问题标签 [yubico]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
fido-u2f - 同一 Yubikey U2F 设备的重复注册
我有个疑问。我已经围绕 Yubico U2F 键设置了一个完整的解决方案。但是现在,我无法停止为同一应用程序 ID 的用户重复注册同一设备。在检查我的数据库上的键柄时,它们为每个重复注册显示不同的值。请帮帮我。
smartcard - PIV数字签名序列
我正在尝试了解使用 PIV / 智能卡签署可执行文件(如 jar)的详细信息。使用它很容易,但我很好奇我的计算机和智能卡之间交换了哪些信息。我四处寻找,但没有找到我希望找到的东西——某种流程图或序列图。我最好奇的是有多少数据被发送到设备。发送整个罐子似乎太快了。它的工作方式类似于 debian 存储库签名的工作方式,计算机在其中生成 HMAC 文件并且只有 THAT 被签名?
yubico - 如何将钥匙移动到 Yubikey PIV 上的已停用插槽?
我需要生成一个新的密钥对以在 Yubikey 上签名,但我想“备份”旧密钥。该yubico-piv-tool文档提到了 Retired Key Management 的插槽 82-95,这似乎是为了这个目的。但我看不到任何允许在插槽之间移动或复制密钥的操作。如何使用yubico-piv-tool或其他工具将密钥从插槽 9c 移动/复制到已停用的密钥插槽之一?
javascript - 我如何使用 yubico(公钥和私钥)加密和解密文件
我尝试使用 yubico 公钥加密文件并使用 yubico 私钥解密。但我无法从 yubico 生成私钥和公钥。我已经用 yubico 开发了一些 fido2 的例子。但它不能正常工作。
c# - 有没有办法在没有互联网连接的情况下从独立的 C# 应用程序验证 YubiKey?
我需要一些方法来从 YubiKey 在气隙 PC(无互联网连接)上验证用户或密钥对。最好来自 C#/.NET 应用程序。
本质上,我需要验证插入的 YubiKey 是否为用户提供了使用我的应用程序的适当授权。
我的第一个想法是生成一个 RSA 密钥对,将私钥存储在 YubiKey 上,并将公钥存储在我的应用程序中。然后我将使用 gpg 验证密钥对。但是,这种方法不起作用:
C:\Program Files (x86)\GnuPG\bin>gpg --card-status
gpg:选择 openpgp 失败:没有这样的设备
gpg:OpenPGP卡不可用:没有这样的设备
然后我使用 YubiKey 管理器生成密钥对和证书并将其存储在设备上。我可以通过 Windows CertUtil命令查看证书,但我不知道要传递给CertUtil -verifykeys [KeyContainerName CACertFile]的参数,因为我不知道容器名称。
yubico - 如何在 Node.js 中解析 attestationObject
我已经在 Node.js 中模拟了来自前端的响应,如下所示。
attestationObject 参数是 Yubikey 签署挑战并将其转换为 base64 以传输到节点服务器后返回的参数。
我得到的是一个 ArrayBuffer { byteLength: 226 } 但我不知道如何处理它。
我知道我需要检查已签名的域名,并且我需要使用用户凭据存储一些内容,以便他们可以再次登录。
我知道有很多选择,我只想获得最低限度的无密码注册和登录工作。
javascript - 我可以从 Javascript 触发 Yubikey 以在不触碰它的情况下给出响应吗?
我有一个自动脚本从内部站点获取一些数据。这工作正常,但要登录,用户需要使用密码 + yubikey 进行身份验证。用户将在 yubikey 插入 USB 端口的机器上运行代码。
问题是 - 我可以从 yubikey 获得响应而无需用户触摸它吗?那么,有什么方法可以触发 Javascript 中 yubikey 的响应吗?
python-3.x - Python:与 Yubikey 的 TLS 会话
我正在设置一个使用客户端证书的远程服务器必须信任的休息客户端。用python编写的客户端,在windows 10上运行。如何使用YubiKey 5存储私钥来加密SSL连接?
似乎没有现成的解决方案/python 包支持将 pkcs11 用于 ssl 上下文。我们可以将https://github.com/square/ghostunnel与带有客户端证书的 yubikeys 一起使用,但这会使解决方案的安全性降低并且部署起来更加复杂。
.net - 无法将智能卡证书添加到 Yubikey
我正在尝试创建一个智能卡证书并将其添加回 Yubikey(我使用的是 Yubico 的 Mini 驱动程序,因此 yubikey 的行为类似于智能卡并且不能使用它们的 PIVManager 或 YKMan)。我能够使用以下代码使用 yubikey 成功签署 CSR:
然后我去 CA 取回证书。当我尝试将证书添加回 Yubikey 时,出现以下错误:
CertEnroll::CX509Enrollment::InstallResponse: 找不到对象或属性。0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
根据我在谷歌上找到的内容,这意味着系统找不到签署证书的私钥。我正在使用请求来初始化容器,但它仍然找不到它是由智能卡完成的,这里是供参考的代码:
有没有办法告诉 Windows 在 YubiKey 中查找私钥?
openssl - 使用存储在 Yubikey 上的 CA 对证书签名请求进行签名
我想使用私钥和存储在 PIV 数字签名槽中的证书签署证书签名请求。
我正在使用最新版本的 OpenSC for MacOS(https://github.com/OpenSC/OpenSC/releases/tag/0.19.0)。
我已经尝试过 pkcs11-tool、pkcs15-tool 和 yubikey-piv-tool。这三个工具都提供了一个 --sign API,但它们对从数据生成的摘要进行签名。
我的要求是签署证书签名请求以生成证书。
我唯一的选择是将 PKCS#11 引擎用于 OpenSSL。PKCS#11 引擎:brew install engine_pkcs11
PKCS#11 模块:opensc-pkcs11.so
我将使用常规 OpenSSL 命令签署 CSR,使用引擎选项提供密钥和存储在 Yubikey 上的证书。(可能使用 PKCS#11 URI)
使用 OpenSSL 1.0.2,我尝试了以下命令。
回复:
要签署 CSR,我正在使用此命令,
回复:
即使输入正确的 PIN,我也会收到此错误。Yubikey 证书上的 CA 密钥/证书也没有密码。
在 PyKCS#11 示例中出现类似错误: https ://github.com/LudovicRousseau/PyKCS11/issues/61
使用另一个类似的 OpenSSL 命令。
回复:
我想知道问题是否出在 macOS OpenSSL、Yubikey、PKCS#11 或 OpenSSL-PKCS#11 引擎中。
我期望 CSR 使用 Yubikey 在 MacOS 上签署证书。请帮忙。