当插入 gpg 智能卡(例如 yubikey)并包含身份验证密钥时,该密钥将自动由 gpg-agent 注册。这意味着该密钥可用于任何 ssh 操作,而无需在文件 ~/.gnupg/sshcontrol 中添加其 keygrip。
来源:代理配置文档(查看 sshcontrol 段落中最后一行文本)
在特定计算机上,我想禁用此默认行为,而不禁用智能卡提供的其他功能。我希望能够通过在 sshcontrol 文件中的 keygrip 前面添加“!”来禁用身份验证密钥,如代理配置文档(查看 sshcontrol 段落内倒数第一行文本)例如:
!BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 0
但它不起作用。BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 是身份验证密钥的 keygrip。
与禁用密钥无关,我还尝试启用来自智能卡的身份验证密钥的确认标志:
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 0 confirm
而且它也不起作用。我真的很想知道 gpg-agent 是否读取了智能卡密钥的 sshcontrol 信息。
我的基础设施设置:
- GnuPG 版本 2.2.12
- 仅 RSA 4096 位密钥