July 29, 2016

GPG 与 SSH Agent 转发

我一直有这样的问题,当我 SSH 到某个远程主机时,就很难进一步进行 SSH 和 GPG 相关操作,因为远端没有我的私钥,如果直接把私钥拷贝到远程,则非常不安全。 自从有了yubikey之后,这个问题更加严重:私钥在 yubikey 里,根本不可能“拷贝到远程”。 过去我的一些做法是使用 usbip,相当于把 yubikey “挂载”到远程的机器上,这个太 hacky 了,并且配置麻烦,不灵活。 直到我发现了 SSH 已经可以转发 UNIX Domain Socket。 Read more
February 8, 2016

YubiKey 4 简介与配置

2012 年我买了自己的第一块 YubiKey, 当时功能还很少,后来康哥在参加 BlackHat 会议 时,参展的 yubico 公司直接送 Yubikey NEO,于是我免费得到 一个。 Yubikey NEO 比早前的 Yubikey 增加了 OpenPGP Smartcard 和 U2F 支持,还可以通过 NFC 获得 Yubico One-Time-Password。唯一遗憾的一点是它的 OpenPGP Smartcard 支持到 2048 位 RSA,而我本人的 GPG 密钥都是 4096 位的,所以为了 使用它我只好增加了一个 2048 位的签名子密钥。 15 年 11 月 Yubico 又推出了 YubiKey 4,增加了 4096 位 RSA 加密支持(貌似只有加密,没有签名), 加上一些其他原因(后文),时间又正好赶上妹子回国,于是让妹子在 Amazon 买了帮我带了回来。 Read more
May 10, 2012

入手yubikey,一点小心得

昨天从 @yeagle 那里买的 yubikey 终于到货,如果不知道 yubikey 是什么就看看 @yeagle 的广告好了,呵呵。 去年 CSDN 事件现在还令人心有余悸,再加上早年安全意识不足,多个网站都是一套密码,想起来实在后怕,于是立马开始用 Lastpass,给大部份网站都换成随机密码, Google 帐户开两步认证,免得被 Big Brother 翻邮箱什么的。 但是 Google Authenticator 还是太不方便,登录的时候麻烦不少,需要敲完密码再摸出手机打开App然后再敲一遍 verify code,敲慢了还会过期还要再敲一遍,实在是影响 用户体验 。 另一方面,在不少场合下,公然敲密码都是一件比较尴尬的事情,怕别人看到,又不好意思遮遮掩掩什么的,所以只有锻炼手速,然而手速快了又容易敲错,噗呵呵… 还有的时候电脑需要给人用一下,但是又不方便告诉他密码什么的,这就很头疼。这两种情况之前我都是用 pam_usb 解决的,把优盘搞成钥匙用,但是安全性就比较差了。 所以我就买了yubikey,廉价的一次一密方案。 其实主要想写的是 pam_yubico, PAM 是Linux中的用户认证机制, pam_yubico 故名思义就是用 yubikey 进行 Linux 用户认证,login啊 unlock screeen啊,ssh啊什么的。 Arch的 AUR 里已经有了,别的系统自己打个包也不麻烦,不过比较令我奇怪的是从 github 里 clone 下来的代码在运行 automake 的时候竟然会报错说 libykclient.la 不是符合 POSIX 要求的库……没办法只好下载 release 版了。 Read more