iOS16.3物理密钥与二次验证

苹果在iOS 16.3加入了对物理密钥的支持。 文档在About Security Keys for Apple ID

About Security Keys for Apple ID列举了几个物理密钥

• YubiKey 5C NFC
  • USB type-C口，支持NFC
• YubiKey 5Ci NFC
  • USB type-C口加闪电口，支持NFC
• FEITAN ePass K9 NFC USB-A
  • K9不支持PIV，K9 plus才支持

所以着手研究以下这些物理密钥的用法

YubiKey

YubiKey 产品对比给出了YubiKey产品的大概轮廓

总的来说产品的划分特征是：

• 带指纹识别的标有Bio
• 带NFC的标有NFC
• 小型化的标有Nano
• 每个Key都有接口
  • 默认USB-A
  • C表示USB-C
  • Ci表示USB-C+闪电双接口

其他名词解释：

• FIDO，支持<fidoalliance.org/>规范
• FIPS，支持NIST发布的安全规范

YubiKey和Security Key的区别

• 可能不支持PIV

Windows上的操作

可以在Windows的设置App中修改默认的Yubikey的PIN。

scoop上有这些相应软件：

yubikey-manager-qt          1.2.5   extras
yubikey-personalization-gui 3.1.25  extras
yubikey-piv-manager         1.4.2   extras
yubikey-personalization     1.19.0  main
yubico-piv-tool 2.3.0   main

保存BitLocker的加密证书

Windows 10支持使用CA 的证书、自签名证书、文件加密（EFS）证书作为 BitLocker 智能卡的证书。

在控制面板上，使用Manage file encryption certificates创建一个自签名的证书并导出。此步骤可以设置一个密码。会获得一个有效期为100年的证书。

然后可以在YubiKey Manager上，Applications > PIV > Certificates > Authentication，导入前面生成的证书。

需要输入证书密码和Yubikey的management key（可以使用default）。

其他电脑访问启用智能卡的 BitLocker 磁盘只需要插入 YubiKey 后在设备管理器更新智能卡的驱动包 YubiKey Smart Card Minidriver即可。

然后配置BitLocker，来使用智能卡解锁。要把Yubikey当作智能卡使用的话，需要安装驱动，可以去Smart card drivers and tools下载。（此页面列举了一些不同操作系统下可用的工具）。这边下载的是YubiKey Minidriver for 64-bit systems – Windows Installer。

对于Windows来说，安装

参考：

• 利用 Yubikey 5C 作为 BitLocker 智能卡
• YubiKey功能之PIV
• YubiKey 与 BitLocker

其他

参考链接：

• YubiKey 的若干种玩法
• 详解 Yubikey 5 NFC 的工作原理（整理）
• 将自己的SSH密钥对导入YubiKey 5的PIV和智能卡模块，配合Putty和XShell使用-爱代码爱编程
  • PIV certificate slots
• 加密方案 GNUPG & Yubikey
• 使用BitLocker保护你的系统和数据(YubiKey篇)
• YubiKey功能之PIV
• Yubikey 的使用体验
• Yubikey 5C NFC SFBUY 顺丰转运 全流程体验分享

Yubico文档

https://developers.yubico.com/PIV/Introduction/

（待续）

（此处是底线）