YubiKey NFC 保護

Kakuremi では、マスターパスワードに加えて YubiKey のタップを必須にし、HMAC-SHA1 のチャレンジ・レスポンス鍵をデータベースに直接ひも付けることができます。このガイドでは、必要なもの、NFC で鍵をプログラムして登録する方法、そしてバックアップ鍵が欠かせない理由を説明します。

1

要件を確認する

Kakuremi はデータベースの二要素として YubiKey の HMAC-SHA1 チャレンジ・レスポンス に対応しています。NFC 対応の YubiKey 5 シリーズの鍵と、NFC が使える iPhone が必要です。通信は NFC のみで、Lightning や 5Ci コネクタには対応していません。また、FIDO 専用の鍵は利用できません。

2

YubiKey をプログラムする

Yubico Authenticator アプリを使って、YubiKey のスロットを HMAC-SHA1 チャレンジ・レスポンス用にプログラムします。スロット 1 とスロット 2 のどちらでも使えますが、Kakuremi の既定は スロット 2 です。どちらのスロットを選んだか、そして使用したシークレットを控えておいてください。バックアップ鍵を作る際に、どちらも再び必要になります。

3

Kakuremi で鍵を登録する

保管庫を開き、データベース設定 > YubiKey保護 に進みます。鍵をプログラムした方法に合わせて スロット 1 または スロット 2 を選び、YubiKeyを追加 をタップします。プロンプトが表示されたら、鍵を iPhone の上部にかざします。Kakuremi 自体が鍵をこのデータベースにひも付けるため、デスクトップアプリで設定する必要はありません。

YubiKey保護があるデータベースごとの設定画面
4

NFC タップでロック解除する

これ以降、この保管庫のロック解除では、マスターパスワードに加えて NFC タップが求められます。タップのプロンプトは iOS 標準のシステムシートです。表示されたら YubiKey を iPhone の上部にかざして、ロック解除を完了してください。

5

バックアップ鍵を用意する

登録した YubiKey を紛失すると、復旧する手段はありません。鍵がなければデータベースを開けなくなります。同じ HMAC-SHA1 シークレットを持つ 2 本目の YubiKey をプログラムし、バックアップとして安全な場所に保管してください。

注意: バックアップ用の YubiKey は任意ではありません。代わりに YubiKey なしのデータベースのコピーを保持しておけばよい、という考えに頼らないでください。鍵がひも付けられると、同じ HMAC-SHA1 シークレットを持つ鍵だけがロックを解除できます。
6

トラブルシューティング

登録やロック解除に失敗した場合は、エラーコードが原因を示します。プログラムされていないスロットは KR-5007 で失敗し、FIDO 専用の鍵は KR-5006 で拒否されます。正しいスロットを再プログラムするか、対応する鍵を使用してください。NFC が安定しない場合(KR-5003 または KR-5005)は、iPhone を再起動すると改善することがよくあります。

ヒント: Face ID も併用している場合でも、必要なときには YubiKey をタップします。生体認証によるロック解除と YubiKey 保護は、互いを置き換えるのではなく、組み合わせて機能します。