Yubikey PIVはOTPなしでは動作しません。

Yubikey PIVはOTPなしでは動作しません。

私はSSHログインにYubikeyを使い始めました。これガイド。

うまくいきますが、YubikeyがOTPを実行できる場合にのみ可能です。私は何度も誤ってキーを押して不要な場所にランダムな文字列を振りかけた後にPIVのみを使用しているので、OTPを無効にできると思いました。

証明書/キーが存在し、動作しています。

$ ykman --version
YubiKey Manager (ykman) version: 5.1.0
$ cat /etc/fedora-release 
Fedora release 38 (Thirty Eight)
$ ykman piv info
PIV version:              5.4.3
PIN tries remaining:      3/3
Management key algorithm: TDES
CHUID: No data available
CCC:   No data available
Slot 9A (AUTHENTICATION):
  Algorithm:   ECCP256
  Subject DN:  CN=SSH key
  Issuer DN:   CN=SSH key
  Serial:      14009452700000000000
  Fingerprint: 1fa375971a89c6f82f3b73218f717cb1d031fbd61c94965qqqqqqqqqqqqqqqqq
  Not before:  2023-03-10T10:02:12
  Not after:   2024-03-09T10:02:12

OTPを無効にできます。

$ ykman config usb --list
OTP
FIDO U2F
FIDO2
OATH
PIV
OpenPGP

$ ykman config usb --disable OTP
USB configuration changes:
  Disable OTP
  The YubiKey will reboot
Proceed? [y/N]: y

$ ykman config usb --list
FIDO U2F
FIDO2
OATH
PIV
OpenPGP

ただし、これを実行すると、SSHは機能しなくなり、予想されるキーベースのログインではなくパスワードを入力するように求められます。

OTPを再度有効にできます。

$ ykman config usb --enable OTP
USB configuration changes:
  Enable OTP
  The YubiKey will reboot
Proceed? [y/N]: y

これにより、SSH機能が復元されます。

PIVが機能するためになぜOTPを有効にする必要があるのですか?

関連情報