LinuxでYubicoを使ってInternet Identityを新規登録

2024年1月1日

以下の製品を使ってInternet Identityを新規登録する

Yubico FIDOセキュリティキー NFC – FIDO U2F/FIDO2/USB-A ポート/NFC/2段階認証/高耐久性/耐衝撃性/防水 Keychain

Linux側の準備

このセキュリティキーは、USB-AでLinuxマシンに接続するのだが、そのまま接続しても、キーのランプが一度光るだけで何も起こらない。当然、ブラウザでInternet Identityを新規登録しようとしてもできない。

まず、このキーが使えるようにLinux側の準備をしないといけないのだが、これは以下の動画を参考にした。

まず、必要なモジュールをインストールする

$ sudo apt update && sudo apt dist-upgrade
$ sudo apt install libpam-u2f

専用のフォルダを作成し、そのフォルダに移る。

$ mkdir -p ~/.config/yubico
$ cd ~/.config/yubico

先程インストールしたコマンドを使い、キーからの情報を得る(何のために必要なのか今のところ不明)。ただし、キーを接続していないとエラーになる。

$ pamu2fcfg > u2f_keys
No U2F device available, please insert one now, you have  5 seconds

キーを接続して、再度同じコマンドを叩く。

$ pamu2fcfg > u2f_keys

キーが点滅する。ここでキーにタッチしないといけないのだが、放置すると以下のエラー。

error: fido_dev_make_cred (58) FIDO_ERR_ACTION_TIMEOUT

キーを接続したまま、再度同じコマンドを叩く。キーが点滅する。

$ pamu2fcfg > u2f_keys

数秒以内にキーにタッチする。これで登録はOK。

USBポートを変更した場合

キーを挿入するUSBポートを変更した場合には、再度キー登録が必要になるようだ。

$ pamu2fcfg > u2f_keys

Internet Identityを登録する。

Braveを使っているのだが、一度ブラウザを再起動しておく。そうでないと認識できない模様。

Internet Identityのページに行く

この表示が出たら、点滅しているキーにタッチする。キーがLinux上で認識されてなかったり、上記のインストール後にブラウザを再起動していないと、キーは点滅しないので注意。

普通のCAPTCHA。

これがIDになるので、メモしておかないといけない。これは全く秘密にしておく必要はないのだが、一応伏せてある。

こんな表示になる。

「Add new Passkey」というのは、複数のキーを持っている場合に、追加して登録するためのもののようだ。一つのキーだけしかなく、無くしてしまったら、そりゃ困るだろう。しかし、とりあえず一個しかないのでやれない。やるべきことは、「Recovery Phrase」だと思われる。これをクリックする。

こんなのが出てくるので、COPYを押してどこかに保存しておく。

こんな問題が出されるので解かないといけない。

解くと、めでたく「Recovery Phrase」が登録される。

保存しておくべきもの

物理的なキーと、IDの数字列、Recovery Phraseの三つを保存しておけば良いだろう。ただし、ID数字列はRecovery Phraseにも含まれている。

未分類

Posted by ysugimura