Linux 憑證 (Credentials for Linux):將通行金鑰 (passkey) 帶到 Linux 桌面 (★
66 分)
這場在歐洲自由與開源軟體開發者年會 (FOSDEM) 2026 的演講,聚焦於把通行金鑰 (passkey,基於公開金鑰的無密碼登入方式) 帶進 Linux 桌面。講者指出,Windows、macOS、Android、iOS 都已把 passkey 與平台驗證器(platform authenticator,裝置內建的驗證能力,如生物辨識或 PIN)做成「一等公民」,但 Linux 桌面端仍缺少瀏覽器與原生應用程式可共同依循的 FIDO2(Fast Identity Online 2,無密碼驗證標準)平台 API,導致體驗與相容性碎片化。
為此,專案 Credentials for Linux 以跨桌面環境的方式,想把 passkey 與其他憑證帶到 Linux,而且能同時適用於沙箱 (sandbox,受限制的執行環境) 應用與瀏覽器。其核心之一是 `libwebauthn`:用 Rust 撰寫的 FIDO2/U2F(Universal 2nd Factor)平台函式庫,支援 USB、BLE(Bluetooth Low Energy,藍牙低功耗)與 Hybrid authenticator(用手機如 Android/iOS 充當驗證器的模式)等多種傳輸,並涵蓋 resident key(常駐於驗證器內的金鑰)與使用者驗證(需使用者互動確認,如指紋或裝置解鎖)等 passkey 能力。
另一個關鍵元件是 `credentialsd`,以 D-Bus(Linux 常見的行程間通訊匯流排)提供憑證管理服務,並提案成為 XDG portal(桌面環境共用的沙箱授權介面)的一部分;同時也提供參考用 UI、Firefox 整合(含 Web extension 外掛與修改過的 Flatpak 版本)以及透過 OBS(openSUSE Build Service,套件建置服務)發佈 Fedora/openSUSE 等發行版套件。演講也會示範沙箱化的 Firefox 如何透過 `credentialsd` 與硬體安全金鑰或手機互通,並讓原生應用程式可用同一套 D-Bus API 取得一致的憑證能力。
路線圖則點出 Linux 端尚待補齊的難題:例如以 TPM(Trusted Platform Module,可信任平台模組)支援的平台驗證器、origin binding(把憑證與網站來源綁定以降低被濫用風險)、以及提供瀏覽器可用的非特權 API 等,並呼籲與 GNOME、KDE(Linux 桌面環境)、Flatpak、生態系中的密碼管理器與各發行版維護者協作,讓 passkey 在 Linux 上真正成為「平台級」能力。
在 Hacker News 討論中,不少人肯定 passkey 的便利性與抗釣魚優勢,甚至提到它可望讓登入流程更直覺、在某些情境下減少對「使用者名稱」的依賴,也比教小孩使用密碼管理器更容易上手;但更多爭論集中在「使用者是否真正擁有自己的憑證」。多位留言者擔心 FIDO 聯盟與大型平台把「不可匯出、需認證核可」當成方向,透過 attestation(遠端證明機制,用來向服務端證明客戶端環境/憑證符合特定條件)強化平台綁定,並以 KeePassXC(開源密碼管理器)的 passkey 匯出格式爭議為例,批評規格制定者不該決定使用者如何備份與搬移自己的金鑰;也有人反駁說 attestation 並非天生反開源、較像程式簽章與信任授權問題,且「使用者互動確認」主要是反惡意程式;另外也延伸出對 TPM 綁定全碟加密 FDE(Full Disk Encryption)與雲端復原金鑰的疑慮,凸顯企業資安管控、可攜性與個人自主之間的拉扯。
👥
54 則討論、評論 💬
https://news.ycombinator.com/item?id=46935931