Yubikeyの活用方法検討

[bridge-y]

背景

• Cloudflare のキャンペーンで購入した Yubikey が 2 つある。

• できることや設定方法を調査してから、どう活用するか考えたい。

[bridge-y]

調査メモ

• GitHub - drduh/YubiKey-Guide: Guide to using YubiKey for GPG and SSH

• YubiKeyどれ選ぶ？どれ使う？ – 多要素認証「YubiKey」| SCSK株式会社

• PGP鍵をYubiKeyで管理する手引き - Qiita

• 新しい YubiKey に GPG 副鍵を転送しました

• MacでBitwarden + Yubikeyを使ったSSH接続メモ

• yubikeyを買ったので色々セットアップのメモ

• YubikeyでOpenPGP鍵をセキュアに使う | κeenのHappy Hacκing Blog

• PGP鍵を交換しました + 令和最新版のPGP鍵運用メモ - Lambdaカクテル

• パスワード管理/MFA管理の戦略 | Web Scratch

• Yubikeyが2本になったので、各アカウントのMFAを見直した - gensobunya tech blog

• Yubico 5 NFC and a magnet

  • 磁気の近くでも影響はなさそう

[bridge-y]

活用方法

自分の場合、以下の用途で使いそう。

1. セキュリティキー

   2要素認証のセキュリティキーとして使う。

2. GPG 鍵の保存

   PC には鍵を保存しないことで、盗まれた場合のリスクを下げる。
   保存した GPG 鍵は、Git の署名などに使う。

[bridge-y]

セットアップ

drduh/YubiKey-Guide: Guide to using YubiKey for GPG and SSH

PGP鍵をYubiKeyで管理する手引き - Qiita

YubiKeyの編集をする

$ gpg --edit-card

使えるコマンドを見る

はじめは使えるコマンドはほとんどありません

gpg/card> help

adminモードに入る

adminモードでは管理系のコマンドが使えるようになります

gpg/card> admin

もう一度使えるコマンドを見る

adminモードに入ったので使えるコマンドが増えます

gpg/card> help

• KDF 有効化

  gpg/card> kdf-setup
  # 管理者PINを入力する。

• PINの変更

  gpg/card> passwd
  gpg: OpenPGPカードno. XXXXXを検出
  
  1 - change PIN
  2 - unblock PIN
  3 - change Admin PIN
  4 - set the Reset Code
  Q - quit
  
  あなたの選択は? 1
  PIN changed.
  
  1 - change PIN
  2 - unblock PIN
  3 - change Admin PIN
  4 - set the Reset Code
  Q - quit
  
  あなたの選択は? 3
  PIN changed.
  
  1 - change PIN
  2 - unblock PIN
  3 - change Admin PIN
  4 - set the Reset Code
  Q - quit
  
  あなたの選択は? q

• PIN試行回数の変更

  ykman openpgp access set-retries 5 5 5

• 鍵の転送

  gpg --edit-key <KEYID>
  
  gpg> key 1
  
  sec  ed25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: 無期限       利用法: C
       信用: 究極        有効性: 究極
  ssb* ed25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: <EXPIRESDATE>  利用法: S
  ssb  cv25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: <EXPIRESDATE>  利用法: E
  
  gpg> keytocard
  鍵を保管する場所を選択してください:
     (1) 署名鍵
     (3) 認証鍵
  あなたの選択は? 1
  
  sec  ed25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: 無期限       利用法: C
       信用: 究極        有効性: 究極
  ssb* ed25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: <EXPIRESDATE>  利用法: S
  ssb  cv25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: <EXPIRESDATE>  利用法: E
  
  gpg> key 1
  
  sec  ed25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: 無期限       利用法: C
       信用: 究極        有効性: 究極
  ssb  ed25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: <EXPIRESDATE>  利用法: S
  ssb  cv25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: <EXPIRESDATE>  利用法: E
  
  gpg> key 2
  
  sec  ed25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: 無期限       利用法: C
       信用: 究極        有効性: 究極
  ssb  ed25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: <EXPIRESDATE>  利用法: S
  ssb* cv25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: <EXPIRESDATE>  利用法: E
  
  gpg> keytocard
  鍵を保管する場所を選択してください:
     (2) 暗号化鍵
  あなたの選択は? 2
  
  sec  ed25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: 無期限       利用法: C
       信用: 究極        有効性: 究極
  ssb  ed25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: <EXPIRESDATE>  利用法: S
  ssb* cv25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: <EXPIRESDATE>  利用法: E
  
  gpg> key 2
  
  sec  ed25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: 無期限       利用法: C
       信用: 究極        有効性: 究極
  ssb  ed25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: <EXPIRESDATE>  利用法: S
  ssb  cv25519/<KEYID>
       作成: <CREATEDDATE>  有効期限: <EXPIRESDATE>  利用法: E
  
  # save すると転送した鍵が削除される
  gpg> save

• タッチポリシーの設定
  デフォルトではタッチOffになっているため、On または Cached に変更する。
  以下は Cached に変更するコマンド。

  ykman openpgp keys set-touch aut cached
  ykman openpgp keys set-touch sig cached
  ykman openpgp keys set-touch enc cached

[bridge-y]

SimpleLogin の PGP encription で、Yubikeyに入れた暗号化鍵を使った場合

Android の K-9 Mail + OpenKeychain で、SimpleLogin で暗号化したメールを読み取ってみた。

SimpleLogin | Open source anonymous email service

• SimpleLogin には、Yubikey に入れた暗号化鍵の公開鍵を設定した
• OpenKeychain には、Yubikey のNFCで鍵を取り込んだ

結果：
読み取りに成功。ただし、暗号化したメールにアクセスするたびに NFC で Yubikey をタッチすることを求められた。

利便性の観点から、SimpleLogin の PGP encription にはYubikey に入れた鍵を使わないほうがよさそう。

[bridge-y]

Yubikey をMFAデバイスに登録

以下を参考に各サイトに Yubikey を登録していった。

パスワード管理/MFA管理の戦略 | Web Scratch

Yubikey を登録するサイトの洗い出し

Yubikey を登録するサイトの候補は、既に TOTP を設定しているサイトとした。
これらのサイトの洗い出しには、Bitwarden のモバイルアプリを利用した。
→ 私は TOTP を Vaultwarden (Bitwarden の Rust実装) で管理しており、Bitwarden のモバイルアプリでは TOTP を一覧表示できる機能がある。

[bridge-y]

Yubikey の持ち歩き方

軽く調べてみたところ、家の鍵や車の鍵などと一緒にキーリングにつけて持ち運ぶ方法が出てきた。
この方法は私には合わないので、他の方法を検討した。

出先で Yubikey が必要になる機会はあまりないかもしれないが。

検討結果

クレジットカードサイズの Yubikey ホルダーに入れ、カードウォレットに入れて持ち運ぶ。

実現した構成

MagSafe でスマホにくっつけたかった。
ただ運ぶだけなら、カードウォレットとクレジットカード型の Yubikey ホルダーのみでよい。

• Amazon.co.jp: 【米軍規格・Magsafe対応】TORRAS Google Pixel 7a ケース半透明 指紋防止 マット感 黄変防止 SGS認証 マグセーフ対応 ピクセル 7a カバー Guardian-Mag Series ブラック : 家電＆カメラ
  • Pixel 7a の MagSafe 付きケース
• Fantom M | MagSafe Card Fanning Aluminum Wallet
  • MagSafe 対応のカードウォレット
  • Instagram で 25%OFF クーポンを配っていたので、利用した
• Yubikey 5/5C NFC Card Holder single and Dual Token Options - Etsy Japan
  • Yubikey のクレジットカード型ホルダー
• MAMORIO CARD
  • 紛失対策に Yubikey と一緒にカードウォレットに入れる

他の候補

• Ridge Wallet の MagSafe 化
  • 参考: [https://t.co/lnyRRMVoxv / X](https://twitter.com/edcgarage/status/1704132218023784689)
  • 3D プリントが必要。以下の 3D モデルを 3D プリントサービスでプリントしようとしたが、破損リスクありと言われたため断念した。
  • Ridge Wallet MagSafe Plate by Thames | Download free STL model | Printables.com
  • Ridge Wallet Yubikey 5 NFC by heywarda - Thingiverse
  • Yubico Yubikey5C NFC Credit Card Holder by FHpkt - Thingiverse