问题标签 [yubico]

我正在尝试将 openssl 生成的 ed25519 密钥导入 Yubi HSM 2 我正在按照此处描述的步骤操作：https ://developers.yubico.com/yubihsm-shell/yubihsm-wrap.html

最后我的错误是Malformed command / invalid data

似乎没有迹象表明 Yubi HSM 2 不支持包装 ed25519 密钥。

我的流程有问题还是根本不支持？

在新的 Windows 10 安装（Build 18362）上，我想使用我的 Yubikey Neo，它有一个 Authentication 子密钥（以及一个 Encryption 和一个 Signing 子密钥），通过 SSH 克隆一个 Git repo：

我有一个gpg-agent.conf：

请注意，现在默认的 SSH 客户端 OpenSSH 将不起作用（支持 GPG 和智能卡用户），但您可以使用 PuTTY。我尝试在我的中设置ssh.variantto但这似乎不起作用。putty.gitconfig

我需要采取哪些步骤才能使 Git 使用 PuTTY SSH 并识别 Yubikey？

我正在尝试使用 C++/CLI 和 yubico 的 libu2f-host( https://github.com/Yubico/libu2f-host )在我的 WPF 程序中构建 U2F 身份验证的实现我的 C++/CLI中有一个完全原生的函数dll 调用适当的 libu2f 函数，然后返回一个指向 u2f_reply（我自己的类）的指针，其中包含响应和错误代码。但是，当 dll 的托管部分接收到此对象时，响应代码仍然正确，但响应字符串似乎已完全损坏。

我尝试立即返回 char 指针，然后使用 marshal 将其转换为托管字符串，并且我尝试使用标准 C# 字符串。我尝试使用 memcpy 将响应复制到 reply->response 但没有运气。

我希望它返回一个带有响应数据的 json 对象，如下所示：https://developers.yubico.com/libu2f-host/，但我得到一个随机的 ASCII 字符字符串（不能在这里粘贴）并且没有错误

我已经使用浏览器在我的示例应用程序中注册了一个 yubikey 用户，使用navigator.createfido2 和 yubikey。现在我想在不使用浏览器的情况下使用 Python fido2 进行身份验证。

我正在尝试使用python-fido2。给定公钥、rp 详细信息和来自服务器的质询，我如何在 yubikey 中进行身份验证？

我有一个需要定期运行的 nodejs 脚本，它要求我输入 6 位数的 OTP 作为身份验证过程的一部分。该 OTP 是由硬件 yubikey 生成的，我每次运行脚本时都需要打开 Yubico Authenticator。我想知道我是否可以自动化阅读过程，以便脚本能够自动获取该密码，或者在插入密码或触摸键时。

我试图看看我是否可以将它分配给其中一个插槽，它似乎只支持 yubico OTP 并且不允许我使用我拥有的东西。

我还尝试查找是否有现成的解决方案，但所有相关库都在使用 U2F 或不同类型的 OTP。

PS 我不能使用其他类型的 OTP，这是 AWS 除了 gemalto 之外唯一支持的东西。

PPS 也许那 6 位数的 OTP 有一个我不知道的名字来改善我的搜索结果

我无法理解如何在浏览器上使用带有 yubikey 4 或 5 的webauthn 扩展HMAC Secret 。

根据mozilla的说法，webauthn 扩展 HMAC secret 现在可以在 Firefox 69 上使用。

但是如果我去Webauthn test app，添加一个 HMAC Secret 设置为 的新凭证true，然后使用 yubikey 4 或 5 创建凭证，凭证创建数据状态为：

扩展数据

没有扩展数据

我在 Chrome 或 Edge 上的结果相同

对我来说这是一个错误的用途吗？yubikey不支持扩展吗？是别的吗？

我正在尝试解决如何完成以下用例：

• 应用程序提供任意有效载荷
• 我们将上述有效载荷转发给 yubikey
• yubikey 需要触摸才能对其进行签名/加密

理想情况下，有问题的应用程序是 Chrome 扩展程序。从我所有的阅读来看，这是我在理解方面取得的进展：

• 我可以使用命令行来生成 OpenPGP 密钥。
• 我可以通过 PIV 协议与 yubikey 交互

以下是一些问题：

1. 是否可以通过 Chrome 扩展程序与 yubikey 进行交互？例如，这可能需要智能卡连接器
2. 我不确定 PIV 协议是否是唯一的方法。我对它很陌生，我读到你通过 APDU 指令与设备交互。官方文档提到了这些，但没有提供更多细节或示例。这似乎也是极低的水平。有没有包装这些的图书馆？
3. 我还读到 PIV 协议需要 PIN，但不一定需要触摸（可配置）。是否可以将 PIN 设为可选？
4. 我的用例甚至可能吗？

我正在寻找可以阅读的资源，或者涉及我的部分问题的示例，一般来说，是关于如何去做的指导。

If you attempt to login to github on mobile web, it automatically detects that it's a mobile device and lets you authenticate using a NFC key. I cannot find any documentation for implementing NFC 2FA for mobile web, anyone know how this is done?

Thanks, Kevin

Update:

I have found the vocabulary word for this - its "Webauthn" and apparently there is a way for webauthn to use a U2F device that was registered on a desktop web site on a mobile web site using mobile NFC. I've added the tag in the hopes that someone can help.

背景

大约一年前，我使用 powertop 来优化我的笔记本电脑的功耗（按照这个和这个指南），最终得到了这个 systemd 服务：

问题分析

这很好用并且降低了我笔记本电脑的空闲功耗——直到几个月前我得到了一台 Yubikey 5C nano。

然而，现在我的笔记本电脑的空闲功耗从之前的 5-5.5W 上升到现在的 5.8-6.2W（没有插入 Yubikey Nano 与插入。在 5 分钟内没有打开程序的空闲系统上观察到的读数。）

不是 Yubikey 消耗了这个额外的瓦特，否则它可能会着火。相反，它可能是由于 USB 控制器没有按应有的方式进入睡眠状态。

当我运行时，我在Tuningpowertop选项卡中得到以下信息：

但是，如果我删除 Yubikey，再次插入它，然后再次运行powertop --html=reportB.html，我会在Tuning选项卡中看到以下内容：

问题

这引出了一系列问题：

1. 我是否理解每次插入 USB 设备时——即使它之前已插入——它都会被分配一个新的 PCI 标识符？
2. 将这些调整命令添加到我的 systemd 服务是否明智？
   • 可能的副作用是什么？
   • 只有Autosuspend for USB device YubiKey?
3. 考虑到我永远不会真正从其 USB 端口移除 Yubikey 的约束，添加所有命令是否明智？(*)
   • 如果在某些奇怪的情况下我还是要删除它，那会产生什么影响？

非常感谢！

(*) 这就是拥有 Nano 的全部意义，因为懒得总是使用大 Yubikey。

我有兴趣使用 yubikey 签署消息。我知道 openPGP 可用于使用 yubikey 对消息进行签名，但签名包含一些元数据，如下所述：https ://datatracker.ietf.org/doc/html/draft-ietf-openpgp-rfc4880bis-06#section- 5.2.4

对于我的用例，我只想签署一条消息或一条消息的哈希值，仅此而已（没有额外的元数据）。是否有类似 C 库接口的东西可用于使用 yubikey 对消息进行签名？