Hasła statyczne, czyli przechowywanie haseł w Yubikey.
Czarny klucz yubikey5 jest w stanie przechowywać statyczne hasła – w tym celu musimy pobrać i zainstalować narzędzie YubiKey Personalization Tool. W prawym górnym rogu wyświetlony został napis „No YubiKey inserted”. Aby móc skonfigurować nasze statyczne hasło, musimy włożyć klucz do portu USB. Następnie możemy przejść do zakładki „Static Password”. Teraz wystarczy wybrać opcję „Scan Code”. Zanim przejdziemy do wpisywania hasła, musimy wybrać układ klawiatury. W tym przypadku najlepszym wyborem będzie US Keyboard. Teraz możemy podać dowolne 38-znakowe hasło, które chcemy przechowywać w kluczu. Aby zapisać konfigurację, należy wybrać przycisk „Write Configuration”. Teraz wystarczy dotknąć klucza w odpowiednim miejscu, a hasło zostanie automatycznie uzupełnione w zaznaczonej przez nas lokalizacji. Jeśli potrzebujemy dłuższego i bardziej skomplikowanego hasła, warto wybrać opcję „Advanced” w zakładce „Static Password”. Maksymalna długość naszego hasła wynosi 64 znaki. Aby je wygenerować, wystarczy kliknąć trzy przyciski o nazwie „Generate”. By zapisać wyniki naszych działań, należy wybrać „Write Configuration”.
Inne zastosowania urządzenia YubiKey
Klucz YubiKey może zostać wykorzystany również jako dodatkowe zabezpieczenie naszej bazy haseł KeePassXC. Oprócz tego urządzenie YubiKey można użyć do generowania i przechowywania kluczy z Gpg4Win, służących do podpisywania i szyfrowania plików. Musimy przejść do opcji „Karta inteligentna”, a następnie „Utwórz nowe klucze”. Zostaniemy poproszeni o podanie nazwy, adresu e-mail oraz o wybranie rodzaju szyfrowania. Następnie Kleopatra poprosi nas o podanie PIN. Jego domyślna wartość to 123456, PIN administratora to 12345678. Możemy je zmienić, wystarczy kliknąć przycisk „Zmień PIN administratora”. Następnie należy podać nowy PIN. Ostatnim etapem tworzenia kluczy będzie wpisanie wybranego przez nas hasła. Jeśli chcemy upewnić się, że YubiKey zawiera nasze klucze, wystarczy wpisać polecenie „gpg –card-edit” w terminalu i wyświetlą się szczegóły klucza. Gdybyśmy wpisali to samo polecenie przed wygenerowaniem kluczy w Gpg4Win, to wartość kluczy wynosiłaby „none”.
Logowanie do serwera przy pomocy klucza yubikey jako klucza ssh
Wgrywamy wyeksportowany publiczny klucz PGP na serwer. Na serwerze zawartość wyeksportowanego pliku zapisujemy tymczasowego pliku „key.pgp” w katalogu domowym.
Importujemy wgrany klucz PGP wydając polecenie:
$ gpg --import key.pgp
Sprawdzamy informacje o zaimportowanym kluczu:
$ gpg --list-keys
Jeśli wszystko się zgadza, usuwamy plik ‘key.pgp’:
$ rm key.pgp
Tworzymy katalog .ssh w katalogu domowym:
$ mkdir .ssh $ chmod 700 .ssh
Zaimportowany klucz PGP zamieniamy na klucz SSH:
$ gpgkey2ssh C4F24B88 > .ssh/authorized_keys $ chmod 600 .ssh/authorized_keys
To wszystko po stronie serwera – możemy przetestować uwierzytelnianie za pomocą nowego klucza. Ostatnim krokiem jest konfiguracja klienta ssh.