问题标签 [yubico]

我计划在我的系统中使用 Yubikey。目前，我将我的 windows 服务器活动目录配置为与 Microsoft AD 服务同步。因此，如果我在服务器中使用 Yubikey 进行 2FA，是否会导致服务器 AD 与 Azure AD 同步出现任何问题？

如果没有问题，我该如何配置 yubikey？

使用Yubico PIV 工具和YubiKey PIV 管理器，我可以将我的客户端 TLS 证书加载到 PIV 插槽中，并使用它在 Firefox 中进行身份验证。这很棒。然而...

有什么方法可以防止 PIV 的私钥被导出？据我所知，PIV 管理密钥仅保护设备不被修改，但不保护包含的内容不被导出。

如果这是准确的，那么 YubiKey 似乎并不能真正用作 PIV 2FA 设备，因为 2-factor 假定“您拥有的东西”，并且我将设备插入的任何机器（或在后台运行的软件）都可以制作功能齐全的软拷贝。

我在 Yubico 论坛上交叉发布了这个问题。

以下是我演示问题的方式：

1. 通过“YubiKey PIV Manager”（my-cert.crt）导出的证书
2. 通过“YubiKey PIV Manager”从 YubiKey 删除证书
3. 通过“YubiKey PIV Manager”（my-cert.crt）导入的证书
4. 重新启动 Firefox（加载了 OpenSC）
5. 我仍然能够通过 PIV 进行身份验证

我们正在尝试通过 Yubico FIDO U2F 安全密钥将身份验证添加到我们的管理网站。这在安装了 U2F 附加组件的 FireFox 中有效，但签署挑战（使用 javascript）登录时不断返回 {errorCode: 4}。

有谁知道为什么会发生这种情况或我如何调试出了什么问题？

提前致谢。

细节

我们的网站是用 Java 和 ZK 框架制作的。在服务器端，我们使用 java-u2flib-server 库。我们使用高级 api 函数 u2f.register 和 u2f.sign 使用 zul 文件中的 javascript 在客户端对请求进行签名。

登记

要注册密钥，用户首先输入名称和密码并提交。服务器创建 RegistrationData 并转到第二个页面。在那里，我们使用 javascript 函数 u2f.register。在回调中，我们将带有 DeviceRegistration 的响应发送到服务器。

这适用于 FireFox 和 Chrome。

认证/登录

登录方式类似。提交第一页时，服务器向第二页提供 DeviceRegistration json 和质询。该页面使用 u2f.sign 并在回调中将 DeviceResponse 发送到服务器。

这在 Firefox 中有效，但在 Chrome 中，u2f.sign 不断返回 {errorCode: 4}。

根据文档，这意味着设备不知道接收到的 DeviceRegistration 但这似乎不太可能，因为相同的代码在 Firefox 中工作，我检查了它们是否从服务器接收到相同的 json。

错误代码 4 - DEVICE_INELIGIBLE -
呈现的设备不符合此请求的条件。对于注册请求，这可能意味着令牌已经注册，对于签名请求，这可能意味着令牌不知道所提供的密钥句柄。

我目前的设置如下：

简而言之：

• 万能钥匙 w。认证能力，存储在 USB 驱动器上（只能从没有互联网的 livecd 会话访问）
• 3 个具有身份验证、签名和加密功能的子密钥，存储在 yubikey 上，始终附加在我的密钥环中。

据我了解，没有我的主密钥，我无法签署其他 GPG 密钥。那么我如何参加 GPG 密钥签名派对呢？不用带着我珍贵的万能钥匙旅行？

我可以做些什么来保护我的主密钥？

• 我尝试将其移至 yubikey，但失败了（因为它没有 S、E 或 A 功能。我错过了一个技巧吗？
• 还有其他我可以使用的设备吗？
• 我可以将我的主密钥放在连接到服务器的 HSM 上并通过 SSH 连接到它，该 SSH 由我的 yubikey 上的子密钥进行身份验证，然后是远程签名密钥？如果是这样，什么硬件可以保存 GPG 主密钥？

到目前为止，我唯一的选择似乎是将主密钥放在 USB 密钥上，并在参加密钥签名派对时启动 livecd。

注意：方便很重要。由于我的合规性差，不方便的程序是一个重大的安全风险:)

我正在尝试用 yubikey 和 gradle 签署我的罐子。

对于 gradle，我正在使用签名插件。不幸的是，我无法以通常的方式对其进行设置，因为您必须提供 secring.gpg，它应该包含我所得到的私钥。由于密钥位于 yubikey 上，因此这是行不通的。

可能有一些 android 开发人员使用 yubikeys 并签署他们的 jars？

我会很感激任何帮助！

签到任务：

Gradle.properties：

堆栈跟踪：

最好的

我正在使用 docker、Notary 0.4.3 和 yubico-piv-tool 1.5.0 运行 Ubuntu 16 LTS piv 工具与 yubokey 一起使用，可以创建证书并将它们导入到 yubikey。Notary 也可以正常工作，但它似乎没有注意到 yubikey。

降级到 yubikey-piv-tools 1.4.0 时，我收到以下恐慌报告：安装 yubico-piv-tool 1.4.0 时，我认为 NOtary 找到了密钥，但因以下报告而恐慌

我对 PGP 加密相当陌生。上周我在 Yubikey 上生成了一个新的密钥对，而之前我只使用了我在我的机器上生成的私钥。我使用雷鸟 enigmail 进行密钥管理。这可能是一个愚蠢的问题，但我实际上并不了解如何使用存储在我的 Yubikey 上的私钥加密电子邮件。我可以很好地解密，但不知道如何用新密钥编写加密电子邮件。使用我的旧密钥对，它是自动的 - 我如何使用正确的私钥实际加密？我在什么时候输入 Yubikey 和密码？（我不是那么技术，我为一个特定的项目使用加密，所以我很欣赏将一些可能非常明显的东西简化。）

我终于设法使用 gpg4win 和 cygwin 在 Windows 上配置了一个 yubikey 4。我可以在 Cygwin 中运行以下命令，我的 yubikey 会提示输入 pin 并开始闪烁，然后它会正常工作。

但是，当我想将它用于 git 签名时，它给了我这个错误：

我的 .gitconfig 中有正确的签名密钥和程序设置

任何人都知道如何更改 .gnupg 文件夹的权限？

我有一个 YubiHSM2 HSM 设备，想通过 PKCS11 访问它。我已经安装了 YubiHSM2 驱动程序以及 Libp11 和 OpenSC 工具。

但是，当我尝试通过以下方式连接并生成密钥时：

我收到：

我在想也许我正在处理错误的 dll 文件？我试图在 Windows 上实现这个，我让它在 Unix 系统上工作，我必须解决一个 xxx.so 文件。

有人对 HSM 模块有想法或类似经验吗？谢谢你的帮助！最好的问候 LikeAKmper

又是我。我正在使用 YubiHSM2 HSM 模块，我正在尝试将其设置为使用 pkcs11 引擎，这将允许我将 OpenSSL 与 HSM 一起使用。

我正在 Windows 上实现这个，这给我带来了很多麻烦。我已经安装了 OpenSSL 32,64、OpenSC、YubiHSM2 驱动程序以及 libp11（使用 MSYS2 构建）。

我的 OpenSSL.cnf 中有趣的部分如下所示：

当我尝试：

我收到以下信息：

我已经检查过 dll 是否被锁定并以管理员身份运行等。如果您有任何线索，请告诉我这里的问题是什么原因造成的！

非常感谢！