Macie już swojego YubiKeya? Przeczytajcie koniecznie. A jeśli nie macie, to kupcie a potem przeczytajcie, bo wygląda na to, że te małe breloczki są bardzo ciekawym narzędziem zwiększającym bezpieczeństwo Waszych kont.
W poprzednich artykułach opisywaliśmy w jaki sposób możemy udowodnić swoją tożsamość łącząc się do usługi SSH z wykorzystaniem kluczy publicznych oraz prywatnych oraz z użyciem usługi Google Authenticator. W tym artykule przedstawimy kolejny sposób na wzmocnienie procesu uwierzytelniania stosując uwierzytelnianie wspierane sprzętowo.
We współpracy z firmą ArubaCloud pokazaliśmy Wam, jak postawić swój serwer backupów, jak skonfigurować własny serwer VPN i podłączyć do niego komputer, telefony komórkowe oraz domowy ruter a także jak schować się przed cenzurą sieci i jak zacząć serwer zabezpieczać, jak postawić swój własny zdalny pulpit, swój serwer WWW, jak monitorować zmiany w plikach, jak zablokować reklamy na komórce oraz jak skonfigurować bezpieczną kopię zapasową.
Jeśli nie macie jeszcze swojego własnego serwera, to jest to dobra okazja by się w taki wyposażyć. Aruba oferuje dwa miesiące korzystania ze swojego podstawowego serwera gratis – a po zakończeniu promocji będzie on Was kosztował zaledwie 4 złote miesięcznie. Instrukcję jak krok po kroku skorzystać z promocji i uruchomić swój serwer znajdziecie w tym artykule. Jeśli macie już swój serwer – to zapraszamy do lektury kolejnych akapitów.
Mały, ale wariat
Klucze YubiKey powoli rewolucjonizują bezpieczeństwo. Małe, wygodne, łatwe w użyciu pomagają zabezpieczać dostęp do kont Google, Facebooka, Dropboksa, GitHuba czy menedżera haseł a dzięki wszechstronności także do nieograniczonej liczby różnorakich systemów w wielu firmach i organizacjach. Dzisiaj spróbujemy Was namówić do ich użycia w celu zabezpieczenia dostępu do usługi SSH na Waszych serwerach. Zrobimy to krok po kroku w oparciu o funkcję umożliwiającą przechowywanie na YubiKeyu kluczy PGP. Jeśli chcecie od razu przejść do konfiguracji, to zajrzyjcie dwa akapity niżej.
Co potrafi YubiKey
W naszym poradniku użyjemy YubiKey Neo, jako jednego z posiadających najwięcej różnych funkcji. Dostępnych jest wiele różnych modeli, warto zatem przejrzeć ich funkcje i wybrać taki, jaki najbardziej pasuje do naszych zastosowań. YubiKeye potrafią wiele. Poniżej krótkie podsumowanie.
Klucz Yubikey można wykorzystać na wiele sposobów uwierzytelniania niezależnie od siebie:
- U2F – U2F jest otwartym standardem uwierzytelniania, który umożliwia urządzeniom kluczy na bezpieczne uzyskiwanie dostępu do dowolnej liczby usług sieciowych – natychmiast i bez potrzeby instalowania sterowników lub oprogramowania klienckiego. (wykorzystywany np. w logowanie do konta Facebooka czy Google),
- Yubi OTP – prosty, a zarazem silny mechanizm uwierzytelniania, który jest obsługiwany przez wszystkie YubiKeye. Yubico OTP może być używany jako drugi etap w uwierzytelnianiu 2-etapowym,
- OATH-TOPT (Time-Based One-Time Password Algorithm) – wygenerowane hasło (PIN) oparte na funkcji czasu – ulegają zmianie, np. co 30 sekund,
- OATH-HOPT (Hmac-Based One-Time Password Algorithm) – działa tak samo jak TOPT z wyjątkiem tego, że zamiast funkcji czasu używany jest licznik uwierzytelniania,
- Personal Identity and Verification Card (PIV) – Umożliwia podpisanie i deszyfrowanie podpisów RSA lub ECC przy użyciu prywatnego klucza zapisanego w YubiKey. YubiKey działa w tym przypadku jako inteligentna karta, za pośrednictwem wspólnych interfejsów, takich jak PKCS # 11. PIV wykorzystuje protokół CCID (wykorzystywany np. w firmach do logowania do komputera za pomocą dedykowanej karty chipowej),
- CCID – Protokół interfejsu karty chipowej (protokół karty chipowej) to protokół USB umożliwiający podłączenie karty inteligentnej do komputera za pomocą czytnika kart, przy użyciu standardowego interfejsu USB,
- OpenPGP jest otwartym standardem do podpisywania i szyfrowania. Umożliwia podpisywanie / szyfrowanie przez RSA lub ECC operacji przy użyciu klucza prywatnego zapisanego na karcie inteligentnej (takiej jak YubiKey NEO), za pośrednictwem wspólnych interfejsów, takich jak PKCS #11.
YubiKey NEO obsługuje OTP, Smart Card (CCID) i U2F. Umożliwia zarówno połączenie przez USB jak i bezdotykowe NFC, a także standard MIFARE.
Jak skonfigurować YubiKey do współpracy z OpenSSH
Aby skorzystać z naszego YubiKey Neo do połączenia z OpenSSH, wgramy na niego nasz klucz PGP. Będzie on tam bezpieczny – jego wydobycie przez potencjalnych włamywaczy będzie bardzo utrudnione. Poniżej znajdziecie film pokazujący całą operację, a pod nim opis tekstowy.
Zaprezentujemy najłatwiejszy sposób wygenerowania pary kluczy PGP o długości 2048 bitów w systemie Windows. Analogiczną operację można oczywiście przeprowadzić w innym systemie operacyjnym.
1) Instalujemy oprogramowanie Gpg4win.
2) Uruchamiamy program Kleopatra. W głównym oknie programu wybieramy: Settings -> Configure Kleopatra -> GnuPG System -> Zakładka GPG Agent, zaznaczamy opcję „Włączenie obsługi putty”.
3) Pobieramy YubiKey NEO Manager.
4) Uruchamiamy aplikację YubiKey NEO Manager .W aplikacji wybieramy podłączone urządzenie i upewniamy się, że mamy zaznaczoną opcję CCID (Chip Card Interface Device).
5) Uruchamiamy cmd.exe. W oknie konsoli uruchamiamy polecenie:
gpg --card-edit
6) Uzyskujemy dostęp do poleceń administratora wydając polecenie:
gpg/karta> admin
7) Ustawiamy podstawowe informacje o właścicielu karty:
gpg/karta> name
8) Generujemy parę kluczy:
gpg/karta> generate Stworzyć poza kartą kopię zapasową klucza szyfrującego? T Okres ważności klucza? (0) 1y Klucz traci ważność 06/25/19 14:15:01 środkowoeuropejski czas letni Czy wszystko się zgadza (t/N)? t GnuPG musi utworzyć identyfikator użytkownika do identyfikacji klucza. Imię i nazwisko: Krystian K Adres poczty elektronicznej: Komentarz: Zmienić (I)mię/nazwisko, (K)omentarz, adres (E)mail, przejść (D)alej czy (W)yjść z programu? D
8) Ustalamy kod PIN oraz Admin PIN:
gnupg/karta> passwd
Domyślny Admin PIN = 12345678 (8+ znaków), domyślny PIN = 123456 (6+ znaków).
8) Eksportujemy klucz publiczny do pliku. W programie Kleopatra wybieramy nasz klucz, wybieramy „Export Certificate” i wskazujemy gdzie chcemy zapisać klucz.
Jako szablon instalacyjny w Aruba Cloud wybraliśmy system Debian/GNU 8.0. Za pomocą programu PuTTY logujemy się na serwer celem zaimportowania klucza.
9) Wgrywamy wyeksportowany publiczny klucz PGP na serwer. Na serwerze zawartość wyeksportowanego pliku zapisujemy tymczasowego pliku „klucz.pgp” w katalogu domowym.
10) Importujemy wgrany klucz PGP wydając polecenie:
$ gpg --import klucz.pgp
11) Sprawdzamy informacje o zaimportowanym kluczu:
$ gpg --list-keys
12) Jeśli wszystko się zgadza, usuwamy plik 'klucz.pgp’:
$ rm klucz.pgp
13) Tworzymy katalog .ssh w katalogu domowym:
$ mkdir .ssh $ chmod 700 .ssh
14) Zaimportowany klucz PGP konwertujemy na klucz SSH:
$ gpgkey2ssh C4F24B88 > .ssh/authorized_keys $ chmod 600 .ssh/authorized_keys
To wszystko po stronie serwera – możemy się wylogować i przetestować uwierzytelnianie za pomocą naszego klucza. Ostatnim krokiem jest rekonfiguracja programu PuTTY:
15) Zaznaczamy opcję: Connections > SSH > Auth i zaznaczamy pole „Allow agent forwarding”.
16) Logujemy się na serwer za pomocą certyfikatu bez podawania hasła do konta
Ciąg dalszy nastąpi?
Jeśli podoba Wam się koncept używania YubiKeya, to dajcie znać – przygotujemy wtedy kolejne poradniki opisujące jego różne zastosowanie.
Komentarze
Zdecydowanie bardziej, wole użyć YubiKeya jako 2FA – na linuxach zdecydowanie łatwo to wdrożyć kompilując odpowiedni moduł PAM.
Aczkolwiek to zapewne kwestia wymagań i założeń.
Super, ale kilka uwag:
* Yubi OTP – pracuje na algorytmie symetrycznym, przy kompromitacji serwerów firmy Yubico napastnik może impersonować KAŻDEGO użytkownika tego serwisu. Dodatkowo firma może sprawić, że dla wskazanych tokenów serwery odpowiedzą „tak, kod jest OK” dla każdego podanego kodu. Yubico ma siedziby w Szwecji (OK) ale też w USA (nie OK). Pozostałe mechanizmy nie bazują na centralnym, globalnym serwisie uwierzytelniającym.
* YubiKey4 – w przeciwieństwie do poprzednich wersji – jest zamkniętoźródłowy. Ale za to obsługuje ECC i 4k klucze GPG. Taki tradeoff.
* W ostatnim przykładzie warto zrobić jednak
gpgkey2ssh C4F24B88 >> .ssh/authorized_keys
bo ktoś może sobie krzywdę zrobić.
* Dodatkowo w gpg2 nie ma już „gpgkey2ssh”, jest „gpg –export-ssh-key”
> przy kompromitacji serwerów firmy Yubico
Ale nie musisz korzystać z ich serwera. Możesz postawić własny serwer, lub nawet zaimplementować liczenie kolejnych tokenów samodzielnie.
„Ale nie musisz korzystać z ich serwera. Możesz postawić własny serwer, lub nawet zaimplementować liczenie kolejnych tokenów samodzielnie.”
Tak. Wymaga to poświęcenia któregoś z 2 slotów na tokenie i wgranie tam własnego klucza AES. Po czym albo postawić własny serwis uwierzytelniający, w którym będzie ten AES albo wgrywać go w każdą stację na którą chcesz się logować (i wszystkie stacje będą jechały na tym samym kluczu symetrycznym).
„Interesuje mnie w jaki sposób można skonfigurować później np switche Cisco”
Do pracy tego rozwiązania potrzebne jest wsparcie dla obsługi kluczy GPG po stronie serwera SSH i obsługa SSH-agent’a, co w przypadku Cisco jest raczej mało prawdopodobne. Bardziej prawdopodobne (ale ciągle mało) byłoby użycie trybu PIV.
„wygląda na dość delikatne urządzonko, nie przełamie się służąc jako brelok?”
Chyba od 2.5 roku mam na kółku w pęku kluczy YubiKey Neo. Jest hermetyczny i wodoodporny, a żeby go złamać trzeba by go chyba w imadło wsadzić, albo pod tramwaj. Żywica jest bardzo dobrej jakości, nawet się na krawędziach nie wytarła.
Czy może ktoś polecić gdzie w rozsądnej cenie można nabyć taki kluczyk w Polsce?
Swoją drogą, na zdjęciach wygląda na dość delikatne urządzonko, nie przełamie się służąc jako brelok?
Nad kwestią zakupu będziemy pracować. Nie jest delikatny, wprost przeciwnie. Noszę przy kluczach od miesięcy i nic się nie stało.
Zakupiłeś bezpośrednio od producenta?
Ja kupowałem na Amazon.
Nie jest to tania impreza, to fakt. Z mojej perspektywy też jest poważny problem z użyciem 2FA w aplikacjach – ale to niekoniecznie problem samego mechanizmu 2FA a integracji np. logowania za pomocą 2FA.
Na stronie producenta masz listę oficjalnych dystrybutorów w Polsce.
Nie ma tego dużo. Ja swój kupiłem w Polsce:
http://yubico.inbase.pl/
Drogo, ale niewiele taniej kupisz za granicą…
Na OLX gość ostatnio sprzedawał w dobrej cenie. Sam się zastanawiam nad kupnem.
Wpisz w googlu „Yubikey Kraków”.
Amazon.de wysyła YubiKey do Polski.
Witam,
chętnie dowiedziałbym się czegoś na temat możliwości użycia w/w rozwiązania w świecie domeny Microsoft. Logowanie do stacji roboczych, logowanie do Outlook Web Access itp.
Pozdrawiam
Werner
Yubikey można używać jako smartcard. Nie powinno być więc problemów z logowaniem do maszyny.
Hmmm – czy na Yubikey da się wgrać certyfikaty polskich podpisów elektronicznych – tych używanych do ZUS i US? Jeśli jest PKCS # 11 to tak i będzie działać z np. Płatnikiem? Jeśli tak to znacznie zwiększy się grupa klientów :D
Jeśli masz klucz prywatny (np. certyfikaty Asseco Business Identity czy jakoś tak) – da się. Jeśli dostajesz kartę z zaszytym w niej kluczem (jak w przypadku podpisu kwalifikowanego) – nie.
Interesuje mnie w jaki sposób można skonfigurować później np switche Cisco do takiego logowania z YubiKey. Tak samo jak każde inne logowanie po ssh z kluczem na Cisco plus ta zmiana w ustawieniach programu putty? Czy jeszcze coś?
Tak, czekam na więcej. Mam dwa klucze, ale obecnie nie widzę zastosowań dla nich. Wcześniej uzywałem z lastpass, ale zmigrowałem do keepass i yubikey kurzy sie
Może warto odkurzyć yubikey’a chociażby po to, żeby przydał się jako 2fa KeePassa?
http://www.kahusecurity.com/2014/securing-keepass-with-a-second-factor/
Dzieki, niestety mam taki błąd jak opisany pod tym zgłoszeniem:
https://sourceforge.net/p/keechallenge/tickets/7/
Podejrzewam, że mam stare karty, kupiłem je w roku 2012.
Kiedy wkładam klucz do slotu USB opcja „fixed 64 bute input” wyszarza sie
Nie jestem przekonany… Wystarczy ukraść kluczyk i po zawodach. Gdyby to jeszcze pytało o PIN tak jak w przypadku CCID lub logowania się do systemu – to miało by to sens.
Witam,
osobiśnie nie mogę się przekonać do kluczy Yubi – dawniej, w czasach weryfikacji sms należało zaatakować dwa oddzielne urządzenia – pc i telefon. Dziś jest już tylko jedno. Dlaczego klucz Yubi, który nie ma żadnego wyświetlacza i nie można na nim przeczytać co właśnie uwierzytelnia jest bezpieczniejszy?
Bo nie da się z niego zdalnie ukraść uwierzytelnienia, najprościej ujmując. Trzeba ukraść fizyczny kluczyk. A wkłada się go tylko gdy faktycznie trzeba – zatem wiesz co uwierzytelniasz.
Paradoksalnie, oznacza to wzrost zagrożeń w miarę adaptacji tego mechanizmu na różnych stronach, bo nie da się sprawdzać, czy logujemy się do tej strony, co myślimy. Są jednak dostępne lepsze rozwiązania, z ekranem. Choćby ten Trezor, o którym pisałem niżej, albo konkurent „Ledger Nano S” (niestety zamknięte firmware).
Jeśli uważasz że oszukiwać Cię może Google Chrome to problem może być większy niż kradzież hasła OTP z tokenu. Dla potrzeb logowania się do poczty czy Facebooka to chyba i tak dużo więcej niż potrzeba.
Ideą sprzętowego tokena jest zmniejszenie ataków możliwych do wykonania przez ISP i/lub komputer.
Jeżeli zakładamy ufanie Google Chrome, dlaczego by nie zaimplementować U2F w software, na komputerze? :)
A gdzie jest takie założenie sensu U2F? Ja się z nim nie spotkałem. A jeśli masz złośliwy komputer to masz inną kategorię problemów.
Poza tym, super-ważną wiadomość pocztową szyfrujemy PGP/GPG i dopiero wtedy puszczamy w Sieć:)
A ja bym pokazał „TREZOR Bitcoin Wallet”.
Co prawda reklamowany jest głównie jako sprzętowy portfel BTC, ale obsługuje też inne funkcje:
https://trezor.io/functions/
-U2F
-SSH
-GPG
-Password Manager
Firmware jest open-source i ponieważ urządzenie ma wyświetlacz, umożliwia sprawdzenie do jakiego serwisu/serwera zezwalamy na logowanie. Do tego możliwe jest używanie PIN-u w sposób uniemożliwiający odczytanie go przez wirusa na komputerze.
Działa na razie wyłącznie po microUSB, ale zarówno na PC jak i telefonach z Androidem.
Wszystkie klucze są generowane z jednego sekretu który łatwo zapisać (ale tylko w momencie generowania) – 24 prostych angielski słów.
Nie jest wymagane specjalne wsparcie po stronie serwera SSH, z jego perspektywy widzi on zwykły klucz SSH (Trezor generuje osobny klucz dla każdego serwera).
to jak lecimy po bandzie https://hackaday.io/project/3555-zamek-the-offline-pocket-password-manager
Mam YubiKey 4, kupiony z myślą o TrueCrypt.
O SSH też myślałem i zabieram się za czytanie…
Czy YubiKey NEO Manager ma otwarty kod źródłowy?
W jaki sposób mogę zalogować się do SSH z komórki używając tego klucza?
Czy klucz nadaje się też jako portfel bitcoinow?
Widziałem te klucze ostatnio na OLX. Fajna sprawa, może sobie kupię, tylko zastanawiam się jak można wykorzystać w Yubikey NEO NFC?
Nie specjalnie widzę sens używania go w telefonie za każdym razem.
YubiKey 4 od YubiKey NEO różni się tylko tym że ten drugi ma NFC czy coś jeszcze? Którego bardziej warto kupić?
Yubikey4 wspiera klucze RSA 4096 i ECC 384. NEO ma NFC (jak nie używasz z telefonu to zbędne), ale wspiera tylko RSA 2048 i ECC 256.
Jak ktoś używa dłuższych kluczy albo nie potrzebuje NFC to lepiej Yubikey4 (sam posiadam i bardzo się sprawdza). A poza tym Neo nie ma certyfikatu FIPS 140.
A… i polecam zamawiać u producenta na zniżce dla użytkowników githuba (przy yubikey4 to było jakoś z 7-8$ mniej o ile dobrze pamiętam).
Poza tym tańszy o 10$ i ma ładniejszy znaczek na przycisku ;).
Swoje klucze kupowałem tutaj http://it4us.pl/yubico-start/
Używam 4 i Fido, na razie do:
– Google, Dropbox, Facebook,
– RDP
– bawiłem się logowaniem do stacji Windows i Mac
Kolega używa też NEO z Androidem i jest bardzo zadowolony. Potrafi odblokować ekran, program pocztowy. Niby nic, ale okazuje się że człowiek z natury leniwy i łatwiej zbliżyć YK niż klepać kod…
Generalnie klucze są super wytrzymałe, proste w konfiguracji i użyciu.
RDP? Jak to zrobić? Bardzo mnie interesuje zabezpieczenie serwerów za pomocą jakiegoś klucza. Próbowałem certyfikatami, ale nie udało mi sie.
Jednak nic z tego nie rozumiem.
Logowanie do serwera po SSH mam po kluczu prywatnym SSH i bez tego YubiKey.
Na video prosi o PIN, ale przecież nie o PIN smart card tu chodzi, więc o co chodzi?
Kiedy wpina się ten klucz, w którym momencie?
Bo jeśli służy tylko do wygenerowanie pary kluczy to… jaki jest tego sens, skoro mogę zrobić to bez tego klucza USB?
Jakoś oporny jestem chyba na wiedzę.
PIN jest do YubiKey i po wpisaniu go YubiKey potwierdza serwerowi, że masz prawo do logowania.
Innymi słowy, chodzi o miejsce przechowania klucza dostępu do serwera. Ponieważ jest na YubiKey, nie da się go ukraść (YubiKey nigdy nie eksportuje klucze, wyłącznie podpisuje wiadomości/odszyfrowuje po podaniu PIN). Przynajmniej ja tak rozumiem, ale jest przekombinowana metoda :)
Aha.
Przez chwilę myślałem, że PIN służy tylko jako Passphrase do odkodowania klucza prywatnego z pliku.
Dobrze napisałeś – pin służy do Smart Card.
PIN jest do smartcard (Yubikey), po wpisaniu karta zaczyna przetwarzać polecenia hosta.
Użycie smartcard to rozbudowanie uwierzytelniania kluczem prywatnym/publicznym w ssh. Z perspektywy serwera z którym się łączysz nie ma różnicy. YK lub inny smart card zabezpiecza klucz przed wykradzeniem, nie da się skopiować na inną maszynę (ale da się go użyć na hoście do którego podłączony jest YK)
Alternatywy dla YK:
* Jako smart card:
** OPEN PGP SMARTCARD – podstawowe rozwiązanie, wada – potrzeba do niej czytnika:
http://en.cryptoshop.com/open-pgp-smartcard-v2.html?SID=d6f3nilnna1obe6d9oqqh438h5&___store=english&___from_store=default
https://www.g10code.com – strona twórcy
** Nitrokey
https://www.nitrokey.com/
* Jako U2F – KEY-ID
https://www.amazon.co.uk/Key-ID-FIDO-U2F-security-key/dp/B01N6XNC01/ref=sr_1_2?ie=UTF8&qid=1499166867&sr=8-2&keywords=keyid
https://www.amazon.co.uk/HyperFIDO-Mini-U2F-Security-Key/dp/B01LZO0WE9/ref=pd_sim_107_1?_encoding=UTF8&psc=1&refRID=H9GB9GMGSHS9W496ZZ89
YK4 Nano można wcisnąć w port USB w laptopie – nie przeszkadza w pracy i przenoszeniu, do laptopa jest o niebo wygodniejszy niż jakikolwiek inny czytnik SC.
Idealnie niestety też nie jest:
* oprogramowanie YK nie lubi więcej niż jednego klucza jednocześnie.
* YK4 obsługuje kilka rozwiązań, ale jednocześnie można używać tylko jednego. U2F używa się tylko w momencie autoryzacji, OATH można i w zasadzie należy zamykać po autoryzacji, ale użycie ssh z kluczem na SC blokuje YK na czas użycia sesji – czyli najczęściej długo..
Testowałem trochę Yubikey4 i nie rozumiem do końca tej fascynacji nim. Jako karta inteligenta ok, jest 2FA, super. Ale poza tym wystarczy zgubić/ukraść klucz – wtedy to nawet ułatwia sprawę.
Tak? A login i hasło nosisz napisane mazakiem na kluczyku?
Skrót myślowy – chodziło mi o inne niż PIV zastosowanie, gdzie wystarczy włożyć kluczyk i nacisnąć przycisk (lub przyłożyć NEO), aby się uwierzytelnić. Brakuje tego drugiego składnika (np. PINu), żeby było to bezpieczniejsze. Chyba, że wiecie jak to zrobić z KeePass’em/Veracrypt, żeby jeszcze wołał o PIN?
Wolę IronKey zdecydowanie. Poza tym to jest rozwiązanie raczej dla geeków, jakoś nie widzę tego, żeby zwykli użyszkodnicy zaczeli tego używać masowo.
Chciałbym żebyście pokazali jak to działa z githubem używając gita z linii komend. Po za tym warto wspomnieć że taki firefox jeszcze nie ma wsparcia dla tych kluczy.
hej hej, taka mała prośba: moglibyście uporządkować tagi we wpisach we współpracy z Arubą? część ma aruba, część ArubaCloud, a może są i inne i ciężko to ogarnąć
Super było by wdrożyć coś takiego do autentykacji z serwerami VPN i usługami RDP w MS Server. Oczywiście w środowisku wielodomenowym. Gdybyście taki poradnik zrobili byłbym gotów nawet za niego zapłacić :)
Szalenie interesujące, tylko że z jakichś powodów u mnie opisana procedura nie działa. Konkretnie: mam Yubikey 4, Windows 10, zainstalowany Yubikey Neo Manager 1.4.0, który widzi mój Yubikey i podaje, że connection mode jest OTP+U2F+CCID, Gpg4Win 2.3.4, które Yubikeya nie widzi – błąd przy próbie użycia gpg –edit-card wygląda tak:
gpg: selecting openpgp failed: No such device
gpg: Karta OpenPGP niedostępna: No such device
Jakieś sugestie?
Odpowiem sam sobie, bo problem rozwiązałem: gpg domyślnie usiłowało korzystać z wbudowanego czytnika SmartCard w moim laptopie, w którym oczywiście żadnej karty nie było. Po jego wyłączeniu w managerze urządzeń wszystko działa bezproblemowo.
Obecnie w Ubuntu 20.04 openssh używane jest w wersji 8.2p1 (która to ma wbudowane wsparcie dla kluczy u2f). Czy będzie aktualizacja artykułu lub nowy? Pozdrawiam
Jak za pomocą yubikey 2fa zabezpieczyć logowanie windows server, rdp? Zgóry dziekuje za odp.