FIDO2キーを使用してkdewalletをロック解除する方法

FIDO2キーを使用してkdewalletをロック解除する方法

KDEセッションにログインするためにFIDO2キーを使用していますが、KDEウォレットにはパスワードが必要です。私はそれを使用しており、キー、SSHパスワードなどを1か所に保管することが非常に便利であることがわかりました。 FIDO2キーでロックを解除する方法はありますか?それともFIDO2のための代替財布がありますか?

答え1

ウォレットはデフォルトでパスワードで暗号化されているため、FIDO2を使用してkwalletをロック解除することはできません。パスワードのないログインにFIDO2を使用している場合、パスワードは入力されず、ログイン中にkwalletをロック解除できません。

参考までに、GNOME Keyringにも同じ問題があります。以下を参照してください。Solokey(Yubiko)を使用してパスワードなしでログインした後にGnomeキーリングをロック解除するには?

現在、パスワードマネージャとキーリングソフトウェア(GNOME Keyring、KWallet、KeePass、Bitwardenなど)はパスワードを使用してデータベースを暗号化しています。したがって、パスワードのないロック解除はサポートされていません。パスワードのないサポートはすぐにBitwardenに提供される予定であり、他の製品でも提供される可能性があります。 GNOME KeyringとKWalletがこれを実装するまでには少し時間がかかります。

私が収集したもの(私も同じ問題を抱えています)では、Linuxシステムは通常、PAMシステムを使用してログインを処理します。多くのディストリビューションには、ログイン時にシステムキーリング(GNOME Keyring(pam_gnome_keyring)とKWallet())をロック解除するように設定されたPAMモジュールがあります。pam_kwallet5KWalletの場合、kwalletd5ロック解除のためにPAMモジュールが呼び出すデーモンですpam_kwallet5

これGNOMEキーリングのロックを解除する方法上記のリンクでは、YubicoキーとPGPを使用してキーリングをロック解除する方法について説明しています。ただし、FIDO2キーのみがPGP / GPGをサポートしていません。パスワードで暗号化されたキーリングは、FIDO2専用キーを使用してロック解除できません。 FIDO2はパスワードを提供しません。資格情報を確認する方法を提供します。

以下はOPへの答えではありませんが、最善の選択肢は、自動化システムで無人で使用するように設計された秘密マネージャを使用することです。これを使用してログインパスワードを保存し(上にリンクされている投稿など)、ログイン時にスクリプトを実行してkwalletのロックを解除できます。もちろん、このアプローチは秘密管理者の資格情報をどこかに保存する必要があるため、セキュリティリスクを高めます。これにより、セッションにアクセスできる誰かがパスワードを検索できます。

浮上する2つの製品は次のとおりです。

修正する:またはタイプのSSHキーageはサポートされていません。したがって、FIDO2 SSH資格情報を使用してパスワードデータベースを保護することはオプションではありません。ecdsa-sked25519-skpassage

秘密管理者の資格情報をディスクに保存する代わりに、FIDO2 キーを使用できます。暗号化ageツールは受信者としてSSHキーの暗号化をサポートし、OpenSSHはFIDO2セキュリティキーを使用してSSHキーペアの生成をサポートします。資格情報をディスクに保存する代わりに、passageFIDO2キーを使用できます。 (2つのFIDO2キーを暗号化する必要があります。そうしないと、FIDO2キーを紛失するとロックを解除できません。passage)まだテストしていません。

しかし、スクリプトを介してkwalletをロック解除する方法が見つかりませんでした。kwalletd5助けが提供されていません。 KWalletをGNOME KeyringやKeePassXCに置き換えることができるようです。

関連情報