OpenSSH skup aplikacija koje omogućavaju šifriranu komunikaciju preko mreže, koristeći SSH protokol je dodao eksperimentalnu podršku za dvofaktorsku autentifikaciju na svoju bazu koda, koristeći uređaje koji podržavaju U2F protokol koji je razvio FIDO savez.
Za one koji nisu svjesni U2F, oni bi to trebali znati, ovo je otvoreni standard za izradu jeftinih hardverskih sigurnosnih tokena. To su lako najjeftiniji način za korisnike da dobiju hardverski podržani par ključeva i postoji dobar spektar proizvođača koji ih prodaju, uključujućis Yubico, Feitian, Thetis i Kensington.
Ključevi podržani hardverom nude prednost što ih je znatno teže ukrasti: napadač obično mora ukrasti fizički token (ili barem trajni pristup njemu) kako bi ukrao ključ.
Budući da postoji niz načina za razgovor s U2F uređajima, uključujući USB, Bluetooth i NFC, nismo htjeli učitati OpenSSH s puno ovisnosti. Umjesto toga, zadatak komuniciranja s tokenima prenijeli smo malom biblioteka međuopreme koja se učitava na jednostavan način, slično postojećoj podršci za PKCS # 11.
OpenSSH sada ima eksperimentalnu podršku za U2F / FIDO, sa U2F je dodan kao novi tip ključa sk-ecdsa-sha2-nistp256@openssh.com ili «ecdsa-sk"Kratko (" sk "znači" sigurnosni ključ ").
Postupci za interakciju s tokenima premješteni su u srednju biblioteku, koja je učitana analogno knjižnici za podršku PKCS # 11 i veza je na biblioteci libfido2, koja pruža sredstva za komunikaciju s tokenima putem USB-a (FIDO U2F / CTAP 1 i FIDO 2.0 / CTAP 2).
Biblioteka srednji libsk-libfido2 pripremili programeri OpenSSH je uključen u libfido2 jezgru, kao i HID upravljački program za OpenBSD.
Da biste omogućili U2F, može se koristiti novi dio baze koda iz spremišta OpenSSH i HEAD ogranak biblioteke libfido2, koji već uključuje potreban sloj za OpenSSH. Libfido2 podržava rad na OpenBSD, Linux, macOS i Windows.
Napisali smo osnovni međuoprema za Yubico-ov libfido2 koji može razgovarati sa bilo kojim standardnim USB HID U2F ili FIDO2 tokenom. Međuproizvod. Izvor je hostiran na drvetu libfido2, pa je izgradnja toga i OpenSSH HEAD dovoljna za početak
Javni ključ (id_ecdsa_sk.pub) mora se kopirati na poslužitelj u datoteci odobreni_ključevi. Na strani poslužitelja provjerava se samo digitalni potpis, a interakcija s tokenima vrši se na strani klijenta (libsk-libfido2 ne treba instalirati na poslužitelj, ali poslužitelj mora podržavati tip ključa "ecdsa-sk» ).
Generirani privatni ključ (ecdsa_sk_id) je u osnovi ključni deskriptor koji stvara stvarni ključ samo u kombinaciji s tajnom sekvencom pohranjenom na strani U2F tokena.
Ako je ključ ecdsa_sk_id padne u ruke napadača, radi provjere autentičnosti trebat će mu pristupiti i hardverskom tokenu bez kojeg je privatni ključ pohranjen u datoteci id_ecdsa_sk beskoristan.
Takođe, po defaultu, kada se izvode ključne operacije (i tokom generisanja i autentifikacije), potrebna je lokalna potvrda fizičkog prisustva korisnikaNa primjer, predlaže se dodirivanje senzora na tokenu, što otežava izvođenje daljinskih napada na sisteme s povezanim tokenom.
U početnoj fazi ssh-keygen, može se postaviti i druga lozinka za pristup datoteci ključem.
U2F ključ se može dodati ssh-agent kroz "ssh-dodaj ~ / .ssh / id_ecdsa_sk", ali ssh-agent mora se kompajlirati s ključnom podrškom ecdsa-sk, sloj libsk-libfido2 mora biti prisutan i agent mora biti pokrenut na sistemu na koji je označen.
Dodana je nova vrsta ključa ecdsa-sk od ključnog formata ecdsa OpenSSH se razlikuje od U2F formata za digitalne potpise ECDSA prisustvom dodatnih polja.
Ako želite znati više o tome možete se posavjetovati sljedeći link.