LinuxでYubicoを使ってInternet Identityを新規登録
以下の製品を使ってInternet Identityを新規登録する
Yubico FIDOセキュリティキー NFC – FIDO U2F/FIDO2/USB-A ポート/NFC/2段階認証/高耐久性/耐衝撃性/防水 Keychain
Linux側の準備
このセキュリティキーは、USB-AでLinuxマシンに接続するのだが、そのまま接続しても、キーのランプが一度光るだけで何も起こらない。当然、ブラウザでInternet Identityを新規登録しようとしてもできない。
まず、このキーが使えるようにLinux側の準備をしないといけないのだが、これは以下の動画を参考にした。
まず、必要なモジュールをインストールする
$ sudo apt update && sudo apt dist-upgrade
$ sudo apt install libpam-u2f
専用のフォルダを作成し、そのフォルダに移る。
$ mkdir -p ~/.config/yubico
$ cd ~/.config/yubico
先程インストールしたコマンドを使い、キーからの情報を得る(何のために必要なのか今のところ不明)。ただし、キーを接続していないとエラーになる。
$ pamu2fcfg > u2f_keys
No U2F device available, please insert one now, you have 5 seconds
キーを接続して、再度同じコマンドを叩く。
$ pamu2fcfg > u2f_keys
キーが点滅する。ここでキーにタッチしないといけないのだが、放置すると以下のエラー。
error: fido_dev_make_cred (58) FIDO_ERR_ACTION_TIMEOUT
キーを接続したまま、再度同じコマンドを叩く。キーが点滅する。
$ pamu2fcfg > u2f_keys
数秒以内にキーにタッチする。これで登録はOK。
USBポートを変更した場合
キーを挿入するUSBポートを変更した場合には、再度キー登録が必要になるようだ。
$ pamu2fcfg > u2f_keys
Internet Identityを登録する。
Braveを使っているのだが、一度ブラウザを再起動しておく。そうでないと認識できない模様。
この表示が出たら、点滅しているキーにタッチする。キーがLinux上で認識されてなかったり、上記のインストール後にブラウザを再起動していないと、キーは点滅しないので注意。
普通のCAPTCHA。
これがIDになるので、メモしておかないといけない。これは全く秘密にしておく必要はないのだが、一応伏せてある。
こんな表示になる。
「Add new Passkey」というのは、複数のキーを持っている場合に、追加して登録するためのもののようだ。一つのキーだけしかなく、無くしてしまったら、そりゃ困るだろう。しかし、とりあえず一個しかないのでやれない。やるべきことは、「Recovery Phrase」だと思われる。これをクリックする。
こんなのが出てくるので、COPYを押してどこかに保存しておく。
こんな問題が出されるので解かないといけない。
解くと、めでたく「Recovery Phrase」が登録される。
保存しておくべきもの
物理的なキーと、IDの数字列、Recovery Phraseの三つを保存しておけば良いだろう。ただし、ID数字列はRecovery Phraseにも含まれている。