Odpověď na názor

To je sice hezké, ale nějak nemůžu zapomenout, že při mé patálii s debugováním toho, proč mi jejich systém odmítá registrovat můj Yubikey, mi support MojeID ze zoufalství navrhl, že mi pošlou zadarmo ten GoTrust. Radost jsem z toho moc neměl, protože důvodem, proč jsem si ten Yubikey pořídil, bylo (kromě bazírování příslušných systémů na certifikaci) právě to, abych nepotřeboval jeden token na openpgp a druhý na FIDO2 (což v té době Nitrokey nenabízel). A stejně to skončilo něčím v duchu Jo, aha, vy vlastně máte Linux, tak to radši ne, tam jsou s tím GoTrust problémy.

Pokud by to někoho zajímalo: problém s Yubikey spočíval v tom, že kontrola, jestli má token certifikaci, se dělá porovnáním jakéhosi UUID s oficiálním seznamem certifikovaných tokenů od FIDO Alliance. To UUID je ale různé pro FIDO2 a pro U2F - a Yubico na ten seznam z nějakého důvodu pro tuhle verzi tokenu a firmware dalo jen UUID pro FIDO2. A jako na potvoru chromium, pokud token podporoval FIDO2 i U2F, přednostně použilo U2F (i když by to člověk logicky čekal naopak), takže token byl webem MojeID vyhodnocen jako neregistrovaný. Jako workaround, aby nebylo nutné čekat, než Yubico doplní i UUID pro U2F, stačilo tokenu zakázat U2F, tím se vynutilo FIDO2 a token/firmware byl najednou certifikovaný. (Pak jsem ale musel U2F zase povolit, protože některé aplikace bohužel fungují jen s U2F.)