OpenSSH el conjunt d'aplicacions que permeten realitzar comunicacions xifrades a través d'una xarxa, fent servir el protocol SSH ha afegit un suport experimental per a l'autenticació de dos factors a la base del seu codi, utilitzant dispositius que admeten el protocol U2F desenvolupat per l'aliança FIDO.
Per als qui desconeixen de U2F, han de saber que, Aquest és un estàndard obert per fer tokens de seguretat de maquinari de baix cost. Aquestes són fàcilment la forma més barata perquè els usuaris obtinguin un parell de claus recolzat per maquinari i hi ha una bona gamma de fabricants que els venen, inclòss Yubico, Feitian, Thetis i Kensington.
Les claus recolzades per maquinari ofereixen l'avantatge de ser considerablement més difícil de robar: un atacant generalment ha de robar el físic token (o al menys accés persistent a ell) per robar la clau.
Atès que hi ha diverses maneres de parlar amb dispositius U2F, inclòs USB, Bluetooth i NFC, no volíem carregar OpenSSH amb un munt de dependències En canvi, hem delegat la tasca de comunicar-se amb el tokens a una petita biblioteca de middleware que es carrega de manera similar a el suport existent PKCS # 11.
OpenSSH ara té suport experimental U2F / FIDO, Amb U2F s'agrega com un nou tipus de clau sk-ecdsa-sha2-nistp256@openssh.com O"ECDSA-sk»Per abreujar (el« sk »vol dir« clau de seguretat »).
Els procediments per interactuar amb els tokens s'han transferit a una biblioteca intermèdia, Que es carrega per analogia amb la biblioteca per al suport PKCS # 11 i és un enllaç sobre la biblioteca libfido2, que proporciona mitjans per comunicar-se amb els tokens a través d'USB (s'admeten els protocols FIDO U2F / CTAP 1 i FIDO 2.0 / CTAP 2).
la biblioteca intermèdia libsk-libfido2 preparada pels desenvolupadors d'OpenSSH s'inclou en el nucli libfido2, Així com el controlador HID per OpenBSD.
Per habilitar U2F, es pot usar una nova porció de la base de codi de el repositori d'OpenSSH i la branca HEAD de la biblioteca libfido2, que ja inclou la capa necessària per OpenSSH. Libfido2 admet el treball en OpenBSD, Linux, macOS i Windows.
Hem escrit un middleware bàsic per libfido2 de Yubico que és capaç de parlar amb qualsevol símbol estàndard USB HID U2F o FIDO2. El middleware. La font està allotjada en l'arbre libfido2, de manera que construir això i OpenSSH HEAD és suficient per començar
La clau pública (id_ecdsa_sk.pub) s'ha de copiar a servidor al fitxer autorizado_claves. A la banda de servidor, només es verifica una signatura digital i la interacció amb els tokens es realitza en el costat de el client (no cal instal·lar libsk-libfido2 al servidor, però el servidor ha d'admetre el tipus de clau «ECDSA-sk »).
La clau privada generada (id_ecdsa_sk) És essencialment un descriptor de clau que forma una clau real només en combinació amb una seqüència secreta emmagatzemada al costat de el testimoni U2F.
Si la clau id_ecdsa_sk cau en mans de l'atacant, per a l'autenticació, també necessitarà accedir a el testimoni de maquinari, sense el qual la clau privada emmagatzemada en l'arxiu id_ecdsa_sk és inútil.
A més, per defecte, quan es realitzen operacions clau (Tant durant la generació com l'autenticació), es requereix una confirmació local de la presència física de l'usuari, Per exemple, se suggereix tocar el sensor en el testimoni, el que dificulta realitzar atacs remots en sistemes amb un símbol connectat.
En l'etapa d'inici de ssh-keygen, també es pot configurar una altra contrasenya per accedir a l'arxiu amb la clau.
La clau U2F es pot afegir a agent ssh a través d ' «ssh-add~/.ssh/id_ecdsa_sk«, Però agent ssh ha de compilar amb suport per a les tecles ECDSA-sk, La capa libsk-libfido2 ha d'estar present i l'agent s'ha d'executar en el sistema a què símbol està connectat.
S'ha afegit un nou tipus de clau ECDSA-sk ja que el format de clau ECDSA OpenSSH difereix de el format U2F per a les signatures digitals ECDSA per la presència de camps addicionals.
Si vols conèixer més a l'respecte pots consultar el següent enllaç.