CanoKey 的 FIDO2/U2F 功能遵循 CTAP2.0 以及 CTAP1/U2F 标准。
支持的特性有:
CanoKey 可以用于很多网站的双因素认证。
出厂时没有设置默认 PIN。如果需要,用户可以在 Windows Hello 或其他应用中设置新的 PIN。
可以通过下面的命令来生成 ssh 使用的私钥。
ssh-keygen -t ecdsa-sk
# or you prefer ed25519
ssh-keygen -t ed25519-sk
更多信息可以参考 这里。
请使用 Yubico 提供的 pam_u2f。常见的应用场景是对 sudo 命令使用 FIDO2/U2F。
可能用到的应用有:
khefin, 用于 LUKS 全盘加密。
systemd v248+,用于 LUKS 全盘加密
受 CTAP 实现中的一处 bug 影响,固件版本小于等于 1.3 的 CanoKey 与 libfido2 1.7.0 不兼容,因此不能用于 systemd-cryptenroll。
受影响的用户请使用 libfido2 1.6.0。