基于SSH密钥的Nitrokey认证

Question

因此，我对更安全的密钥管理形式相当陌生，我已经习惯于将我的密钥存储在计算机上的密钥文件中。最近，我想看看是否可以使用存储在我的Nitrokey上的密钥来设置对我的see服务器的SSH身份验证，从而使我的密钥链在这个过程中更加可移植和安全。

我几乎一步一步地跟踪本指南，但注意到最后，我根本不需要将我的Nitrokey插入到我的计算机中才能成功地进行身份验证。

我有一种感觉，在导出我的密钥时，它以某种方式添加到我的本地密钥存储中，使得Nitrokey变得多余，但我对确切的工作方式还不太了解。

谁能帮我确保我只能把SSH插入我的网络服务器，而我的硝基钥匙被插入到我的电脑中？

备注：

• 操作系统: OSX El Capitan 10.11.4
• Nitrokey
• 即使Nitrokey被插入到我的计算机中，它也不要求我在尝试SSH时输入一个引脚。
• OpenSC 0.15.0
• gpg 2.0.28

我尝试从~/..ssh删除以下内容：

id.rsa
private_key.pem

再次尝试将SSH发送到我的web服务器后，我得到：

拒绝许可(公共密钥，gssapi-keyex，gssapi-带麦克风)。

我假设这表示SSH会话找不到我的密钥来进行身份验证，我通过运行以下命令检查我的计算机是否检测到了Nitrokey：

gpg --卡-状态

收到卡片信息就像我所期望的那样。

Answer 1

我有一种感觉，在导出我的密钥时，它以某种方式被添加到我的本地密钥存储中，使得NitroKey变得多余，但是我对确切的工作方式还不太了解。

如果这样做得当，就不可能做到这一点。如果私钥存储在“智能卡”中，则不应将其导出，对于每个私钥操作，您都需要该卡。

我没有NitroKey，也不了解硝基应用程序的内部结构，所以很少的命令会带来更多的信息：

• 使用卡上存储的密钥发布连接的devbug日志：ssh -vvv server
• ssh-add -L看起来怎么样？
• 运行pkcs11-tool --login -O --module /path/to/usr/lib64/pkcs11/opensc-pkcs11.so时，您能看到“智能卡”中的密钥吗？