Yubikey PIV는 OTP 없이는 작동하지 않습니다.

Yubikey PIV는 OTP 없이는 작동하지 않습니다.

방금 SSH 로그인에 Yubikey를 사용하기 시작했습니다.이것가이드.

잘 작동하지만 Yubikey가 OTP를 수행할 수 있는 경우에만 가능합니다. 몇 번 실수로 키를 눌러 원하지 않는 곳에 임의의 문자열이 뿌려진 후에 PIV만 사용하고 있으므로 OTP를 비활성화할 수 있다고 생각했습니다.

인증서/키가 존재하며 작동 중입니다.

$ ykman --version
YubiKey Manager (ykman) version: 5.1.0
$ cat /etc/fedora-release 
Fedora release 38 (Thirty Eight)
$ ykman piv info
PIV version:              5.4.3
PIN tries remaining:      3/3
Management key algorithm: TDES
CHUID: No data available
CCC:   No data available
Slot 9A (AUTHENTICATION):
  Algorithm:   ECCP256
  Subject DN:  CN=SSH key
  Issuer DN:   CN=SSH key
  Serial:      14009452700000000000
  Fingerprint: 1fa375971a89c6f82f3b73218f717cb1d031fbd61c94965qqqqqqqqqqqqqqqqq
  Not before:  2023-03-10T10:02:12
  Not after:   2024-03-09T10:02:12

OTP를 비활성화할 수 있습니다.

$ ykman config usb --list
OTP
FIDO U2F
FIDO2
OATH
PIV
OpenPGP

$ ykman config usb --disable OTP
USB configuration changes:
  Disable OTP
  The YubiKey will reboot
Proceed? [y/N]: y

$ ykman config usb --list
FIDO U2F
FIDO2
OATH
PIV
OpenPGP

하지만 이 작업을 수행한 후에는 SSH가 더 이상 작동하지 않으며 예상되는 키 기반 로그인 대신 비밀번호를 입력하라는 메시지가 표시됩니다.

OTP를 다시 활성화할 수 있습니다.

$ ykman config usb --enable OTP
USB configuration changes:
  Enable OTP
  The YubiKey will reboot
Proceed? [y/N]: y

그러면 SSH 기능이 복원됩니다.

PIV가 작동하려면 왜 OTP를 활성화해야 합니까?

관련 정보