惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

博客园 - 司徒正美
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
腾讯CDC
WordPress大学
WordPress大学
爱范儿
爱范儿
GbyAI
GbyAI
酷 壳 – CoolShell
酷 壳 – CoolShell
博客园 - 聂微东
Google DeepMind News
Google DeepMind News
Recent Announcements
Recent Announcements
Latest news
Latest news
Last Week in AI
Last Week in AI
V2EX - 技术
V2EX - 技术
I
InfoQ
N
News | PayPal Newsroom
SecWiki News
SecWiki News
Microsoft Azure Blog
Microsoft Azure Blog
美团技术团队
T
Troy Hunt's Blog
H
Hacker News: Front Page
S
SegmentFault 最新的问题
TaoSecurity Blog
TaoSecurity Blog
V
Visual Studio Blog
Martin Fowler
Martin Fowler
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
博客园_首页
S
Security @ Cisco Blogs
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
小众软件
小众软件
L
LangChain Blog
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
T
Tor Project blog
L
LINUX DO - 热门话题
月光博客
月光博客
S
Schneier on Security
Y
Y Combinator Blog
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
P
Proofpoint News Feed
Forbes - Security
Forbes - Security
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Hugging Face - Blog
Hugging Face - Blog
A
Arctic Wolf
Webroot Blog
Webroot Blog
博客园 - 叶小钗
F
Fortinet All Blogs
S
Securelist
AI
AI
B
Blog RSS Feed
Security Latest
Security Latest

少数派

派早报:Google 发布 Fitbit Air 等 - 少数派 「新人报到」確認需求,再開始 - 少数派 从 SOLO 独立开发者社区,我看到了越来越多开发者开始做自己的产品 - 少数派 我怎么管理那些"不常做,但总会忘"的生活事项 - 少数派 人形机器人量产元年,数据才是具身智能的“生死线” - 少数派 BuhoLaunchpad 高度还原 Mac 启动台:开发历程与思考 - 少数派 五年陪伴依然不舍,DIY 换壳后让罗技 MX Master 3 继续服役 - 少数派 新玩意 240|少数派的编辑们最近买了啥? - 少数派 一日一技|为什么你应该关闭 iOS 的键盘声音 - 少数派 我做了个插件和 Skills,一键提取任何网站的设计规范 Design.md - 少数派 住在三四线城市的你,该开始录播客了 - 少数派 甘南秘境,大白高国 - 少数派 AI的审美:谁让把我变成川内倫子 - 少数派 返工怎能不烦恼,打工人片单总有一部是你的「嘴替」 - 少数派 为了让「上厕所」更健康,我做了一个小工具 - 少数派 AI + Skill,能够让生成的文章去除 AI 味吗? - 少数派 新玩意|韶音OpenDots ONE 耳夹式耳机 - 少数派 《美满》| 在每一个春天的晚上相爱(362) - 少数派 新玩意|优篮子 PS01 MagSnap 磁吸支架 - 少数派 自我整合手记 | 我开始早睡了:用稳定规则,为自由托底 - 少数派 用龙虾(OpenClaw)两个多月,我最深的12个体会 - 少数派 听歌时间到,12 张你可能错过的 2025 华语乐坛好专辑 - 少数派 承诺能追吗 - 少数派 macOS 26启动台没了? 我做了个不一样的App启动器 - Keboard - 少数派 《四海为家的人》| INTJ对话INTJ(361) - 少数派 你发过的那些黑历史,是时候一次清干净了 - 少数派 新玩意:安安静静玩,越玩越专注:计客密码机 - 少数派 iPad 用户首次体验 Android 平板:vivo Pad6 Pro - 少数派 数据逻辑强 - 少数派 极北行+ | 一路向北,探访日本至北之地 | 001 - 少数派 万字剖析:千问App深度体验报告(2026) - 少数派 在2026年,如何真正防止别人抄袭你的作品 - 少数派 怎么用 50 块搭个 AI 语音助手?我踩了 3 天坑 - 少数派 YeeroAI:让 AI 对话真正成为知识管理的一部分 - 少数派 爬泰山 - 少数派 「旅图显影」 App 更新:这次,我们补上了一点「手感」 - 少数派 假期出门太折磨?我的 23 条经验帮你规划惬意旅行 - 少数派 工作流会变吗 - 少数派 Claude Opus 4.6 怎么用最省钱?我测了 5 种方案 - 少数派 GPT Image 2 让图文并茂不再稀罕 - 少数派 用户侧出发——什么是AI,我要不要学习? - 少数派 找片、转存、整理、播放一条龙!让你的付费网盘值回票价 - 少数派 欢迎试用!日课一问2.0插件 - 少数派 自己做的MDeditor,原本想购买 Typora 试了两次支付不成功,干脆自己做一个 - 少数派 vibe coding了一个 3MB 的小工具,让 ~/Downloads 彻底告别混乱 - 少数派 因为受不了 Mac 的风扇策略,我做了一个风扇控制工具 - 少数派 别只怪模型 - 少数派 Warp 终端的 AI 功能怎么用?我测了一周的体验 - 少数派 AI 写代码老是出 bug?这 5 个配置我后悔没早知道 - 少数派 「新玩意」苹果出相机可能就这样:Sigma BF + 45mm F2.8 DG Contemporary - 少数派 一个面向2030年的AI操作系统是什么样子的:浅谈cola这款有灵魂的Agent - 少数派 别只看写代码 - 少数派 每天解决10个问题,还是一口气攻坚解决400个? - 少数派 AI 交易机器人怎么搭?我用 Claude 跑了一周实盘 - 少数派 Maptoposter Online:把你爱的城市画成艺术海报 - 少数派 Function Calling 怎么用?我测了 3 个模型发现差距真大 - 少数派 Legend Talk:我做了个 AI 圆桌,让 160 位思想家围着你的问题转 - 少数派 如何找到自己的蓝方?在小县城寻找压力测试 - 少数派 语音输入与软件接口|2026年聊AI时,我们都聊些什么(上) - 少数派 混动已经卖爆,纯电又来补刀——钛7闪充版简直“不讲武德” - 少数派 本月玩什么|朋友收藏、识质存在、沙罗周期 - 少数派 为什么要每天坚持输出? - 少数派 Claude API 挂了好几个小时,你的项目有备用方案吗? - 少数派 Function Calling 没你想的复杂——我用它做了个有点用的工具 - 少数派 登录系统立即播放视频或者图片音乐的软件 - 少数派 我为什么创建 FlipHTML5 下载工具 - 少数派 残局没电?多品牌外设电量统一管理软件EasyBluetooth已支持RTSS游戏内显示以及AIDA64 - 少数派 前往通义路的路 - 少数派 太好看了,媲美Sun的个人导航页,NAS部署星云门户 - 少数派 乌黑嘴唇“一键检测”上线了 - 少数派 派早报:Claude AI 接入多个创意软件生态、FILCO 生产方接手品牌等 - 少数派 【更新】BearCLI、Claude 连接器与 MCP 服务器 - 少数派 记了上千条流水,还是看不懂财务?我做了一个让 AI 读懂账本的工作台 - 少数派 MINI R56 升级原厂 Sport 模式 - 少数派 新玩意 | 一棵柠檬树(仿真版) - 少数派 Momenta的“物理AI”野望,需迈过“含摩量”这道关 - 少数派 网页直接投屏控制手机!NAS一键部署PandaScrcpy,流畅丝滑可远程。 - 少数派 众测|邀你一同探索随身 AI 硬件入口 YoooClaw C·ONE - 少数派 2050大会:分享时间是真诚 参会记 - 少数派 iPad 赋能电影创作:国内首部宣纸手绘长片《燃比娃》的幕后故事 - 少数派 AI的审美:我用 8 个大模型给 100 张旅行照片打分 - 少数派 普通人如何破圈?去参加一个本地协会 - 少数派 把极空间的图标全换了,主题DIY全攻略打造你的专属NAS桌面 - 少数派 电子便签墙,帮你实现便签自由 - 少数派 我如何用三个 CLI 工具取代文档创建需求 - 少数派 原来真的有人可以玩一辈子 - 少数派 社区速递 139 | 派友热议三月买了啥、复古单反尼康 Df 体验 - 少数派 06 作品的赏析与评价 - 少数派 TDS REVIEW|索尼 WF-1000XM6 降噪真无线耳机体验 - 少数派 35.98万起售的第二代腾势D9,我看重的不是堆料,而是不凑合 - 少数派 鼠须管 Squirrel 皮肤配置指北 - 少数派 从watch ultra2换到redmi watch6 - 少数派 派早报:阿里巴巴发布视频生成模型 HappyHorse 1.0 等 - 少数派 别迷信1M - 少数派 家人们天塌了!网盘“大封杀”,多个渠道多条路,NAS部署PanHub - 少数派 AI与人勾心斗角!NAS一键部署AI狼人杀,假日休闲必备。 - 少数派 电商必备!Comfyui工作流批量生图插件,一次生成12张!支持Nano banana pro模型 - 少数派 Comfyui工作流配置Gpt-image-2模型教程,0.03/张 - 少数派 OpenClaw第三方APi怎么配置?可使用Gpt-image-2模型 - 少数派 会员社区话题精选 Ep. 103 - 少数派
把 SSH 私钥放进 YubiKey:一套更安全、可迁移的密钥管理方案 - 少数派
2026-03-27 · via 少数派

前言

近期供应链投毒事件频发,针对开发者工作流的攻击也越来越常见。无论是 Apifox、LiteLLM 这类事件,还是其他面向本地开发环境、依赖链和工具链的攻击,防范起来都不容易。一个更稳妥的思路,是尽量不要让私钥以普通文件的形式长期留在本地设备中;如果把私钥放进独立的硬件里,即使本机环境被入侵,也能在一定程度上降低密钥失窃的风险。

YubiKey 是 Yubico 推出的一种硬件安全密钥,通常是一个小型的 USB 设备,也有支持 USB-A、USB-C、NFC 等不同接口和连接方式的型号。它本质上是一块专门用于保存和使用敏感凭据的安全硬件,可以用于网站登录的双重验证,也可以承载 OpenPGP、PIV、FIDO 等类型的密钥材料。

在 SSH 的场景下,使用 YubiKey 的核心价值在于:让私钥尽量不离开硬件设备本身。相比将私钥长期保存在电脑磁盘里,这种方式可以显著降低因主机被入侵、文件被窃取、备份泄露或误拷贝而造成的风险。日常使用时,你仍然可以像平时一样完成 GitHub 认证和服务器登录,但真正的签名操作是在 YubiKey 内部完成的,外部能够获取的只有公钥,而无法直接导出私钥。

本文介绍一套基于 OpenPGP 子钥的实践方案:通过离线保存主密钥、将子钥写入 YubiKey、准备多把备用设备,并结合定期续期与轮换机制,在提升 SSH 密钥安全性的同时,也兼顾多设备使用、硬件损坏后的恢复能力,以及日常认证的可维护性。限于篇幅,本文不会深入介绍过多背景知识,目的是让读者迅速走通流程,把自己的密钥保护起来。

前期准备

首先你需要准备一个 Yubikey 或者类似的硬件安全密钥。建议购买 Yubikey,型号为 Yubikey 5 NFC 和 Yubikey 5c NFC,区别是前者是 USB-A 接口而后者是 USB-C 接口。另一个值得关注的点是固件版本,Yubikey 的固件出厂之后就不可升级,不同固件对加密算法的支持不同,功能特性也有差别,详见Firmware Overview。常见可以购买到的版本一般为 5.4.3(前两年活动有优惠,我也囤了几个) 和 5.7.x(最新版本),在日常使用和本文所使用的功能来说区别不大。

另外,也有一些国产的平替可供选择(例如 CanoKey),但是这类产品的兼容性以及对应的文档、社区支持相对都比较差,不建议选择。

接下来的操作,有观点建议使用虚拟机或者干净安装的系统甚至无网的终端来完成,如果有条件,可以自行折腾。便捷来说,断网操作也可以了。

安装依赖

brew install gnupg yubikey-personalization ykman pinentry-mac wget
$ gpg --edit-card

Reader ...........: Yubico YubiKey OTP FIDO CCID
Application ID ...: [MASKED]
Application type .: OpenPGP
Version ..........: 3.4
Manufacturer .....: Yubico
Serial number ....: [MASKED]
Name of cardholder: [not set]
Language prefs ...: [not set]
Salutation .......:
URL of public key : [not set]
Login data .......: [not set]
Signature PIN ....: not forced
Key attributes ...: rsa2048 rsa2048 rsa2048
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 0 3
Signature counter : 0
KDF setting ......: off
UIF setting ......: Sign=off Decrypt=off Auth=off
Signature key ....: [none]
Encryption key....: [none]
Authentication key: [none]
General key info..: [none]

接下来先设置两个 pin,一个是平常解锁用的 pin,另一个是管理 pin(用于 --edit-card 的)。

gpg/card> admin
Admin commands are allowed

gpg/card> passwd
gpg: OpenPGP card no. [MASKED] detected

1 - change PIN
2 - unblock PIN
3 - change Admin PIN
4 - set the Reset Code
Q - quit

Your selection?

分别输入 1 和 3,根据提示来修改 pin,默认的 pin 为 123456,管理 pin 为 12345678,4 的恢复代码按需求设置(不是必须的)。然后也可以设置一下 name lang url 之类,如果你设置了会在 gpg --card-status 展示对应的信息,这个不是必须的。如果你有多个 Yubikey,重复以上操作即可,当然也可以不在一开始先设置好全部 Yubikey 的信息,在后面换卡的时候再设置也行。

生成密钥

$ gpg --expert --full-generate-key
gpg (GnuPG) 2.4.9; Copyright (C) 2025 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Please select what kind of key you want:
   (1) RSA and RSA
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
   (7) DSA (set your own capabilities)
   (8) RSA (set your own capabilities)
   (9) ECC (sign and encrypt) *default*
  (10) ECC (sign only)
  (11) ECC (set your own capabilities)
  (13) Existing key
  (14) Existing key from card
Your selection? 9
Please select which elliptic curve you want:
   (1) Curve 25519 *default*
   (2) Curve 448
   (3) NIST P-256
   (4) NIST P-384
   (5) NIST P-521
   (6) Brainpool P-256
   (7) Brainpool P-384
   (8) Brainpool P-512
   (9) secp256k1
Your selection? 9
Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0)
Key does not expire at all
Is this correct? (y/N) y

GnuPG needs to construct a user ID to identify your key.

Real name: user
Email address: user@example.com
Comment:
You selected this USER-ID:
    "user <user@example.com>"

Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O

输入 O 回车之后会弹出一个 passphrase 的框,建议设置一个密码。

We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
gpg: /tmp/gpg-5gJAI/trustdb.gpg: trustdb created
gpg: directory '/tmp/gpg-5gJAI/openpgp-revocs.d' created
gpg: revocation certificate stored as '/tmp/gpg-5gJAI/openpgp-revocs.d/EF5D701CAEB2283BB8D10305F43A691EE48B10EC.rev'
public and secret key created and signed.

pub   secp256k1 2026-03-26 [SC]
      EF5D701CAEB2283BB8D10305F43A691EE48B10EC
uid                      user <user@example.com>
sub   secp256k1 2026-03-26 [E]

这时候主密钥就生成好了,这里的 EF5D701CAEB2283BB8D10305F43A691EE48B10EC 就是你的主密钥的指纹,或者叫 key id。

$ PRIMARY_FPR=EF5D701CAEB2283BB8D10305F43A691EE48B10EC

这时候,可以执行一次备份:

$ gpg -a --export-secret-keys "$PRIMARY_FPR" > secret-master-only.asc
$ gpg -a --export "$PRIMARY_FPR" > public-master-only.asc

现在继续生成签名、加密和鉴权使用的子钥。

$ gpg --quick-add-key "$PRIMARY_FPR" ed25519 sign 1y
(会提示你输入 passphrase)
We need to generate a lot of random bytes. It is a good idea to perform some other action (type on the keyboard, move the mouse, utilize the disks) during the prime generation; this gives the random number generator a better chance to gain enough entropy.
$ gpg --quick-add-key "$PRIMARY_FPR" cv25519 encr 1y
$ gpg --quick-add-key "$PRIMARY_FPR" ed25519 auth 1y

执行完后,可以看到新建的带有效期的子钥:

$ gpg --list-keys --with-subkey-fingerprint --keyid-format LONG "$PRIMARY_FPR"
pub   secp256k1/F43A691EE48B10EC 2026-03-26 [SC]
      EF5D701CAEB2283BB8D10305F43A691EE48B10EC
uid                 [ultimate] user <user@example.com>
sub   secp256k1/291AE24AD1CC737D 2026-03-26 [E]
      6CFBDCCF3B478466149FE7E0291AE24AD1CC737D
sub   ed25519/0202CC8049E2FB80 2026-03-26 [S] [expires: 2027-03-26]
      D3C948F3854FF25B339294140202CC8049E2FB80
sub   cv25519/B936CF741340882E 2026-03-26 [E] [expires: 2027-03-26]
      C86408158C50D2C68A0C50D0B936CF741340882E
sub   ed25519/8472C3F353CD9B06 2026-03-26 [A] [expires: 2027-03-26]
      C1B5CC41426C03A0CC0DAFF78472C3F353CD9B06

到这一步我们再备份一次,这次的备份文件需要长期、保密妥善保管,尤其是 secret-full-with-subkeys.asc,最好可以写入一个离线存储里。

$ gpg -a --export-secret-keys "$PRIMARY_FPR" > secret-full-with-subkeys.asc
$ gpg -a --export "$PRIMARY_FPR" > public-full-with-subkeys.asc
$ gpg --export-ownertrust > ownertrust.txt

写入 Yubikey

接下来就是把刚才生成的密钥写入 Yubikey。这里的主要操作有两个,一个是 key n,选中的 key 会用星号标识,再输入一次 key n 取消选择;另一个是 keytocard ,会把私钥写入 Yubikey 对应的槽中。

$ gpg --edit-key "$PRIMARY_FPR"
gpg (GnuPG) 2.4.9; Copyright (C) 2025 g10 Code GmbH
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Secret key is available.

sec  secp256k1/F43A691EE48B10EC
     created: 2026-03-26  expires: never       usage: SC
     trust: ultimate      validity: ultimate
ssb  secp256k1/291AE24AD1CC737D
     created: 2026-03-26  expires: never       usage: E
ssb  ed25519/0202CC8049E2FB80
     created: 2026-03-26  expires: 2027-03-26  usage: S
ssb  cv25519/B936CF741340882E
     created: 2026-03-26  expires: 2027-03-26  usage: E
ssb  ed25519/8472C3F353CD9B06
     created: 2026-03-26  expires: 2027-03-26  usage: A
[ultimate] (1). user <user@example.com>

gpg> key 2

sec  secp256k1/F43A691EE48B10EC
     created: 2026-03-26  expires: never       usage: SC
     trust: ultimate      validity: ultimate
ssb  secp256k1/291AE24AD1CC737D
     created: 2026-03-26  expires: never       usage: E
ssb* ed25519/0202CC8049E2FB80
     created: 2026-03-26  expires: 2027-03-26  usage: S
ssb  cv25519/B936CF741340882E
     created: 2026-03-26  expires: 2027-03-26  usage: E
ssb  ed25519/8472C3F353CD9B06
     created: 2026-03-26  expires: 2027-03-26  usage: A
[ultimate] (1). user <user@example.com>

gpg> keytocard
Please select where to store the key:
   (1) Signature key
   (3) Authentication key
Your selection? 1
(按照提示输入 passphrase 和 admin pin)

在这里依次选择 key、keytocard、反选 key,直到全部 key 都写入成功。

注意,如果你需要把这一份密钥写入多个 Yubikey 中,在全部写完之后,直接按 Ctrl + C 退出,如果在这一步保存了,本地就不会再有私钥,只会留存一个 stub,实际的私钥已经在 Yubikey 里了,是无法导出的。这时候,拔出第一把 Yubikey,插入第二把 Yubikey,前面说的设置 pin 和信息可以在这一步来做,然后重复上面的流程即可,更多的 Yubikey 也同理。当你写到最后一张,确定可以继续了,就执行 save

gpg> save

现在再执行 gpg --card-status,就会看到对应的 key 前面有个 ssb>,代表密钥已经转移到 Yubikey 上;同时对应的签名、加密、鉴权三个 slot 都有对应的 key。

Reader ...........: Yubico YubiKey OTP FIDO CCID
Application ID ...: [masked]
Application type .: OpenPGP
Version ..........: 3.4
Manufacturer .....: Yubico
Serial number ....: [masked]
Name of cardholder: Leslie Leung
Language prefs ...: en
Salutation .......:
URL of public key : https://github.com/leslieleung.gpg
Login data .......: [not set]
Signature PIN ....: not forced
Key attributes ...: ed25519 cv25519 ed25519
Max. PIN lengths .: 127 127 127
PIN retry counter : 3 0 3
Signature counter : 0
KDF setting ......: off
UIF setting ......: Sign=off Decrypt=off Auth=off
Signature key ....: [masked]
      created ....: 2026-03-26 15:53:26
Encryption key....: [masked]
      created ....: 2026-03-26 15:53:45
Authentication key: [masked]
      created ....: 2026-03-26 15:54:00
General key info..: sub  ed25519/1915EA0F3C320F72 2026-03-26 Leslie Leung <lesily9@gmail.com>
ssb>  ed25519/[masked] created: 2026-03-26  expires: 2027-03-26
                                card-no: [masked]
ssb>  cv25519/[masked]  created: 2026-03-26  expires: 2027-03-26
                                card-no: [masked]
ssb>  ed25519/[masked]  created: 2026-03-26  expires: 2027-03-26
                                card-no: [masked]

导出 SSH 密钥

在上面的 key 中,找到 A 字样的 key,这个代表授权,导出对应的 SSH key。

sub   ed25519/8472C3F353CD9B06 2026-03-26 [A] [expires: 2027-03-26]
      C1B5CC41426C03A0CC0DAFF78472C3F353CD9B06
$ gpg --export-ssh-key C1B5CC41426C03A0CC0DAFF78472C3F353CD9B06!
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAINGvVhlehNBnCQMuNp5llACDgGYgtztvM9P66j9ReXkN openpgp:0x53CD9B06

这个公钥就是后续用来进行 SSH 登录的。

配置 SSH

编辑 ~/.gnupg/gpg-agent.conf

enable-ssh-support
default-cache-ttl-ssh 300
max-cache-ttl-ssh 7200

重启 agent。

$ gpgconf --reload gpg-agent

修改 .zshrc

export GPG_TTY=$(tty)
unset SSH_AGENT_PID
if [ "${gnupg_SSH_AUTH_SOCK_by:-0}" -ne $$ ]; then
  export SSH_AUTH_SOCK="$(gpgconf --list-dirs agent-ssh-socket)"
fi
gpg-connect-agent /bye >/dev/null 2>&1

加载配置

$ source ~/.zshrc

GitHub 配置

点击右上角头像 - Settings - SSH and GPG keys,New SSH key,填入刚才生成的公钥,保存。

然后测试一下:

$ ssh -T git@github.com
(弹窗输入 pin)
Hi LeslieLeung! You've successfully authenticated, but GitHub does not provide shell access.

服务器配置

把对应的公钥添加到 ~/.ssh/authorized_keys,然后尝试用 ssh 登录即可。

子钥续期

一般情况下,如果密钥没有被泄露,不需要专门做什么维护。在子钥到期前,给子钥续期,然后导出更新后的公钥,在对应的机器或者网站上更新即可。这一步不需要使用 Yubikey 进行操作。

$ gpg --quick-set-expire <PRIMARY_FPR> 1y '*'
$ gpg -a --export <PRIMARY_FPR>

FAQ

忘记了 PIN

如果忘记了 pin 或者 admin pin,可以对 Yubikey 的 GPG 区进行重置,注意这会丢失里面存储的密钥。

$ ykman openpgp reset

多个 Yubikey 切换时,提示插入卡号 xx 的卡

执行以下操作:

$ gpg-connect-agent "scd serialno" "learn --force" /bye

最后

总的来说,把 SSH 密钥放进 YubiKey,并不是为了追求“更复杂”的配置,而是为了把最关键的私钥从日常使用环境中尽量隔离出来。在面对本机入侵、供应链投毒、误操作和密钥泄露这类现实风险时,这种做法虽然不能解决所有问题,但确实能把攻击者获取私钥的门槛提高很多。

更重要的是,YubiKey 的价值并不只体现在 SSH 上,它还可以承载 OpenPGP 密钥,用来做 GPG 签名,例如给 Git commit、tag、文件甚至邮件签名。签名的意义不只是证明内容是谁发出的,也能证明内容在签名之后没有被篡改;放在 Git 的场景里,它可以帮助团队确认某次提交确实来自你本人,而不是他人伪造了身份信息。

这套方案确实不算轻量,配置起来麻烦,理解成本也不低,但它换来的,是更强的私钥保护、更可信的身份认证,以及在混乱环境里更稳定的安全边界。很多时候,安全并不是让你永远不出事,而是让你在真正出事的时候,仍然能守住最关键的东西。从这个角度看,把 SSH 和签名能力都收敛到 YubiKey 里,或许正是一种值得长期坚持的做法。

References

GitHub - drduh/YubiKey-Guide: Community guide to using YubiKey for GnuPG and SSH - protect secrets with hardware crypto. · GitHub