将自己的SSH密钥对导入YubiKey 5的PIV和智能卡模块,配合Putty和XShell使用

最新推荐文章于 2024-04-21 08:08:58 发布
最新推荐文章于 2024-04-21 08:08:58 发布
阅读量2.9k 收藏 8
点赞数 1
分类专栏: Linux 文章标签: yubikey XShell PIV SSH Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sbdx/article/details/115271483
版权

前言

YubiKey是什么东西我就不多说,简单的说是一种用来保存私钥的硬件设备,私钥一旦写入就无法读出,比起保存在硬盘里的私钥文件,更安全。前段时间入手一个YubiKey 5 NFC,最近一直在研究怎么用来登录SSH。

需求

我手上已经有了一个SSH密钥对用来管理着几十台Linux服务器,,在Yubikey Mmanager -> PIV中只能重新生成密钥对,并且无法导出私钥,然而我不想更换的我的私钥,与我的需求不符。在入手后的10天的里,每天都在研究怎么搞定这个问题……google都快翻烂了。

解决

1.将PGP密钥写入SmartCard智能卡

我是先用GnuPG4win生成PGP密钥对,然后导入SSH私钥,替换掉PGP密钥Auth子密钥
具体过程就不细说了,可以参考下方的资料。
注意,操作前先备份好密钥,下面步骤会将私钥写入卡上,并且无法导出!!!
大概流程:

c:\>gpg -a --export-secret-keys [user-id] > [user-id].asc
c:\>gpg --edit-key [user-id]
gpg (GnuPG) 2.2.27; Copyright (C) 2021 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

sec  rsa2048/****************
     created: 2021-03-22  expires: never       usage: SC
     trust: ultimate      validity: ultimate
ssb  rsa2048/****************
     created: 2021-03-22  expires: never       usage: E
     card-no: 000615524
ssb  rsa2048/****************
     created: 2021-03-22  expires: never       usage: S
     card-no: 000615524
ssb  rsa2048/****************
     created: 2021-03-24  expires: never       usage: A
     card-no: 000615524
[ultimate] (1). sbdx
最低0.47元/天 解锁文章
sbdx
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
piv-agent:可以与PIV智能卡安全密钥一起使用SSH代理
02-14
PIV代理 可以与PIV智能卡/安全密钥一起使用SSH代理。 piv-agent几乎完全基于思想和密码学。 重要提示:我不是密码专家,并且不对本软件的安全性或其他方面作任何断言。 yubikey-agent有什么问题? 没有! 我只是想更好地了解安全密钥上的PIV小程序如何工作以及Go ssh-agent库的工作方式。 我还添加了一些我希望yubikey-agent缺少的功能,例如: 支持多个安全密钥 支持这些键中的多个插槽 支持多种触摸策略 列出现有SSH密钥的方法 支持从磁盘加载密钥文件 套接字激活(与系统兼容) 结果,在一段时间停用后,自动将交易放到安全密钥上 哲学 该代理不需要任何交互,通常在插入/拔出安全密钥,重新启动笔记本电脑等之后,可以做正确的事情。 受到高度评价: 仅支持椭圆曲线加密 仅支持硬件令牌上的256位EC密钥 仅支持磁盘上的ed25519 ssh
WinCryptSSHAgent:在Windows上无缝使用Yubikey进行SSH身份验证
02-06
WinCrypt SSH代理 介绍 基于Windows CryptoAPI的SSH代理。 该项目允许其他程序访问Windows证书存储区中存储的SSH密钥以进行身份​​验证。 受益于Windows证书管理,该项目本机支持使用Windows用户证书或智能卡(例如Yubikey PIV)进行身份验证。 总览 特征 本机使用智能卡,而无需在Windows中安装任何驱动程序(仅PIV) 支持OpenSSH证书(因此您可以将智能卡与其他OpenSSH证书一起使用) 兼容性好 兼容性 Windows中有许多不同的OpenSSH代理实现。 该项目在Windows中实现了4种流行的协议: Cygwi
Yubikey 安全密钥折腾记(2):使用入门
最新发布
qq_53058639的博客
04-21 939
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。只有三次尝试机会,如果三次都错误,PIN 将会被 block,这时候不能再输入。
Yubikey硬件密钥SSH认证
DRC's CSDN
05-03 5030
手上的Yubikey 5 NFC一直以来都是我2FA的设备之一,这阵子也偶然了解到CanoKey这款产品,也是和Yubikey比较类似,看了不少关于GPG/PGP相关的文章,于是乎想要自己实践一下。 比较让人熟知的Yubikey,或者硬件密钥的用法都是U2F、TOTP/HOTP之类的。我手上的这款Yubikey 5 NFC也支持PIV和OpenPGP标准。值得注意的是,PIV和OpenPGP的密钥存储区不共享,...
YubiKey指南:将YubiKey用于GPG和SSH的指南
02-05
YubiKey指南:将YubiKey用于GPG和SSH的指南
YubiKey-Guide, 使用YubiKey作为GPG和SSH智能卡的指南.zip
09-17
YubiKey-Guide, 使用YubiKey作为GPG和SSH智能卡的指南 这是使用 YubiKey 作为智能卡存储GPG加密和签名密钥的实用指南。还可以为SSH创建认证密钥,并与 gpg代理一起使用。像YubiKey这样存储的密钥比存储在磁盘上的密钥更难,而且方便日常使用使用 YubiKey 4为 De
yubikey-ssh:如何在没有GPG的情况下将Yubikey与OpenSSH一起使用
05-22
Yubikey作为SSH密钥 截至2020-05-09,瓦尔索达( 已发布 。 我现在建议使用此方法,而不要使用PKCS#11,但是,如果您仍然希望使用本机ssh-agent,请继续阅读。 我见过的所有其他指南( 最多)告诉您通过gpg-agent将Yubikey智能卡(PKCS#11)功能与GnuPG一起使用。 停止疯狂! 自5.4版开始,OpenSSH就已支持OpenSC。 这意味着您需要做的就是安装OpenSC库,并告诉SSH使用该库作为您的身份。 先决条件 1.安装OpenSC和YubiKey Manager(仅CLI) 在macOS上 确保您安装的是OpenSC的木桶版本,而不是公式。 桶版本是.pkg,它将共享库安装到ssh-agent可接受的位置。 该公式不适用,因为Homebrew将每个版本安装到其自己的位置,并且不允许将未知路径用作PKCS#11库。 brew
yubikey-agent:yubikey-agent是YubiKeys的无缝ssh-agent
03-19
yubikey代理 yubikey-agent是YubiKeys的无缝ssh-agent。 便于使用。一个命令的设置,一个环境变量,它仅在后台运行。 坚不可摧。允许拔出,Hibernate和挂起。无需重启。 兼容的。提供可与所有服务和服务器一起使用的公钥。 安全的。密钥是在YubiKey上生成的,无法提取。每个会话都需要PIN,每个登录都需要触摸。安装程序负责PUK和管理密钥。 用纯围棋,它是基于和 。 安装 苹果系统 brew install yubikey-agent brew services start yubikey-agent yubikey-agent -setup # generate a new key on the YubiKey 然后~/.zshrc下行添加到~/.zshrc然后重新启动外壳程序。 export SSH_AUTH_SOCK="/usr/local/v
ssh代理服务-windows
06-08
支持ssh透传,代理。转发。 这个是服务端。配置挺简单。需要客户端配合使用
WinCryptSSHAgent v1.1.7
03-29
转存自 https://github.com/buptczq/WinCryptSSHAgent 基于Windows CryptoAPI的SSH代理。 该项目允许其他程序访问Windows证书存储区中存储的SSH密钥以进行身份​​验证。 得益于Windows证书管理,该项目支持使用本地的Windows用户证书或智能卡(例如Yubikey PIV)进行身份验证。 兼容性 Windows中有许多不同的OpenSSH代理实现。该项目在Windows中实现了五种流行的协议: Cygwin UNIX套接字 Windows UNIX套接字(Windows 10 1803或更高版本) 命名管道 Pageant SSH代理协议 基本用法 启动WinCryptSSHAgent 右键单击任务栏上的图标 您可以通过在菜单中选择您感兴趣的项目来获取必要的信息 注意:一些使用Pageant协议的SSH客户端,例如PuttyXShell和Jetbrains,不需要在系统范围内进行任何设置,因此在菜单中看不到Pageant。
Yubico新技术要点梳理
啊啊啊啊2
03-06 1083
Yubico简介Yubico为简单安全的访问计算机、移动设备、服务器和互联网账户设立了新的全球标准。 该公司的核心发明YubiKey在任何数量的IT系统和在线服务中提供强大的硬件保护,简单的触摸。 YUbiHSM是Yubico的超便携硬件安全模块,可保护存储在服务器中的敏感数据。 Yubico是FIDO2和FIDO Universal 2nd Factor开放认证...
linux使用密钥对好还是密码好,个人使用如何选择GnuPG密钥方案?使用密钥还是不用?...
weixin_35797127的博客
04-30 209
(噫,分类第一篇)这些年过去,感觉越来越有必要操心一下安全与签名/认证的问题,所以有心去折腾一下GnuPG(gpg)。目的是想制作好一对(或多对,如果需要的话)密钥,将公钥发布在密钥服务器上,私钥保存在自己的电脑上。前些年我刚接触这些概念的时候,好像还不推荐使用gpg的子密钥机制(因为「和pgp不兼容」)。但到了这一段再去查的时候,发现大量文章都在谈子密钥,尤其是涉及Yubikey之类的设备的时候...
推荐项目:WinCryptSSHAgent - Windows上的安全SSH Agent
gitblog_00096的博客
04-17 354
推荐项目:WinCryptSSHAgent - Windows上的安全SSH Agent 项目地址:https://gitcode.com/buptczq/WinCryptSSHAgent WinCryptSSHAgent 是一个针对Windows用户的开源工具,它是一个加密的SSH Agent,能够帮助你在Windows环境中更安全、便捷地管理SSH密钥。该项目由buptczq 开发,并在Git...
SSH使用FIDO2 USB进行身份验证方式
Linuxprobe18的博客
10-02 1942
导读 在OpenSSH 8.2中,提供了对FIDO2的支持。这样用户就可以硬件USB密钥证书进行用户认证。这样可以实现简单、有效和安全的SSH认证了。本文我们就尝试一下基于FIDO2的SSH认证,前提是需要一个USB key设备。 FIDO2 在硬件认证安全领域WebAuthn和FIDO2的发展,他给我们带来了更便捷安全的方法。WebAuthn和FIDO2旨在通过标准化二者之间的通信方式使用安全设备的变得真正容易。 对每一个人来说这都是一个好消息,现在大家可以使用便捷的USB密钥,无需额.
TrueCrypt、VeraCrypt、CnCrypt三大虚拟磁盘加密以及EDS安卓版
热门推荐
bruce135lee的专栏
05-29 3万+
  TrueCrypt,是一款免费开源的加密软件,同时支持Windows Vista,7/XP, Mac OS X, Linux 等操作系统。TrueCrypt不需要生成任何文件即可在硬盘上建立虚拟磁盘,用户可以按照盘符进行访问,所有虚拟磁盘上的文件都被自动加密,需要通过密码来进行访问。TrueCrypt 提供多种加密算法,包括:AES-256, Blowfish (448-bit key), C...
是否有针对文件加密的终端设备,具体是什么,相应产品名称和品牌放是什么
02-17
是的,有很多针对文件加密的终端设备,其中包括密码管理器,例如KeePass,LastPass,1Password;移动加密驱动器,例如IronKey,Kingston DataTraveler;以及硬件加密设备,例如YubiKey,Hardware Security Module(HSM)等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值