Prompt 3はMac版、iOS版ともにYubikeyベースの認証をサポートしています。

PIV認証

PIV認証を使用する場合、Promptはスロット9に格納されたRSAもしくはECDSA認証鍵をサポートします。この構成ではYubikeyはmacOSではUSBで、iPhoneおよびiPadではlightningもしくはUSBポートで接続する必要があります。

YubiKeyをPIV認証用に設定する(英語).

iOS

Compatibility by connection type: iPhone and iPad
PIV: USB, Lightning, and NFC
FIDO2: Lightning and NFC

iOSの場合、サーバ設定でYubiKeyを使用するよう設定しておく必要があります。新規サーバ設定の作成画面、または既存のサーバ設定の編集画面でパスワード欄の右側にある鍵アイコンをタップし、鍵の一覧から"YubiKey"を選択します。

Yubikeyをデバイスに接続する前にYubikeyを使用するよう設定されたサーバに接続しようとすると、接続を開始する際にキーを挿入するよう求められます。

Insert Yubikey Alert

お使いのYubikeyがPINやタッチ操作を必要とするよう設定されている場合、Promptは認証プロセス中にこれらの項目に関するアラートを表示します。

Touch Yubikey Alert

注意: 現在、iPad Pro第3世代などUSB-CタイプのiOSデバイスは、YubiKey 5CiまたはUSB-Cコネクタを持つ他のタイプのYubikeyを使用する際、サポートが制限されています。iOSはUSB-C経由で接続された外部アクセサリを正式にサポートしていません。Appleが将来、これらのサポートを追加する場合、Prompt 3もサポートできるよう検討してまいります。

Mac

Macでは ~/.ssh/config から PKCS11Provider 鍵を読み込み、OpenSC と YKCS11 をサポートしています。PKCS11Provider エントリが opensc-pkcs11.so もしくは libykcs11.dylib で終わっている場合、Promptは接続用にYubiKeyサポートを読み込みます。

外部SSHエージェントとして yubikey-agent などもmacOS版Promptでは利用可能です。Macアプリは SSH_AUTH_SOCK 環境変数を読み込めないため、これらのエージェントは ~/.ssh/configIdentityAgent を使用し定義する必要があります。

iOSと同じようにPromptから直接Yubikeyを使うようサーバ設定することも可能です。新規サーバ設定の作成画面、または既存のサーバ設定の編集画面でパスワード欄の右側にある鍵アイコンをタップし、鍵の一覧から"YubiKey"を選択します。

Configuring a server with a Yubikey in Prompt for Mac

FIDO2認証

FIDO2認証を使用する場合、PromptはECDSA-SKもしくはEd25519-SK形式の鍵をサポートします。macOSでは現在、USB経由でYubikeyを接続する必要があります。

iOS版PromptはLightningポート経由でデバイスに物理的に接続するだけでなく、NFC経由での鍵の読み取りもサポートされています。Promptの設定の認証鍵から、自動的にLightningポートを使用するかNFCで読み取るか、FIDO2鍵が使用されるたびに尋ねるかを指定できます。

FIDO2鍵設定で認証時にデバイスのPINが必要な場合、Promptは接続プロセス中にアラートを表示します。

サーバ設定ではPIV鍵を使用する場合と同じ方法で、認証にFIDO2鍵を使用するよう設定できます。パスワード欄の右側にある鍵アイコンをタップし、一覧から希望の認証鍵を選択します。

FIDO2鍵の生成と読み込み

macOSではECDSA-SKとEd25519-SK形式の両方でFIDO2鍵の生成をサポートしています。

新規に鍵を生成するには、環境設定 > 認証鍵タブを選択し、YubikeyをUSBでMacに接続します。次に"+“ボタンをクリックし、現れるリストから希望の鍵形式を選択します。鍵の名前や既存デバイスのPIN、その他オプションを必要に応じて入力します。“生成"ボタンをクリック後、現れるダイアログでYubikeyにタッチし、鍵の生成を完了します。

鍵の生成に成功すると認証トークンがデバイスに保存され、Promptの認証鍵リストに秘密鍵ファイルの参照が作成されます。

既にECDSA-SKやEd25519-SK FIDO2鍵が生成されている場合、秘密鍵参照ファイルを読み込むだけで完了します。Prompt環境設定の認証鍵タブを開き、左下のプラスボタンから"認証鍵を読み込む"を選択し、鍵参照ファイルを選択します。

注意: ECDSA-SKおよびEd25519-SK鍵の生成は現在、Prompt for iOSではサポートされていません。