OpenSSH набор от приложения, които позволяват криптирана комуникация през мрежа, използвайки SSH протокола е добавил експериментална поддръжка за двуфакторно удостоверяване към своята кодова база, използвайки устройства, които поддържат протокола U2F, разработен от алианса FIDO.
За тези, които не знаят U2F, те трябва да знаят това, това е отворен стандарт за създаване на евтини маркери за хардуерна сигурност. Това са лесно най-евтиният начин потребителите да получат хардуерно подкрепена двойка ключове и има добра гама от производители които ги продават, включителноs Yubico, Feitian, Thetis и Kensington.
Хардуерно подкрепените клавиши предлагат предимството да бъдат значително по-трудни за кражба: нападателят обикновено трябва да открадне физическия токен (или поне постоянен достъп до него), за да открадне ключа.
Тъй като има редица начини за разговор с U2F устройства, включително USB, Bluetooth и NFC, не искахме да зареждаме OpenSSH с много зависимости. Вместо това, ние делегирахме задачата за комуникация с маркерите на малък библиотека на мидълуер, която се зарежда по лесен начин, подобно на съществуващата поддръжка на PKCS # 11.
OpenSSH вече има експериментална поддръжка на U2F / FIDO, с U2F се добавя като нов тип ключ sk-ecdsa-sha2-nistp256@openssh.com или "ecdsa-ск"Накратко (" sk "означава" ключ за сигурност ").
Процедурите за взаимодействие с маркери са преместени в междинна библиотека, който се зарежда по аналогия с библиотеката за поддръжка на PKCS # 11 и представлява връзка към библиотеката libfido2, която осигурява средства за комуникация с токени чрез USB (FIDO U2F / CTAP 1 и FIDO 2.0 / CTAP 2).
Библиотека интермедия libsk-libfido2 изготвен от разработчици на OpenSSH е включен в ядрото libfido2, както и HID драйвер за OpenBSD.
За да активирате U2F, може да се използва нова част от кодовата база от хранилището на OpenSSH и HEAD клона на библиотеката libfido2, който вече включва необходимия слой за OpenSSH. Libfido2 поддържа работа на OpenBSD, Linux, macOS и Windows.
Написахме основен междинен софтуер за libfido2 на Yubico, който може да говори с всеки стандартен USB HID U2F или FIDO2 токен. Средният софтуер. Източникът се хоства в дървото libfido2, така че изграждането на това и OpenSSH HEAD е достатъчно, за да започнете
Публичният ключ (id_ecdsa_sk.pub) трябва да бъде копиран на сървъра във файла санкционирани клавиши. От страна на сървъра се проверява само цифров подпис и взаимодействието с маркерите се извършва от страна на клиента (libsk-libfido2 не е необходимо да се инсталира на сървъра, но сървърът трябва да поддържа типа ключ "ecdsa-sk» ).
Генерираният частен ключ (ecdsa_sk_id) е по същество ключов дескриптор, който формира реален ключ само в комбинация с тайна последователност, съхранявана от страната на U2F токена.
Ако ключът ecdsa_sk_id попада в ръцете на нападателя, за удостоверяване той също ще трябва да получи достъп до хардуерния маркер, без който частният ключ, съхраняван във файла id_ecdsa_sk, е безполезен.
Освен това, по подразбиране, когато се извършват ключови операции (както по време на генериране и удостоверяване), изисква се локално потвърждение за физическото присъствие на потребителяНапример, препоръчва се да докоснете сензора на маркера, което затруднява извършването на отдалечени атаки върху системи със свързан маркер.
В началния етап на ssh-keygen, може да се зададе и друга парола за достъп до файла с ключа.
Ключът U2F може да бъде добавен към SSH агент през "ssh-add ~/.ssh/id_ecdsa_sk", но SSH агент трябва да се компилира с ключова поддръжка ecdsa-ск, слоят libsk-libfido2 трябва да присъства и агентът трябва да работи в системата, към която токен е прикрепен.
Добавен е нов тип ключ ecdsa-ск тъй като ключовият формат ecdsa OpenSSH се различава от U2F формата за цифрови подписи ECDSA от наличието на допълнителни полета.
Ако искате да научите повече за това можете да се консултирате следната връзка.