Krásné ráno,
co jsem zjistil, že Yubikey s firmware 5.7+ podporuje delší RSA i EC a navíc ed25519, hned jsem pro něj běžel, že si přestěhuji ed25519 klíče z disku na Yubikey. S RSA a EC vše funguje OK, ale s ed25519 ne - myslím, že problém je v samotném SSH.
Pokud na Yubikey nahraji RSA (ale i EC) klíče, vše funguje, např.
ssh-keygen -D /usr/local/lib64/libykcs11.so
ssh-rsa AAAA...blah...orvzl Public key for PIV Authentication
Pokud ale mám ed25519 pár (i self-signed cert), tak to nejde:
ssh-keygen -D /usr/local/lib64/libykcs11.so
unknown certificate key type
failed to fetch key
cannot read public key from pkcs11
Obdobné výsledky dostanu i při použití opensc-pkcs11.so
ykman, yubico-piv-tool vše OK. OpenSSH_9.8p1, OpenSSL 1.1.1za 26 Jun 2024
ssh-agent, ssh -I somepkcs11.so ty samé chyby. Přičemž ssh s ed25519 klíči na disku funguje OK
Tak by mě zajímalo, jestli dělám něco blbě, jestli to takto někomu funguje nebo ed25519 klíče v PKCS11 s SSH prostě nefungujou.?
Díky za každou inspiraci
0 Odpovědí
1522 Zhlédnutí