新年第一天，去年年底买的 Canokey Pigeon 到货了。不过东西还在学校的菜鸟驿站，所以开箱就只能暂时咕咕咕咕了。

1 月 3 日更新：

终于拿到了鸽了好久的 Canokeys。这里对其做个简单的评测，不会详细介绍每一个功能的使用细节，大部分使用方法可以参考网上的 Yubikeys 指南。

如果你还不知道 Yubikey 、Canokey 或类似的硬件密钥是什么，可以先通过 Zenithal H 同学的博文 『从 Ant Design GitHub 失窃案谈开去：国内有可用的2FA吗』和 公开演讲 『CanoKey 应用、代码与实现』来对其进行了解。

OpenPGP

这是我目前最常用的，用于给我的提交签名，以及保存我的 ssh 私钥。目前 Canokey 准备做备用 key ，所以需要把我的 GPG 密钥导进去。

那么我们先把现在的 ~/.gnupg 备份一遍，然后断网，gpg --import 导入之前雪藏的私钥。然后 keytocard 将私钥写卡。

但是这里遇到一个问题，gpg 会记录本地的私钥和智能卡卡号的关系，而且只能记录一个卡。这样就会出现一个现象，我已经插入一张卡，但系统提示我插另一张卡。

这时候可以用这个命令来解决：

gpg-connect-agent "scd serialno" "learn --force" /bye

至于 Android 手机上的 OpenKeyChain，我插上去就能直接使用了。

FIDO2

用在笔记本的 systemd-cryptenroll 解锁全盘加密，台式机的 systemd-homed 解锁 /home 和 Github、Google 等账号的 WebAuthn/FIDO2 。上述功能 Yubikey 和 Canokey 都能正常使用。

不过 systemd 暂时不太给力，暂时不能注册多个 FIDO2 设备¹，也不能在启动的时候找不到密钥时自动回落到输入密码²（要输入密码解锁只能去掉 fido2 的启动参数，所以只能预留了一个启动项）。自动回落到输入密码在 systemd 250 已得到了支持，可以参考这里 的方案。

OATH (TOTP)

电脑上使用 Yubico Authenticator 就可以，只需要在设置中打开 Custom reader 来支持 Canokey。

Android 手机上由于 USB 存在 ID 白名单，会直接忽略 Canokey，群友 @xierch 提供了一个 patch 加上了 Canokey 的支持，需要在 yubioath-android 当前 master 分支的代码基础上修改后自己编译。

编译出来的是可以正常使用 USB 读写 TOTP 的。群友 @SparrowHe 提供了一份编译好的版本 。

NDEF

虽然我暂时还没有这个的使用场景，但在 NFC 可用后也顺手测试了一下这个功能，NFC Tools 可以正常读写 NDEF 信息。

总结

目前已经测试过的功能以及使用的软件如下：

由于我暂时没有 PIV 的使用场景，因此该功能暂时没有进行测试。

对了，我好像也没有测过 factory-reset ？

总得来说，这款 Canokey Pigeon 几乎能覆盖我目前手上的 Yubikey 5 NFC 的使用场景了，（都没有 Type-C 支持，需要另外购买转接头），还有少数坑需要填。

NFC

受芯片功耗的限制，CanoKey Pigeon 的 NFC 性能和 YubiKey 确实无法相比。

之前使用 Yubikey 的 NFC 基本没有遇到任何障碍，但是这个 Canokey 我至今没有成功使用，可能是我的姿势有点问题。

不过在群友给了一串神秘代码 后修好了，大家可以参考一下官方对 NFC 的使用建议 和修复指南 。

“找到 G 点后的 NFC 真的很容易识别”

—— 某不愿透露姓名的群友

Web Console

大部分设置都可以在 Web Console 上管理。需要注意的是 Firefox 不支持 WebUSB³，所以可能需要额外装一个 Chromium。

如果你和我一样用的 Linux，那么很大概率会遇到 device busy 的报错，那是因为 gpg-agent 和它打架了。这时候你只要 killall gpg-agent 就好了。

Web Console 目前不支持 OATH (TOTP/HOTP) 的增删，需要使用其他工具写入。

使用 ykman 命令来操作，需要 -r canokey 参数来指定 reader。OpenPGP 相关设置也可以直接用 gpg --edit-card 来操作。