我一直有这样的问题，当我 SSH 到某个远程主机时，就很难进一步进行 SSH 和 GPG 相关操作，因为远端没有我的私钥，如果直接把私钥拷贝到远程，则非常不安全。 自从有了yubikey之后，这个问题更加严重：私钥在 yubikey 里，根本不可能“拷贝到远程”。 过去我的一些做法是使用 usbip，相当于把 yubikey “挂载”到远程的机器上，这个太 hacky 了，并且配置麻烦，不灵活。 直到我发现了 SSH 已经可以转发 UNIX Domain Socket。 Read more

2012 年我买了自己的第一块 YubiKey, 当时功能还很少，后来康哥在参加 BlackHat 会议 时，参展的 yubico 公司直接送 Yubikey NEO，于是我免费得到 一个。 Yubikey NEO 比早前的 Yubikey 增加了 OpenPGP Smartcard 和 U2F 支持，还可以通过 NFC 获得 Yubico One-Time-Password。唯一遗憾的一点是它的 OpenPGP Smartcard 支持到 2048 位 RSA，而我本人的 GPG 密钥都是 4096 位的，所以为了 使用它我只好增加了一个 2048 位的签名子密钥。 15 年 11 月 Yubico 又推出了 YubiKey 4，增加了 4096 位 RSA 加密支持(貌似只有加密，没有签名)， 加上一些其他原因（后文），时间又正好赶上妹子回国，于是让妹子在 Amazon 买了帮我带了回来。 Read more

昨天从 @yeagle 那里买的 yubikey 终于到货，如果不知道 yubikey 是什么就看看 @yeagle 的广告好了，呵呵。 去年 CSDN 事件现在还令人心有余悸，再加上早年安全意识不足，多个网站都是一套密码，想起来实在后怕，于是立马开始用 Lastpass，给大部份网站都换成随机密码， Google 帐户开两步认证，免得被 Big Brother 翻邮箱什么的。 但是 Google Authenticator 还是太不方便，登录的时候麻烦不少，需要敲完密码再摸出手机打开App然后再敲一遍 verify code，敲慢了还会过期还要再敲一遍，实在是影响 用户体验 。 另一方面，在不少场合下，公然敲密码都是一件比较尴尬的事情，怕别人看到，又不好意思遮遮掩掩什么的，所以只有锻炼手速，然而手速快了又容易敲错，噗呵呵… 还有的时候电脑需要给人用一下，但是又不方便告诉他密码什么的，这就很头疼。这两种情况之前我都是用 pam_usb 解决的，把优盘搞成钥匙用，但是安全性就比较差了。 所以我就买了yubikey，廉价的一次一密方案。 其实主要想写的是 pam_yubico, PAM 是Linux中的用户认证机制， pam_yubico 故名思义就是用 yubikey 进行 Linux 用户认证，login啊 unlock screeen啊，ssh啊什么的。 Arch的 AUR 里已经有了，别的系统自己打个包也不麻烦，不过比较令我奇怪的是从 github 里 clone 下来的代码在运行 automake 的时候竟然会报错说 libykclient.la 不是符合 POSIX 要求的库……没办法只好下载 release 版了。 Read more