Fórum Root.cz

Hlavní témata => Hardware => Téma založeno: pedro42 05. 08. 2024, 00:47:49

Název: YubiKey PIV, PKCS11 a SSH s ed25519
Přispěvatel: pedro42 05. 08. 2024, 00:47:49

Krásné ráno,
co jsem zjistil, že Yubikey s firmware 5.7+ podporuje delší RSA i EC a navíc ed25519, hned jsem pro něj běžel, že si přestěhuji ed25519 klíče z disku na Yubikey. S RSA a EC vše funguje OK, ale s ed25519 ne - myslím, že problém je v samotném SSH.
Pokud na Yubikey nahraji RSA (ale i EC) klíče, vše funguje, např.

ssh-keygen -D /usr/local/lib64/libykcs11.so
ssh-rsa AAAA...blah...orvzl Public key for PIV Authentication

Pokud ale mám ed25519 pár (i self-signed cert), tak to nejde:
ssh-keygen -D /usr/local/lib64/libykcs11.so
unknown certificate key type
failed to fetch key
cannot read public key from pkcs11

Obdobné výsledky dostanu i při použití opensc-pkcs11.so

ykman, yubico-piv-tool vše OK. OpenSSH_9.8p1, OpenSSL 1.1.1za  26 Jun 2024

ssh-agent, ssh -I somepkcs11.so ty samé chyby. Přičemž ssh s ed25519 klíči na disku funguje OK

Tak by mě zajímalo, jestli dělám něco blbě, jestli to takto někomu funguje  nebo ed25519 klíče v PKCS11 s SSH prostě nefungujou.?

Díky za každou inspiraci

Název: Re:YubiKey PIV, PKCS11 a SSH s ed25519
Přispěvatel: reddy1975 16. 06. 2026, 22:31:13

Zdravím,

mám taky Yubikey 5NFC a potýkal se s podobným problémem, nicméně jsem po čase zkoušel znovu (DNES) a mám funkční řešení, které mi aspoň funguje na současné distribuci Fedora 44

Potřebný software

Kód: [Vybrat]

yubico-piv-tool
Příprava Yubikey

Kód: [Vybrat]

ykman piv keys generate -a ed25519 9a ed25519.pem            # Vygenerujeme privátní klíč pro algoritmus ED25519
ykman piv certificates generate --subject "Muj klic" 9a ed25519.pem  # Vygenerujeme certifikát
Natažení klíčů z Yubikey

Kód: [Vybrat]

eval "$(ssh-agent -k)"                    # Zabijeme původního agenta
eval "$(ssh-agent -s)"                    # Pak jej vzkřísíme
ssh-add -D                                # Preventivně vytlučeme předchozí načtené klíče
ssh-add -s /usr/lib64/libykcs11.so.2      # Natáhneme klíče z Yubikey (cesta ke knihovně dle linuxové distribuce)
ssh-add -L                                # Zkontrolujeme, zda-li máme klíče přístupné
Konfigurace SSH klienta /etc/ssh/ssh_config.d/99-yubikey.conf

Kód: [Vybrat]

PKCS11Provider /usr/lib64/libykcs11.so.2

Snad to pomůže i dalším uživatelům.

Název: Re:YubiKey PIV, PKCS11 a SSH s ed25519
Přispěvatel: reddy1975 16. 06. 2026, 22:43:33

Citace: reddy1975  16. 06. 2026, 22:31:13

Zdravím,

mám taky Yubikey 5NFC a potýkal se s podobným problémem, nicméně jsem po čase zkoušel znovu (DNES) a mám funkční řešení, které mi aspoň funguje na současné distribuci Fedora 44

Potřebný software

Kód: [Vybrat]

yubico-piv-tool
Příprava Yubikey

Kód: [Vybrat]

ykman piv keys generate -a ed25519 9a ed25519.pem            # Vygenerujeme privátní klíč pro algoritmus ED25519
ykman piv certificates generate --subject "Muj klic" 9a ed25519.pem  # Vygenerujeme certifikát
Natažení klíčů z Yubikey

Kód: [Vybrat]

eval "$(ssh-agent -k)"                    # Zabijeme původního agenta
eval "$(ssh-agent -s)"                    # Pak jej vzkřísíme
ssh-add -D                                # Preventivně vytlučeme předchozí načtené klíče
ssh-add -s /usr/lib64/libykcs11.so.2      # Natáhneme klíče z Yubikey (cesta ke knihovně dle linuxové distribuce)
ssh-add -L                                # Zkontrolujeme, zda-li máme klíče přístupné
Konfigurace SSH klienta /etc/ssh/ssh_config.d/99-yubikey.conf

Kód: [Vybrat]

PKCS11Provider /usr/lib64/libykcs11.so.2

Snad to pomůže i dalším uživatelům.

Zapomněl jsem tam připsat do potřebného software ještě:

Kód: [Vybrat]

yubikey-manager