Заставить.ssh/id_rsa прочитать ключ от yubikey

Question

Заставить.ssh/id_rsa прочитать ключ от yubikey

У меня есть ключи SSH внутри Yubikey, я использую gpg-agent.conf с чем-то вроде этого:

pinentry-program /usr/local/bin/pinentry-mac
enable-ssh-support
default-cache-ttl 60
max-cache-ttl 120

Это помогает мне ssh в любой хост, не имея закрытого ключа в файле, как ~/.ssh/id_rsa,

Но в некоторых случаях, например, при использовании таких инструментов, как ssh-vault, ansible-vault и т. Д., Они должны прочитать ключ в файле. ~/.ssh/id_rsa поэтому интересно, есть ли способ позвонить gpg-agent получить ключ при попытке прочитать из ~/.ss/id_rsaили другие способы получения закрытых ключей.

0

ssh yubikey

Источник

nbari 11 мар '19 в 11:55

1 ответ

Решение

Другие вопросы по тегам ssh yubikey

Peter 06 апр '19 в 21:37 2019-04-06 21:37 · Accepted Answer · 2019-04-06 21:37

Нет, нет способа вытащить закрытый ключ из yubikey. Это сделано из соображений безопасности.

Для этого нужно использовать ssh-агентов. Если они могут использовать ssh-agent, очень легко добавить в него свой yubikey. Для OpenSSH это просто:

ssh-add -s <your-pkcs11.so>

Тогда вы можете просто указать свое программное обеспечение на агента SSH.