开箱
咕咕咕一年的 CanoKey Pigeon 终于发售了,简单开个箱
包装
赠品
完全装备状态
折腾
macOS catalina 手动添加 id
官方也提供了教程,不过没有 macOS 版(路径不同)
https://docs.canokeys.org/userguide/setup/
直到 Monterey canokey 的 id 才被 macOS 收录(收录后系统才会把这个设备当作智能卡处理)在这之前我们需要手动添加id才能让 gnugpg 之类的识别得到 canokey
- (这个教程对于其它智能卡或者安全密钥都通用)
由于在 macOS Catalina(10.15) 以后系统盘是只读状态(所以在这之前的macOS版本的系统应该可以直接修改 不需要进 Recovery),所以我们需要进 Recovery 来修改系统文件。
需要修改的文件为 /usr/libexec/SmartCardServices/drivers/ifd-ccid.bundle/Contents/Info.plist 如果玩过黑苹果的话我觉得不用我说什么了吧
<key>ifdVendorID</key>
<array>
<string>0x20A0</string>
</array>
<key>ifdProductID</key>
<array>
<string>0x42D4</string>
</array>
<key>ifdFriendlyName</key>
<array>
<string>CanoKey Pigeon</string>
</array>
要在三个项目里面添加 Canokeys 一个是厂商id 还有一个是设备 id 最后是名字
需要这些值可以在 ioreg 里面看 也可以在系统报告/硬件/USB里面看
这里建议在系统里面修改,先把 Info.plist 复制一份出来 然后到 Recovery 里面再 cp 回 /usr/libexec/SmartCardServices/drivers/ifd-ccid.bundle/Contents
修改完成后,GnuPG 应该就可以正常识别了,输入 gpg --card-status 来查看。
fido
不过 NFC 在我的有些设备 ok 有些设备不行,直接读不出来
openpgp
参考这篇
keytocard 前记得先备份好密钥,不然就没法恢复了
做完了后才发现这半年来的 commit 都是拿主密钥签名的
TOTP / HOTP
这个功能我交给了 bitwarden 去做,暂时没有想法。
PIV
感觉使用了后更灵,暂时也没有想法使用。
一学期丢四五个U盘的我真的要搞这个么
恢复出厂设置
看到了这个提示后,就说明需要重置了
如果只是 gpg 区出问题,可以直接
gpg --card-edit/admin/factory-reset(重置密码在 passwd 里设置)
具体重置参考官方文档
总结
总的来说,毕竟是国产小众产品,网上的资料约等于0,不过可以直接借鉴别家的资料:
参考教程们:
- https://github.com/drduh/YubiKey-Guide
- https://github.com/AsterisMono/ftsafe-k9plus-user-guide
- https://editst.com/2022/canokey-guide/
也可以直接问群友 大概
坑点
- Canokeys 各个组件的 PIN 都是不同的,所以一定要记住 PIN,各个 PIN 的重试次数只有三次,三次用完就只能恢复出厂设置了。
- fido 是开箱即用,和其他 keys 一样,恢复出厂设置后 密钥会重新生成,所以 fido 请在其它都安排后再刷(从入门到恢复出厂设置)
- web console 感觉还是有、反人类的,以及默认插入会被系统以及 gpg-agent 之类的接管起来(不知道这样描述对不对)正确操作方式是
kill -9killall gpg-agent
完