Yubikey 5 NFC 同 GPG 密钥的使用

我有两个 Yubikey,一个是功能有限的 Yubico Security Key NFC,和 Yubikey 5 NFC,我使用了两个的 U2F 功能,用来登录那些支持此协议的二步登录。

而对于 Yubikey 5 NFC,因为它还能当做一个 smart card 使用。

于是在生成了 GPG 主密钥,和具有三个单独用处的三个子密钥之后,我需要把子密钥的私钥存入到 Yubikey 中。

前提

这只是我的使用环境。在 Windows 10 上安装了 Git Bash,它所自带的 gpg 命令。目前的版本是 2.2.29.


david@DESKTOP-David MINGW64 ~
$ gpg --version
gpg (GnuPG) 2.2.29-unknown
libgcrypt 1.9.3-unknown
Copyright (C) 2021 Free Software Foundation, Inc.
License GNU GPL-3.0-or-later 
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: /c/Users/david/.gnupg
Supported algorithms:
Pubkey: RSA, ELG, DSA, ECDH, ECDSA, EDDSA
Cipher: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH,
        CAMELLIA128, CAMELLIA192, CAMELLIA256
Hash: SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Compression: Uncompressed, ZIP, ZLIB, BZIP2

在系统中,已经有了一个主密钥具有 certify 功能,三个子密钥分别有 Sign,Encrypt,Auth 功能。而主密钥的私钥已经藏好了,不再操作系统中了。

密钥的过期时间

主密钥我给的是10年。
子密钥是2年。


密钥的算法

主密钥是 RSA 4096
子密钥是 Curve 25519

GPG 密钥的几个问题

在自问自答之前,先说一下 GPG 的用处。

GPG 密钥,就是用来对数据进行加密,解密的。为了不被中间人获取信息内容而设计的。

在使用 GPG 之前有几个问题要理一下。

需要生成多少对密钥?

通常是一对主密钥,具有认证(Certify)功能。

三对子密钥,分别具有签名(sign)功能,加密(Encrypt)功能,身份验证(Authenticate)功能。

平时使用,就只使用子密钥。主密钥只用来生成和吊销子密钥。子密钥可以放到 Yubikey 中。

如何选择加密算法?

通常使用的加密算法有很多,主要就是 RSA 和 ECC两类。

最为常用的就是 RSA 4096 和 curve 25519,这两个目前我用的 Yubikey 5 NFC 已经支持(从 5.2.3 固件开始就支持ECC算法了)

如果可能的话,就选用 curve25519,更快更安全。目前来看 RSA 4096也已经是很安全了。也有的看法是,RSA 4096更加安全一点。

根据 Sectigostore 的一篇文章,来看,差不多。

rsa-vs-ecc.jpg它的结论就是能用 ECC 就用 ECC,如果考虑兼容性,那么 RSA 也很好。

聊聊 Google Account 的高级保护计划

前两天,才收到购买的 Yubikey,等了一天,稍微学习了一下 Yubikey 的可能玩法,才加入了 Google 账号的的高级保护几乎, Advanced Protection。

根据 Google 的说明,这个高级保护计划,是它目前,最强大的账号安全机制。虽然是免费的,并不推荐给所有的人使用。

我们建议遭受定向在线攻击的风险较高的任何用户都注册高级保护计划。这些用户包括记者、活动家、政治运动工作者、商界领袖、IT 管理员以及 Google 帐号中包含有价值的文件或敏感信息的任何其他用户。

  • 因为开启了高级保护计划之后,每次登录一个新设备,都要用到物理安全密钥,这里我用的是 Yubikey。
  • 阅读电子邮件,我用 Gmail。要使用 iOS 上的邮件,需要创建验证码
  • 将不能把自己的 Google 账号用于某些需要访问敏感数据的应用和服务。

高级保护计划同两步验证的区别

因为两步验证我早就使用了,就是用的验证码。那么这两者有什么区别呢?

在登录的时候,输入用户名密码登录后,两步验证和高级保护计划都需要执行一个第二步骤来验证身份。

两步验证的第二个步骤有三种:

  • 发送到手机的提示信息
  • 验证码
  • 安全密钥

开启了高级保护计划后,第二个步骤始终是安全密钥。

此外,"高级保护"功能还会限制第三方应用对您数据的访问,对可疑下载内容进行更严格的检查,并增强帐号恢复的安全性,以防止未经授权的访问。这个部分是会有些困扰,也会有些不同,比如我手机上的 Google Play,就可以看到一个提示。

google-play-protect.jpg所以手机上的 Android 应用也会受到保护,基本上是不能从第三方来源下载新应用安装。

收到两个Yubikeys

很快,收到了两个 Yubikeys,一个是 Yubikey 5 NFC,另一个是 Yubico 的 Security Key NFC,支持的功能少些。

都是在 Amazon 上订的,一起来的,价格是 $88,加税之后是 $92.40。

two-yubikeys.jpg两个密钥样子很相似,材质也近似,只是颜色不同,然后在中间的 logo 有些不同,但其实有很大的不同,不是同一代。

Yubikey 5 NFC

所支持的特色有:

  • WebAuthn
  • FIDO2 CTAP1
  • FIDO2 CTAP2
  • Universal 2nd Factor (U2F)
  • Smart Card (PIV-compatible)
  • Yubico OTPOATH - HOTP (Event)
  • OATH - TOTP (Time)
  • OpenPGP
  • Secure Static Passwords

这是目前最新的物理密钥,支持最多的功能。

Yubikey 简单情况

因为前些日子,就是十一月六日,收到 Google 的 email 。说我的账号受到有目标的攻击,邀请我加入其高级保护计划。这是首次收到类似邮件,于是就点击链接,顺着其指引,点击,到达了一个购买硬件设备的页面。

google-protect-account-email.jpg

Google 建议的 security Keys。

google-security-keys.jpg这个硬件是 Titan Security Key,是 Google 同大陆的飞天公司合作生产的(如果我没有记错的话)。

然后又有些文章是介绍 Yubico 出品的 Yubikey 的。稍作了一些研究,觉得还是 Yubikey 更合我心。

tweet-yubikey.jpg刚好昨天看到推友买了 Yubikey 5C NFC,就顺便问问,有没有什么介绍的应用。基本上同我之前学习了解的差不多。

Google AdSense 的广告建议

经常会收到 Google 的 email,提供一些 AdSense 广告投放的建议。
今天的 Email 说的是如何优化并提高收入的一些小措施。

第一个就是 AutoAds,自动广告。

自动广告的定制化

之前,开启了自动广告后,Google 会抓取页面,分析页面,然后在它认为合适的地方插入广告,它也会决定使用的广告大小,而以后了定制这个功能后,发布者可以在预览页面,选择广告的样式,在某些位置或页面去掉不想显示的广告,并且控制在页面所显示的广告个数。

这些操作,都无需代码的改变,只需要在 AdSense 的后台操作就行。

从 Google 的统计来看,使用自动广告的会比其它的广告单元增加 21%的收入。

第二个是启用锚定广告

锚定广告是这样的一种类型,它显示在屏幕的边缘,用户可以很容易的将其关闭。主要在移动设备上投放,但也可以在桌面设备上展示。一般我看到的是在手机屏幕上,大多数出现在屏幕的底部,当页面往下滚动到足够位置时,锚定广告可能会在顶部展示,这样就不会遮盖网站的品牌信息或导航栏。

MovableType R5001 的补丁包

MovableType 发布了 R5001 后不久,就发布了一个补丁包,看上去版本就变成了 R5002,没有完整的升级包,就是一个临时的补丁。

[MTC-28091] 修复了在 r.5001 中引用具有容器标记的另一个站点时,如果在 MTInclude 标记中指定 parent = "1" 则无法重建的问题。
[CLOUD-74] 修复了发送电子邮件时标题数据重复的问题
[MTC-28116] 修复了即使在 mt: EntryAssets 和 mt: PageAssets 中指定了 tag 也无法缩小的问题。

补丁包很小,就附在下面,覆盖源文件就行了。

MT-r5001-patch.zip

好了,没有什么升级的过程,就是这么简单。

这里贴上一张昨天拍的照片。

Google 广告的新政策

之前收到 Google 的邮件通知,有关Google 广告的新政策,主要讲的就是如何封停账号的政策变化。

google-ads-new-policy.jpg

从官方获得的消息,因应法律要求和用户安全,所有的广告客户,若有给用户,Google 或者其合作伙伴会带来风险,就可能导致账号被暂停,就是被禁用 Google Ads。

而 Google 通过一系列的 Google Ads 政策,和条款等,来指导并规范广告客户的行为。如果违反了,就可能会暂停账号。最重要的就是如果 Google 检测到严重违规行为,会被立即暂停账号,而不会先警告。其它的违规,则可能会收到警告,并给与改正的时间,大约7天。

所谓严重违规行为,就是会造成用户的严重损害的违规行为,非立即暂停账号,无法避免的情况。通常这种严重违规,暂停账号后,就是无法再次参与 Google Ads。

升级系统到最新的 MovableType R5001

此次更新算是大版本的更新,R5001,(7.8.0)。

这些版本包括一些变化、错误修复和安全修复。

在更新时,强烈建议你在更新前对数据库进行快照,然后在不同的目录下安装Movable Type,而不是覆盖你当前的安装。

不管怎样,我都是直接覆盖安装的。当然有做备份,这还是必须的。

r5001-upgrade.jpg

Google 搜索新手指南

如果你是一个非常非常新的用户,一直都是作为 Google 搜索的用户来使用 Google 的,现在第一次作为站长,或者企业网站的负责人来考虑网站优化和网站推广,以及 SEO,SEM 等等,那么下面这些就是写给你看的了。

如果你想改善网站在 Google 搜索中的表现,提高你的网站网页在搜索结果中的曝光率,或者提高其排在搜索结果中的位置,现在就花一点时间来了解一下搜索引擎优化(SEO)和 Google Search Console。

不需要你精通 HTML或者程序编码等,但是需要考虑一下你的网站的内容组织和编写展示的方式,并且愿意对网站做出一些更改。根据我的经验,只需要你付出一点点努力,就可能很大程度上改善网站在搜索结果中的表现。

注册 Google Search Console

完全免费,也没有任何升级或者付费的可能。当 Google 发现你的网站出现异常的时候(比如内容抓取问题和网站被黑的情况),你会收到提醒通知。

注册 Google Search Console

googel-search-console.jpg

添加网站并验证网站所有权

这个步骤需要证明你是该网站的所有者,因为 Google 显示的与该网站相关的敏感信息只会提供给网站所有者,并不能让无关的第三方知道,而且 Google Search Console 会允许你做出可能会影响网站在搜索结果中排名的更改。

生命如同一条流淌的河

时间和快,这几个月 Blog 都没有做什么更新,实在是家中的缘故,父亲过世,疫情之下不能回沪,只能在远方,纪念父亲,为家人祈祷。现在百日已过,基本恢复正常生活。

来看看这段时间,需要记录的一些变化。

Blog 的写作,更重要的是给读者所提供的价值,当然文字质量也很重要。

改善 Google Page Experience

  1. 网页载入的速度,时间越短越好,LCP 的数字很重要,体现了主要内容的显示时间。
  2. 交互体验的改进,就是 FID, First input delay。这也是越小越好,用户能够输入或者点击鼠标的等待时间。100ms 以内?
  3. 关注 CLS,cumulative layout shift。 这个参数是表示网页在载入,显示的过程中,抖动的情况。0.1 之下为好。

Google 搜索结果中的网页体验

从六月开始,网页体验就被纳入到 Google 的排名系统中了。逐步的发挥作用。

  • 最重要的就是 核心网页指标:包罗了 LCP,FID,CLS(就是上面我提到的)。
  • 移动设备适配,移动友好度。采用移动友好测试工具测试。
  • 安全浏览,指得是网页不含恶意或欺骗性的内容。
  • HTTPS,加密连接,网站和网页,包括网页上的外部资源,都要用 HTTPS 安全连接。
  • 无干扰性插页式广告。让用户可以轻松访问网页内容。

上面这些网页体验衡量因素,Google 计划每年会更新一次。所以每年都需要重新检视一下,做好优化。

CentOS 8 的代替产品

很多人都知道 CentOS 从版本 8 开始改变了他们的发行模式, 没有后续的 9 之类的了。代替的是 Stream 8,不再是稳定兼容 Redhat 的替换品了。

过去人们使用 CentOS 是图的它长达10年的生命期,同 RHEL 一样。现在直接给改掉,CentOS 8 在 2021年底结束支持, CentOS 7 到 2024 年。

于是 CentOS 最初的创建者,Gregory Kurtzer 站出来,启动了 Rocky Linux 计划,其最新的版本 8.4 已经可以下载了。 Rocky Linux 是一个社区企业版本,设计出来就是为了 100% 兼容美国顶级企业 Linux 发行版。

如果不打算转换跑道到 Ubuntu 发行版的,那么 Rocky Linux 是非常好的替换。

搜索
关于
David Yin
研究(SEO)搜索引擎优化排名和(PPC)竞价排名技术,总结搜索营销学的各种方法和趋势。专业SEO优化研究,致力于搜索引擎优化技术的普及和推广。
David Yin
Email:seo[AT]g2soft.net
版权说明
如果想转载,而又不明白转载的条件,请看本站的详细版权说明
推荐
Dreamhost Hosting
使用优惠码“save252015”,节省更多,每月只要 $2.59。
归档
标签云
热门标签