Canokey入门指南:F2A、OpenPGP、PIV

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 相信大伙都知道yubikey吧,那么Canokey呢?

Canokeys

F2A

Canokey使用Yubikey Authenticator来进行管理F2A

下载Yubikey Authenticator,以下为Yubikey Authenticator官方下载网址

https://www.yubico.com/products/yubico-authenticator/#h-download-yubico-authenticator

运行Yubikey Authenticator

进入custom reader,在Custom reader fiter处填入 CanoKey

填入CanoKey

右上角Add account 增加F2A

添加F2A

Issuer: 备注 可选
Account name : 用户名 必填项
Secret Key : Hotp或Totp的key 必填项

OpenPGP

安装GPG

Windows 用户可下载 Gpg4Win,Linux/macOS 用户使用对应包管理软件安装即可.

生成主密钥

gpg --expert --full-gen-key #生成GPG KEY

推荐使用ECC算法

image-20220102223722475

选择(11) ECC (set your own capabilities) # 设置自己的功能 主密钥只保留 Certify 功能,其他功能(Encr,Sign,Auth)使用子密钥
# 子密钥分成三份,分别获得三个不同的功能
# encr 解密功能
# sign 签名功能
# auth 登录验证功能
先选择 (S) Toggle the sign capability 

image-20220102224151589

之后输入q 退出

键入1,选择默认算法

键入1,选择默认算法

设置主密钥永不过期

image-20220102224451731

填写信息,按照实际情况填写即可

image-20220102224612167

Windnows 下会弹出窗口输入密码,注意一定要保管好!!!
# 会自动生成吊销证书,注意保存到安全的地方
gpg: AllowSetForegroundWindow(22428) failed: �ܾ����ʡ�
gpg: revocation certificate stored as 'C:\\Users\\Andorid\\AppData\\Roaming\\gnupg\\openpgp-revocs.d\\<此处为私钥>.rev'
# 以上的REV文件即为吊销证书
public and secret key created and signed.
pub   ed25519 2022-01-02 [SC]
      <此处为Pub>
uid                      <此处为Name> <此处为email>

生成子密钥

 gpg --fingerprint --keyid-format long -K

下面生成不同功能的子密钥,其中 <fingerprint> 为上面输出的密钥指纹,本示例中即为 私钥。最后的 2y 为密钥过期时间,可自行设置,如不填写默认永不过期。

gpg --quick-add-key <fingerprint> cv25519 encr 2y
gpg --quick-add-key <fingerprint> ed25519 auth 2y
gpg --quick-add-key <fingerprint> ed25519 sign 2y

再次查看目前的私钥,可以看到已经包含了这三个子密钥。

gpg --fingerprint --keyid-format long -K

上面生成了三种功能的子密钥(ssb),分别为加密(E)、认证(A)、签名(S),对应 OpenPGP Applet 中的三个插槽。由于 ECC 实现的原因,加密密钥的算法区别于其他密钥的算法。

加密密钥用于加密文件和信息。签名密钥主要用于给自己的信息签名,保证这真的是来自的信息。认证密钥主要用于 SSH 登录。

备份GPG

# 公钥
gpg -ao public-key.pub --export <ed25519/16位>
# 主密钥,请务必保存好!!!
# 注意 key id 后面的 !,表示只导出这一个私钥,若没有的话默认导出全部私钥。
gpg -ao sec-key.asc --export-secret-key <ed25519/16位>!
# sign子密钥
gpg -ao sign-key.asc --export-secret-key <ed25519/16位>!
gpg -ao auth-key.asc --export-secret-key <ed25519/16位>!
gpg -ao encr-key.asc --export-secret-key <ed25519/16位>!

导入Canokey

# 查看智能卡设备状态
gpg --card-status
# 写入GPG
gpg --edit-key <ed25519/16位> # 为上方的sec-key
# 选中第一个子密钥
key 1
# 写入到智能卡
keytocard
# 再次输入,取消选择
key 1
# 选择第二个子密钥
key 2
keytocard
key 2
key 3
keytocard
# 保存修改并退出
save

#再次查看设备状态,可以看到此时子密钥标识符为 ssb>,表示本地只有一个指向 card-no: F1D0 xxxxxxxx 智能卡的指针,已不存在私钥。现在可以删除掉主密钥了,请再次确认你已安全备份好主密钥。
gpg --card-status

删除本地密钥

gpg --delete-secret-keys <ed25519/16位> # 为上方的sec-key

为确保安全,也可直接删除 gpg 的工作目录:%APPDATA%\gnupg,Linux/macOS: ~/.gunpg

使用 Canokey

此时切换回日常使用的环境,首先导入公钥

gpg --import public-key.pub

然后设置子密钥指向 Canokey

gpg --edit-card
gpg/card> fetch

此时查看本地的私钥,可以看到已经指向了 Canokey

gpg --fingerprint --keyid-format long -K

配置gpg路径

git config --global gpg.program "C:\Program Files (x86)\GnuPG\bin\gpg.exe" --replace-all

Git Commit 签名

首先确保 Git 本地配置以及 GitHub 中的邮箱信息包含在 UID 中,然后设置 Git 来指定使用子密钥中的签名(S)密钥。

git config --global user.signingkey <ed25519/16位> # 为上方的Sign密钥

之后在 git commit 时增加 -S 参数即可使用 gpg 进行签名。也可在配置中设置自动 gpg 签名,此处不建议全局开启该选项,因为有的脚本可能会使用 git am 之类的涉及到 commit 的命令,如果全局开启的话会导致问题。

git config commit.gpgsign true

如果提交到 GitHub,前往 GitHub SSH and GPG keys 添加公钥。此处添加后,可以直接通过对应 GitHub ID 来获取公钥:https://github.com/<yourid>.gpg

PIV

首先在Web端添加自己的私钥到智能卡,之后前往 WinCrypt SSH Agent 下载并运行,此时查看 ssh-agent 读取到的公钥信息,把输出的公钥信息添加到服务器的 ~/.ssh/authorized_keys

# 设置环境池
$Env:SSH_AUTH_SOCK="\\.\pipe\openssh-ssh-agent"
# 查看ssh列表
ssh-add -L

此时连接 ssh user@host,会弹出提示输入 PIN 的页面,注意此时输入的是 PIV Applet PIN,输入后即可成功连接服务器。

tips: 可能会出现权限不够的情况,需要禁用Windows服务OpenSSH Authentication Agent

最后可以把该程序快捷方式添加到启动目录 %AppData%\Microsoft\Windows\Start Menu\Programs\Startup,方便直接使用。

目录
相关文章
|
数据采集 机器学习/深度学习 小程序
快速入门Python语言:人生苦短,我用Python~~Python语言经验分享
快速入门Python语言:人生苦短,我用Python~~Python语言经验分享
131 0
|
6月前
AutoLisp入门教程
AutoLisp入门教程
|
5月前
|
Java 数据处理 调度
Java多线程编程入门指南
Java多线程编程入门指南
|
Kubernetes 云计算 Docker
【K8S系列】深入解析 k8s:入门指南(一)
【K8S系列】深入解析 k8s:入门指南(一)
344 0
|
Kubernetes API Docker
【K8S系列】深入解析 k8s:入门指南(二)
【K8S系列】深入解析 k8s:入门指南(二)
239 0
|
存储 Web App开发 移动开发
Day 19: EmberJS 入门指南
到目前为止,我们这一系列文章涉及了Bower、AngularJS、GruntJS、PhoneGap和MeteorJS 这些JavaScript技术。今天我打算学习一个名为Ember的框架。本文将介绍如何用Ember创建一个单页面的社交化书签应用。本教程将包括两篇:第1篇介绍客户端代码和用HTML 5本地存储持久保存数据,第2篇中我们将使用一个部署在OpenShift上的REST后端。过几天我会写第2篇。
349 0
Day 19: EmberJS 入门指南
|
JavaScript 安全 前端开发
【超详细】Zod 入门教程
Zod 是一个以 TypeScript 为首的模式声明和验证库 ,弥补了 TypeScript 无法在运行时进行校验的问题 ,既可以用在服务端也可以运行在客户端,以保障 Web Apps 的类型安全
586 0
【超详细】Zod 入门教程
|
JSON 自然语言处理 JavaScript
TypeChat 入门指南
TypeChat 是一个革命性的库,它简化了使用 TypeScript 构建自然语言模型界面的过程。 它抹平了自然语言和结构化数据之间的差距,使开发人员更容易将自然语言界面集成到他们的应用程序中。
390 0
|
容器
MVVMToolkit入门教程
MVVMLight已经停止维护,可以考虑MVVMToolkit来替代,MVVMToolkit官方文档两个框架的基本使用方法类似,下面介绍一下不同之处(建议查看一下上一篇关于MVVMLight的文章)。
269 0
|
程序员 数据安全/隐私保护 Python
python开发【第一篇】
python解释器在加载.py文件的时候,会对内容进行编码(默认是ascii编码)。
119 0
python开发【第一篇】

热门文章

最新文章