硬件安全密钥 CanoKey 使用小记

又是一个心血来潮，了解了一下硬件安全密钥，最常见的就是 Yubikey 了（好贵呜呜呜），看到国产替代产品 Canokey 两颗的价格还顶不到一块 Yubikey，果断下手来看看怎么个事。

除了 NFC 很弱（我的手机根本用不了，对，是贴上去无论怎么调整都一点反应都没有的那种）以外，CanoKey Canary 的功能基本对标 Yubikey 5c，而且管理上采用了 WebUSB，十分的便利。

主要是支持了 FIDO2 / WebAuthn，OpenPGP 和 PIV，还有 TOTP，基本够用了。配合 Ed25519-SK 来个 SSH 免密登录（是真的只要插上 key 导出来私钥存根就能用的那种，Xshell 都可以），再替代一手 Authenticator 应用。负担嘛无非是要随身带多一个东西，就像真的钥匙一样。

来点有用的命令：

ssh-keygen -t ed25519-sk -O resident -O application=ssh:YourName # -O verify (to enforce entering PIN)
ssh-add -K # This may need admin/root perm to recover handle and public key from SK into your PC
fido2-token -L # List all SK
fido2-token -L -r <device> # See what's in it

顺便，FIDO 也有两个版本，版本一是非驻留式的，密钥在这里当作一个证明函数；FIDO2 允许驻留私钥，也向后兼容。这也是有些网站明明添加了 PassKey 之后也不能在 SK 上面找到凭据的原因。