dovecotとThunderbirdでデュアルキー認証を使用できますか?

dovecotとThunderbirdでデュアルキー認証を使用できますか?

私はdovecot imapサーバーを実行しており、Thunderbirdをフロントエンドとして使用しています。

アクセスはパスワードで保護されており、パスワードが漏洩したログイン試行の多くを見ました。デュアルキー認証に切り替えて、可能であればFIDO2物理キーも使用したいと思います。

可能ですか?

現在、SSH認証にデュアルキーを使用しており、FIDO2物理キーの使用を開始しています。

答え1

使用中のSSHは公開鍵認証専用のようです。公開鍵と秘密鍵という2つの別々の一致キーがある場合でも、それを呼び出します。

メールでこれを行うには、TLSを使用できます。それにもかかわらず、転送中のデータを保護するにはTLSを使用する必要があります。この方法をクライアント証明書認証と呼びます。

TLSは常に証明書の秘密鍵を使用して、要求の一部に署名する必要があるサーバーを認証します。しかし、クライアントが認証するのはあまり一般的ではありませんが、これはあなたが望むものです。これにより、両当事者がお互いを認証します。

通常、証明書を発行するには信頼できる証明機関を作成する必要があります。その後、秘密鍵を直接作成してCA署名証明書を直接発行できます。 Dovecotのドキュメントでは、これを行う方法について説明します。

FIDO2セキュリティキーの場合、それを使用する方法がわかりません。これは、IMAP および POP の認証メカニズムが SASL を使用し、通常 SASL が認証タイプとして FIDO2 をサポートしていないためです。 SSHでも、FIDO2の使用はOpenSSH専用の拡張であり、標準化されていません。

ただし、YubiKeyを排他的に使用する場合は、クライアント証明書のサポートが含まれます。PIVアプリケーションあなたはそれを使用することができます適切なPKCS#11ライブラリを保持クライアント証明書の秘密鍵を保存します。この場合、セキュリティキーに秘密キーが生成され、削除できないため、セキュリティキーがないと認証できません。

関連情報