menu Thinking Null
Canokey用户手册
2021-02-27   Canokey   暂无评论   3911 次阅读

Setup

本节介绍开始使用CanoKey之前需要做的事情。

Linux

udev

为了允许非root用户使用密钥,您需要在其中添加udev规则/etc/udev/rules.d/69-canokeys.rules

# GnuPG/pcsclite
SUBSYSTEM!="usb", GOTO="canokeys_rules_end"
ACTION!="add|change", GOTO="canokeys_rules_end"
ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42d4", ENV{ID_SMARTCARD_READER}="1"
LABEL="canokeys_rules_end"

# FIDO2/U2F
# 如果你在 70-u2f.rules 找到这一行,你可以忽略它
KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="20a0", ATTRS{idProduct}=="42d4", TAG+="uaccess", GROUP="plugdev", MODE="0660"

# 让usb设备对其他用户可用,在 WebUSB中使用
# 改变模式让非特权用户使用它,尽管不安全
SUBSYSTEMS=="usb", ATTR{idVendor}=="20a0", ATTR{idProduct}=="42d4", MODE:="0666"
#如果以上方法适用于WebUSB(Web控制台),则可以更改为更安全的方式
#选择以下规则之一
#注意,如果您使用“ plugdev”,请确保您拥有该组,并且所需的用户在该组中
#SUBSYSTEMS=="usb", ATTR{idVendor}=="20a0", ATTR{idProduct}=="42d4", GROUP="plugdev", MODE="0660"
#SUBSYSTEMS=="usb", ATTR{idVendor}=="20a0", ATTR{idProduct}=="42d4", TAG+="uaccess"

TAG+="uaccess" systemd相关,而 GROUP="plugdev", MODE="0660"更传统。您可以选择其中一种解决方案。

添加此文件后,运行以下命令以应用更改。

udevadm control --reload-rules && udevadm trigger

ccid

您可以安装最新版本的ccid,因为CanoKey已包含在其中上游

您可以检查一下 canokey 是否在你的 /etc/libccid_Info.plist 里面。

如果不是,或者您不想/不能/不会安装的最新版本的ccid,则应对/etc/libccid_Info.plist进行以下更改。

对于数组 ifdVendorID ifdProductID, 和 ifdFriendlyName,分别附加一些值,如下所示 diff

diff --git a/libccid_Info.plist b/libccid_Info.plist
index 05c0208..33a1779 100644
--- a/libccid_Info.plist
+++ b/libccid_Info.plist
@@ -576,6 +576,7 @@
                <string>0x08C3</string>
                <string>0x15E1</string>
                <string>0x062D</string>
+               <string>0x20A0</string>
        </array>
 
        <key>ifdProductID</key>
@@ -1054,6 +1055,7 @@
                <string>0x0402</string>
                <string>0x2007</string>
                <string>0x0001</string>
+               <string>0x42D4</string>
        </array>
 
        <key>ifdFriendlyName</key>
@@ -1532,6 +1534,7 @@
                <string>Precise Biometrics Precise 200 MC</string>
                <string>RSA RSA SecurID (R) Authenticator</string>
                <string>THRC Smart Card Reader</string>
+               <string>CanoKey</string>
        </array>
 
        <key>Copyright</key>

libfido2

libfido2适用于FIDO2 / U2F相关程序。其他依赖关系可以通过Yubico的指南进行检查。


Admin

默认设置

  • 密码:默认值123456
  • LED:默认点亮
  • 键盘:默认关闭
    +++
    标题=“ FIDO2 / U2F”
    日期= 2021-01-16T01:30:15 + 08:00
    体重= 15
    +++

支持协议类型

实现如下功能
CTAP2CTAP1 / U2F规范。

支持的功能:

  • 多达 64 个驻留密钥
  • HMAC
  • Ed25519

多因素身份验证

您可以在许多网站上将CanoKey用作2FA设备。

PIN

默认情况下未设置PIN码。您可以使用Windows Hello或其他可能的应用程序设置新的PIN。

OpenSSH

您可以使用以下命令为ssh生成私钥。有关更多信息,请参见这里

ssh-keygen -t ecdsa-sk
# 如果你更喜欢 ed25519
ssh-keygen -t ed25519-sk

PAM

使用由Yubico提供pam_u2f。一种常见的用途是sudo

HMAC-secret 扩展

可能的应用:

翻译自 https://docs.canokeys.org/

None

本篇文章采用 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 许可协议进行许可。

转载或引用本文时请遵守许可协议,注明出处。

发表评论
暂无评论
textsms
account_circle
email
link