3

在出于技术兴趣购买了 Yubikey 5 NFC(固件 5.2.7)并在可能的情况下设置了 FIDO2 身份验证后,我遇到了无法再通过 SmartGit 连接到我的 GitLab 服务器的问题,因为没有请求第二个因素,因此我无法连接到服务器。

然后我决定通过 Git Bash 和 SSH 在 Windows 10 上处理它。不幸的是,这里的文档假设有很多先验知识,而我绝对是这个主题的初学者。与此同时,我设法使用本地生成的 SSH 证书通过 Git Bash 和 SSH 连接到服务器。

现在我想使用 Yubikey 而不是本地存储在计算机上的证书。不幸的是,所有说明(例如这个https://docs.github.com/en/github/authenticating-to-github/connecting-to-github-with-ssh/generating-a-new-ssh-key-and- add-it-to-the-ssh-agent#generating-a-new-ssh-key-for-a-hardware-security-key)对我来说会导致相同的错误消息:

$ ssh-keygen -t ed25519-sk -C "name@mail.com"
Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Key enrollment failed: invalid format

在此之前,系统会提示我输入 PIN。有趣的是:消息看起来完全一样,我是否插入了 Yubikey 无关紧要。与 ecdsa-sk 的尝试导致相同的结果。

(顺便说一句。我已经在 Yubikey 上成功存储了 OpenPGP 证书。)

现在我还阅读了一些关于 libfido2 的内容,但是我找不到任何关于如何在 Windows 10 上使用它的说明。

所以我的问题是:我如何设法使用我的 Yubikey 而不是我的本地密钥?或者:如果这是问题,我该如何安装 libfido2?

4

1 回答 1

1

2021 年 5 月

所以:正如本月初(2021 年 5 月)在 GitHub 上宣布的那样,SSH Git 操作现在确实支持安全密钥,但是,正如这里所讨论的,仍然存在问题。

您的错误消息看起来像是 Debian 上的一个错误:“问题 980393:/usr/bin/ssh-keygen -t ecdsa-sk失败,并出现“密钥注册失败:格式无效” “。
而且这个月还在报道

如果这也失败了-t ecdsa,尝试使用OpenSSH 插件通过本机 Windows Hello API 连接到 FIDO/U2F 安全密钥可能会有所帮助。
首先键入export SSH_SK_HELPER=/usr/lib/ssh/ssh-sk-helper.exe,如tavrez/openssh-sk-winhello问题 1中所示。
检查您的 OpenSSH 版本至少为 8.2。最新的 Windows 版 Git 支持我:

ssh -V
OpenSSH_8.5p1, OpenSSL 1.1.1k  25 Mar 2021

OP DroidDroid评论中添加:

不过,我现在遇到 GitLab 尚不支持安全密钥的问题:issue 213259

2022 年 2 月:GitLab 现在应该支持这些安全密钥。

请参阅GitLab 14.8(2022 年 2 月)

支持 ecdsa-sk 和 ed25519-sk SSH 密钥

OpenSSH 8.2添加了对具有新 ecdsa-sk 和 ed25519-sk 密钥类型的 FIDO/U2F 硬件身份验证器的支持。

GitLab 现在支持这些密钥类型,允许用户利用硬件支持的 SSH 身份验证。

https://about.gitlab.com/images/14_8/ssh_key.png -- 支持 ecdsa-sk 和 ed25519-sk SSH 密钥

请参阅文档问题

于 2021-05-23T06:55:38.403 回答