ওপেনএসএইচ অ্যাপ্লিকেশনগুলির সেট যা এনক্রিপ্ট করা যোগাযোগের অনুমতি দেয় এসএসএইচ প্রোটোকল ব্যবহার করে একটি নেটওয়ার্ক জুড়ে দ্বি-গুণক প্রমাণীকরণের জন্য পরীক্ষামূলক সমর্থন যুক্ত করেছে এর কোড বেসে, এমন ডিভাইসগুলি ব্যবহার করে যা FIDO জোট দ্বারা নির্মিত U2F প্রোটোকল সমর্থন করে।
অসচেতন যারা তাদের জন্য U2F, তারা যে জানা উচিত, স্বল্প ব্যয়যুক্ত হার্ডওয়্যার সুরক্ষা টোকেন তৈরি করার জন্য এটি একটি ওপেন স্ট্যান্ডার্ড। এগুলি সহজেই হার্ডওয়্যার-ব্যাকযুক্ত কী জুড়ি পেতে এবং ব্যবহারকারীদের পক্ষে সবচেয়ে সহজ উপায় প্রস্তুতকারকদের একটি ভাল পরিসীমা আছে যারা তাদের বিক্রি করেs যুবিকো, ফিয়েটিয়ান, থিসিস এবং কেনসিংটন।
হার্ডওয়্যার-ব্যাকড কীগুলি চুরি করা যথেষ্ট বেশি কঠিন হওয়ার সুবিধা দেয়: কোনও আক্রমণকারী সাধারণত কীটি চুরি করার জন্য দৈহিক টোকেন (বা কমপক্ষে অবিচ্ছিন্ন অ্যাক্সেস) চুরি করতে হয়।
যেহেতু ইউএসএফ, ব্লুটুথ এবং এনএফসি সহ ইউ 2 এফ ডিভাইসগুলির সাথে কথা বলার অনেকগুলি উপায় রয়েছে, তাই আমরা ওপেনএসএইচকে অনেকটা নির্ভরশীলতা সহ লোড করতে চাইনি Instead পরিবর্তে, আমরা টোকেনগুলির সাথে একটি ছোট যোগাযোগের কাজটি অর্পণ করেছি মিডলওয়্যারের লাইব্রেরি যা একটি সহজ উপায়ে লোড হয় বিদ্যমান পিকেসিএস # 11 সমর্থনের অনুরূপ।
ওপেনএসএইচ-তে এখন পরীক্ষামূলক ইউ 2 এফ / এফআইডিও সমর্থন রয়েছে, ইউ 2 এফ সহ এটি একটি নতুন কী ধরণের হিসাবে যুক্ত করা হয় sk-ecdsa-sha2-nistp256@openssh.com বা «ecdsa-sk"সংক্ষেপে (" স্ক "মানে" সুরক্ষা কী ")।
টোকেনগুলির সাথে কথোপকথনের পদ্ধতিগুলি একটি মধ্যবর্তী লাইব্রেরিতে স্থানান্তরিত হয়েছেযা পিকেসিএস # 11 সমর্থনের জন্য লাইব্রেরির সাথে সাদৃশ্যপূর্ণভাবে লোড করা হয় এবং এটি libfido2 লাইব্রেরির একটি লিঙ্ক, যা ইউএসবি (FIDO U2F / CTAP 1 এবং FIDO 2.0 / CTAP 2) এর মাধ্যমে টোকেনের সাথে যোগাযোগের মাধ্যম সরবরাহ করে।
গ্রন্থাগার অন্তর্বর্তী libsk-libfido2 ওপেনএসএইচ ডেভেলপারদের দ্বারা প্রস্তুত libfido2 কার্নেল অন্তর্ভুক্ত করা হয়েছেপাশাপাশি ওপেনবিএসডি-র জন্য এইচআইডি ড্রাইভার।
U2F সক্ষম করতে, ওপেনএসএসএইচ সংগ্রহস্থল থেকে কোড বেসের একটি নতুন অংশ ব্যবহার করা যেতে পারে এবং libfido2 লাইব্রেরির হেড শাখা, যা ইতিমধ্যে OpenSSH এর জন্য প্রয়োজনীয় স্তর অন্তর্ভুক্ত করে। লিবিফিডো 2 ওপেনবিএসডি, লিনাক্স, ম্যাকোস এবং উইন্ডোজে কাজ করার পক্ষে সমর্থন করে।
আমরা ইউবিকোর লিবিফিডো 2 এর জন্য একটি বেসিক মিডলওয়্যার লিখেছি যা কোনও স্ট্যান্ডার্ড ইউএসবি এইচআইডি ইউ 2 এফ বা FIDO2 টোকেনের সাথে কথা বলতে সক্ষম capable মিডলওয়্যার উত্সটি লিবিফিডো 2 ট্রিতে হোস্ট করা হয়েছে, সুতরাং এটি এবং ওপেনএসএসএইচএইচডি হেড তৈরি করা আপনাকে শুরু করার জন্য যথেষ্ট
সর্বজনীন কী (id_ecdsa_sk.pub) অবশ্যই অনুমোদিত_কিজ ফাইলটিতে সার্ভারে অনুলিপি করা উচিত। সার্ভার সাইডে, কেবলমাত্র একটি ডিজিটাল স্বাক্ষর যাচাই করা হয় এবং টোকেনগুলির সাথে মিথস্ক্রিয়াটি ক্লায়েন্ট সাইডে সম্পন্ন হয় (libsk-libfido2 সার্ভারে ইনস্টল করার প্রয়োজন হয় না, তবে সার্ভারটি অবশ্যই "ecdsa-sk» মূল প্রকারটি সমর্থন করে) )।
উত্পাদিত ব্যক্তিগত কী (ecdsa_sk_id) মূলত একটি মূল বর্ণনাকারী যা কেবলমাত্র ইউ 2 এফ টোকেন সাইডে সঞ্চিত গোপন অনুক্রমের সাথে একত্রে একটি আসল কী তৈরি করে।
যদি চাবি ecdsa_sk_id আক্রমণকারীর হাতে পড়ে, প্রমাণীকরণের জন্য, তাকে হার্ডওয়্যার টোকেন অ্যাক্সেস করতে হবে, যা ছাড়া id_ecdsa_sk ফাইলে থাকা ব্যক্তিগত কী অকেজো।
উপরন্তু, ডিফল্টরূপে, কী অপারেশনগুলি সম্পাদন করা হয় (প্রজন্ম এবং প্রমাণীকরণের সময় উভয়), ব্যবহারকারীর শারীরিক উপস্থিতির স্থানীয় নিশ্চয়তা প্রয়োজনউদাহরণস্বরূপ, এটি সংযুক্ত টোকেনের সাহায্যে সিস্টেমে দূরবর্তী আক্রমণ চালানো কঠিন করে টোকেনে সেন্সরটিকে স্পর্শ করার পরামর্শ দেওয়া হচ্ছে।
এর প্রথম পর্যায়ে ssh-keygen, অন্যান্য পাসওয়ার্ডও সেট করা যেতে পারে কী দিয়ে ফাইল অ্যাক্সেস করতে।
ইউ 2 এফ কী যুক্ত করা যেতে পারে SSH-এজেন্ট মাধ্যম "ssh-add ~/.ssh/id_ecdsa_sk", কিন্তু SSH-এজেন্ট কী সমর্থন সহ কম্পাইল করা আবশ্যক ecdsa-sk, libsk-libfido2 স্তর অবশ্যই উপস্থিত থাকতে হবে এবং এজেন্টটি অবশ্যই সেই সিস্টেমে চলমান থাকে যা এটিতে টোকেন সংযুক্ত রয়েছে।
একটি নতুন ধরণের কী যুক্ত করা হয়েছে ecdsa-sk মূল বিন্যাস থেকে ecdsa ডিজিটাল স্বাক্ষরের জন্য ওপেনএসএইচ ইউ 2 এফ ফর্ম্যাট থেকে পৃথক ইসিডিএসএ অতিরিক্ত ক্ষেত্র উপস্থিতি দ্বারা।
আপনি যদি এটি সম্পর্কে আরও জানতে চান আপনি পরামর্শ করতে পারেন নিম্নলিখিত লিঙ্ক।