Canokey用户手册
2021-02-27
Canokey
暂无评论
3911 次阅读
Setup
本节介绍开始使用CanoKey
之前需要做的事情。
Linux
udev
为了允许非root用户使用密钥,您需要在其中添加udev规则/etc/udev/rules.d/69-canokeys.rules
# GnuPG/pcsclite
SUBSYSTEM!="usb", GOTO="canokeys_rules_end"
ACTION!="add|change", GOTO="canokeys_rules_end"
ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42d4", ENV{ID_SMARTCARD_READER}="1"
LABEL="canokeys_rules_end"
# FIDO2/U2F
# 如果你在 70-u2f.rules 找到这一行,你可以忽略它
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42d4", TAG+="uaccess", GROUP="plugdev", MODE="0660"
# 让usb设备对其他用户可用,在 WebUSB中使用
# 改变模式让非特权用户使用它,尽管不安全
SUBSYSTEMS=="usb", ATTR{idVendor}=="20a0", ATTR{idProduct}=="42d4", MODE:="0666"
#如果以上方法适用于WebUSB(Web控制台),则可以更改为更安全的方式
#选择以下规则之一
#注意,如果您使用“ plugdev”,请确保您拥有该组,并且所需的用户在该组中
#SUBSYSTEMS=="usb", ATTR{idVendor}=="20a0", ATTR{idProduct}=="42d4", GROUP="plugdev", MODE="0660"
#SUBSYSTEMS=="usb", ATTR{idVendor}=="20a0", ATTR{idProduct}=="42d4", TAG+="uaccess"
TAG+="uaccess"
更systemd
相关,而 GROUP="plugdev", MODE="0660"
更传统。您可以选择其中一种解决方案。
添加此文件后,运行以下命令以应用更改。
udevadm control --reload-rules && udevadm trigger
ccid
您可以安装最新版本的ccid
,因为CanoKey已包含在其中上游。
您可以检查一下 canokey
是否在你的 /etc/libccid_Info.plist
里面。
如果不是,或者您不想/不能/不会安装的最新版本的ccid
,则应对/etc/libccid_Info.plist
进行以下更改。
对于数组 ifdVendorID
, ifdProductID
, 和 ifdFriendlyName
,分别附加一些值,如下所示 diff
diff --git a/libccid_Info.plist b/libccid_Info.plist
index 05c0208..33a1779 100644
--- a/libccid_Info.plist
+++ b/libccid_Info.plist
@@ -576,6 +576,7 @@
<string>0x08C3</string>
<string>0x15E1</string>
<string>0x062D</string>
+ <string>0x20A0</string>
</array>
<key>ifdProductID</key>
@@ -1054,6 +1055,7 @@
<string>0x0402</string>
<string>0x2007</string>
<string>0x0001</string>
+ <string>0x42D4</string>
</array>
<key>ifdFriendlyName</key>
@@ -1532,6 +1534,7 @@
<string>Precise Biometrics Precise 200 MC</string>
<string>RSA RSA SecurID (R) Authenticator</string>
<string>THRC Smart Card Reader</string>
+ <string>CanoKey</string>
</array>
<key>Copyright</key>
libfido2
libfido2
适用于FIDO2 / U2F相关程序。其他依赖关系可以通过Yubico的指南进行检查。
Admin
默认设置
- 密码:默认值123456
- LED:默认点亮
- 键盘:默认关闭
+++
标题=“ FIDO2 / U2F”
日期= 2021-01-16T01:30:15 + 08:00
体重= 15
+++
支持协议类型
实现如下功能
CTAP2 和 CTAP1 / U2F规范。
支持的功能:
- 多达
64
个驻留密钥 - HMAC
- Ed25519
多因素身份验证
您可以在许多网站上将CanoKey用作2FA设备。
PIN
默认情况下未设置PIN码。您可以使用Windows Hello或其他可能的应用程序设置新的PIN。
OpenSSH
您可以使用以下命令为ssh生成私钥。有关更多信息,请参见这里。
ssh-keygen -t ecdsa-sk
# 如果你更喜欢 ed25519
ssh-keygen -t ed25519-sk
PAM
使用由Yubico提供pam_u2f
。一种常见的用途是sudo
。
HMAC-secret 扩展
可能的应用:
- khefin,用于LUKS全盘加密。
- Windows Hello
本篇文章采用 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 许可协议进行许可。
转载或引用本文时请遵守许可协议,注明出处。