最近、身の回りのSSHサーバーや社内システムの多くがFIDO認証に対応し、タッチひとつでログインできるパスワードレスな環境が整ってきました。しかし人の欲望というのは尽きることがありません。認証器にタッチするのが面倒になってくるのです。

というのも自宅や会社のオフィスなど異なる環境でローミング認証器を利用する際、認証を求められるとまずポケットから認証器を取り出し、よっこらせと立ち上がってUSBポートに差し込み、 User Presenceを示すためにタッチをするわけですが、この動作を繰り返していると、これは従来のパスワード認証と比べて便利になっているのだろうかという疑念が浮かんできます。

ノートPCに組み込まれたプラットフォーム認証器は解決方法のひとつですが、Linuxから利用できないし徒歩通勤でノートPCを持ち運ぶのは大変です。

そんなわけでオープンソースのFIDO認証器Solo Hackerをキーボードに組み込み、キーボードから手を離さずに利用できる認証器をつくることにしました。

キーレイアウト

片道1時間以上の徒歩通勤でも持ち運びが楽になるよう45キーの40%キーボードにしました。

こんなにキーが少なくて大丈夫なの? と思うかもしれませんがQMK Firmwareのレイヤー機能を利用すれば問題ありません。スペースバーにあるSandSキーはタップするとスペース、長押しするとShiftとなるキーです。

右下のAuthキーが認証キーです。ユーザープレゼンスを示す時に押します。またRaise + Authキーで認証器を電気的に切り離せるようにしました。これにより必要なときだけ認証器をPCに刺すという動作をキーボードだけで実現できます。

基板の配線

SU120という試作用基板を使って、キーボードの基板をハンドワイヤーしていきます。

こっちはキーボードで認証器を制御するための基板

Solo Keyの制御

キーボードコントローラーのPro MicroでSolo Keyが載っているSTM32を制御します。

Pro MicroでSTM32の電源制御を行うためにMOS型トランジスタを使いました。同様にユーザープレゼンスはPA0ピンをGNDに落とすことでスイッチを押したことになるのでこれもトランジスタで制御します。

こんな感じです。

回路図

フルカラーLEDの実装

Solo Keyは現在の状態を示すインジケーターとしてフルカラーLEDを利用します。例えば認証器に電源が入った状態で緑色が点灯し、ユーザープレゼンスを要求する際は青色が点灯します。

このフルカラーLEDは出力ポートで電流を吸い込むタイプですので以下のように配線してやります。

LED回路

CTAPプロトコルには認証器のLEDをチカチカさせるだけのWinkコマンドがあります。これを実行すると…

Lチカ

光ったー

ファームウェアを書く

QMK FirmwareにAUTH_PWとAUTH_UPキーコードを定義し、STM32を制御するコードを加えました。

/* 電源のON/OFFをトグル */
void auth_pw(keyrecord_t *record) {
    if (record->event.pressed) {
        user_config.auth_pw_state ^= 1;
        writePin(AUTH_PW_PIN, user_config.auth_pw_state);
    }
}

/* ユーザープレゼンスを示す */
void auth_up(keyrecord_t *record) {
    if (record->event.pressed) {
        writePin(AUTH_UP_PIN, 1);
    } else {
        writePin(AUTH_UP_PIN, 0);
    }
}