6
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

FIDO2セキュリティキーでリモートデスクトップをする試み

Posted at

#はじめに
FIDOといえばWebなんですけど、どうしてもWeb以外でやりたい、ということで、前回 FIDO2セキュリティキーで電子署名をする試み をやりましたが、今回はリモートデスクトップをする試みです。

Windows作業PCからサーバーPCなどにRDPして作業するなんていうのは、よくあることだと思いますが、パスワードを毎回打ち込むのは面倒だし、作業PCにパスワードを保存してしまうのはセキュリティ的にまずいですよね。
そこで、FIDOキーからRDP接続する方法を考えてみました。

#環境
WebAuthnModokiDesktop と PowerShell でシンプルにやります。

####注意事項

  • お遊びレベルの品質なので重要なクレデンシャル情報が入っているFIDOキーは使わないことをお勧めします。
  • 本ライブラリ・デモプログラムを利用することによって生じるいかなる問題についても、その責任を負いません。

#登録
FIDOキーに接続情報を書き込みます。

  • register.bat
  • register.ps1
  • WebAuthnModokiDesktop.dll
    の3つのファイルを同じ場所に置いて register.bat を実行すればOK

####手順

  • キーをさしてください と出たらFIDOキーをUSBにさします。NFCのFIDOキーも対応しています。
  • RDP接続情報を入力してください と出たら ホスト名(IPアドレス) 接続ユーザー/パスワード を入力をします。(Enterで確定)
  • 登録情報を入力してください と出たら RPID(任意の文字列) PIN を入力します。
  • 書き込みがはじまります、Writing... となってFIDOキーが光ったらタッチしてあげてください。3回ほどタッチが必要です。
  • 無事書き込みが終了すると Success となります。
C:\work\aaa>echo off
キーをさしてください
Manufacturer : Yubico , Product : Security Key by Yubico
PIN Retry Count = 8
RDP接続情報を入力してください
RDP Host: 192.168.xxx.xxx
RDP User: gebo
RDP Password: boge
登録情報を入力してください
Authenticator RPID: test
Authenticator PIN: 1234
登録ブロック数 = 3
Writing...
Writing...
Writing...
Success

#RDP接続
FIDOキーからRDP接続します。

  • rdp.bat
  • rdp.ps1
  • WebAuthnModokiDesktop.dll
    の3つのファイルを同じ場所に置いて rdp.bat を実行すればOK

####手順

  • 先ほど登録した RPDI PIN を入力するとRDP接続します。
  • PIN省略(未入力)も可能です、その場合は生体(BioPassなら指紋)の認証が必要です。
  • RPIDを変えれば複数の接続情報を登録できるので、接続先=RPIDというネーミングで色々登録しておく使い方がいいと思います。
キーをさしてください
Manufacturer : Yubico , Product : Security Key by Yubico
PIN Retry Count = 8
登録情報を入力してください
Authenticator RPID: test
Authenticator PIN: 1234
Success

#解説
##register.bat、rdp.bat
powershellを実行しているだけです

register.bat、rdp.bat
echo off
powershell -NoProfile -ExecutionPolicy Unrestricted .\%~n0.ps1
Timeout 3

##register.ps1
WebAuthnModokiDesktop.dlのAPIを使っています。
Polling()でFIDOキーの接続を待って、RegisterCmd()でFIDOキーにコマンドを書き込んでいます。
APIの説明は後ほど。

register.ps1
Set-Location (Split-Path ( & { $myInvocation.ScriptName } ) -parent)
Add-Type -Path ".\WebAuthnModokiDesktop.dll";

Write-Host "キーをさしてください"
$poll = [gebo.CTAP2.Util.CmdExecuter]::Polling(5000).GetAwaiter().GetResult()
if( $poll -eq $false ) {
    Write-Host "Timeout"
    return
}

Write-Host "RDP接続情報を入力してください"
$ip=Read-Host "RDP Host"
$user= Read-Host "RDP User"
$pass= Read-Host "RDP Password"

Write-Host "登録情報を入力してください"
$rpid= Read-Host "Authenticator RPID"
$pin= Read-Host "Authenticator PIN"

$cmd = "Cmdkey /generic:TERMSRV/${ip} /user:${user} /pass:${pass} & Start mstsc /v:${ip} & Timeout 2 & Cmdkey /delete:TERMSRV/${ip}";

$blockcount = [gebo.CTAP2.Util.CmdExecuter]::CheckWriteBlockCount($cmd)
Write-Host "登録ブロック数 = ${blockcount}"

$result = [gebo.CTAP2.Util.CmdExecuter]::RegisterCmd($rpid,$pin,$cmd).GetAwaiter().GetResult()
Write-Host "${result}"

書き込むコマンドですが、定番のRDP接続コマンドをワンライナーで指定します。

Cmdkey /generic:TERMSRV/${ip} /user:${user} /pass:${pass} & Start mstsc /v:${ip} & Timeout 2 & Cmdkey /delete:TERMSRV/${ip}

##rdp.ps1
WebAuthnModokiDesktop.dlのAPIをCallしているだけです。APIの説明は後ほど。

rdp.ps1
Set-Location (Split-Path ( & { $myInvocation.ScriptName } ) -parent)
Add-Type -Path ".\WebAuthnModokiDesktop.dll";

Write-Host "キーをさしてください"
$poll = [gebo.CTAP2.Util.CmdExecuter]::Polling(5000).GetAwaiter().GetResult()
if( $poll -eq $false ) {
    Write-Host "Timeout"
    return
}
Write-Host "登録情報を入力してください"
$rpid= Read-Host "Authenticator RPID"
$pin= Read-Host "Authenticator PIN"
$result = [gebo.CTAP2.Util.CmdExecuter]::Execute($rpid,$pin).GetAwaiter().GetResult()
return $result

##WebAuthnModokiDesktop.dll
FIDOキーを制御するDLLです。
ソースはこちら
https://github.com/gebogebogebo/WebAuthnModokiDesktop

この中から
gebo.CTAP2.Util.CmdExecuterクラスを使っています。

###static async Task<bool> Polling(int timeoutms=10000)
FIDOキーの接続を待ちます。

  • 引数
    • int timeoutms : 接続待ちタイムアウトをミリ秒単位で指定してください。
  • 戻り値
    • true(成功)/false(失敗)

###static int CheckWriteBlockCount(string cmd)
FIDOキーに書き込むコマンド文字列の必要ブロック数を調査します。

  • 引数
    • string cmd : コマンド文字
  • 戻り値
    • 必要ブロック数

###static async Task<string> RegisterCmd(string rpid, string pin, string cmd)
FIDOキーにコマンドを書き込みます。
USBタイプのFIDOキーの場合、必要ブロック数だけUP(キーをタッチする操作)が必要です。

  • 引数
    • string rpid : rpid
    • string pin : pin
    • string cmd : 書き込むコマンド
  • 戻り値
    • 実行結果

###static async Task<string> Execute(string rpid, string pin)
FIDOキーに書き込まれているコマンドを実行します。

  • 引数
    • string rpid : rpid
    • string pin : pin
  • 戻り値
    • 実行結果

#おつかれさまでした
RDPに限らずワンライナーで実行できるコマンドだったらなんでもいけるかと思います。

6
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
6
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?