Ssh

はじめに みなさんは、GPG 鍵やSSH 鍵はどのように管理していますか？ Dropbox等のクラウドストレージに秘密鍵を保存している 全てのPC に同じ鍵をコピーして使い回している PCごとに別々の鍵を作った結果、どの鍵がどのPCに入っているか把握できていない これに当てはまる人、 弱いって。脆弱だって。 図1: ガチで危機感持った方が良いと思う かくいう私も、passやsopsで必要になってくるGPGや、 他のマシンの操作やコーヒーの注文に必須のSSHの鍵について、 デバイスが増えるにつれて以下の問題に悩んでいました。 鍵管理の限界: 4台のPC、クラウドサーバー、研究室のサーバーを使い分けており、マシンごとに鍵を作るのは管理状況を覚えているのが辛いし、同じ秘密鍵を使い回すのはセキュリティ的に不安。 2段階認証の苦痛: macOSならPasskeyが使えますが、LinuxではGitHub Mobileを開くためにiPhoneを手に取る必要があり、これが地味にダルい (最近 こんなのもあるらしいけど) これらをYubiKeyの導入で解決した記録です。 できるようになったこと 一元管理: YubiKey内にGPG鍵（署名・復号・認証）を閉じ込め、PC側には秘密鍵を置かない運用へ。 2FAの突破: GitHubのログイン時、YubiKeyのボタンをポンと触るだけで認証完了。 リモートでのシームレスな認証: 手元のPCにYubiKeyを挿しておけば、SSH先のサーバー（自宅のMac miniや研究室のPC）上でも、手元のYubiKeyを使って git fetch や commit の署名の認証が可能（Agent Forwarding）。 やったこと YubiKey の購入 日本の代理店のサイトやAmazon でも購入可能ですが、自分が欲しかった YubiKey 5C Nano が売っていなかったため、本家のYubico Store から直接購入しました。 図2: YubiKey 3本とストラップで送料込み32,154円でした なぜ3本も買ったのか？ ①自宅のデスクトップ用、②外出用のノートPC用、③携帯用の予備、の3本体制にするためです。 外出先でYubiKeyを忘れて数時間、場合によっては数日間作業できなくなるリスクを鑑みれば、追加の1万円は安い! ...