       2016-10-28 23:30:16 +08:00 via iPhone
    @ryd994 你说的对!等会补充
    RqPS6rhmP3Nyn3Tm
        15
    RqPS6rhmP3Nyn3Tm  
    OP
       2016-10-28 23:33:03 +08:00 via iPhone
    @letitbesqzr
    @dzxx36gyy 直接快递,自带八折光环
    @yushiro 可以,还有 PAM
    @nopy 我不认为可以……
    yushiro
        16
    yushiro  
       2016-10-29 09:39:55 +08:00
    @ryd994 我一直给每个 vps 设置一对公私钥,都是分开的。。。。。。我以为必须要这样。
    ryd994
        17
    ryd994  
       2016-10-29 11:04:49 +08:00
    @yushiro 那还要公钥干嘛……
    公钥就是为了到处散播,通过各种渠道获取反而保护了安全
    有了公钥也求不到私钥,为什么还有多个
    RqPS6rhmP3Nyn3Tm
        18
    RqPS6rhmP3Nyn3Tm  
    OP
       2016-10-29 13:02:51 +08:00 via iPhone
    @yushiro 你是不是误解了公私钥的意义……
    mrliusg
        19
    mrliusg  
       2016-11-28 14:22:29 +08:00
    官网直邮到国内是可以的吗?
    mrliusg
        20
    mrliusg  
       2016-12-01 00:10:49 +08:00
    @BXIA 可否官网直邮到国内啊?
    RqPS6rhmP3Nyn3Tm
        21
    RqPS6rhmP3Nyn3Tm  
    OP
       2016-12-01 00:40:08 +08:00 via iPhone
    @mrliusg 不知道,好像要海关的什么 code ,应该是大宗用的。个人建议发邮件问一下
    找个人带一下就好了,淘宝也有卖
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3119 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 13:54 · PVG 21:54 · LAX 05:54 · JFK 08:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.