OpenSSH sæt applikationer, der tillader krypteret kommunikation over et netværk ved hjælp af SSH-protokollen tilføjet eksperimentel støtte til to-faktor autentificering til din kodebase ved hjælp af enheder, der understøtter U2F-protokollen udviklet af FIDO-alliancen.
For dem der ikke er opmærksomme på U2F, de burde vide det, dette er en åben standard til fremstilling af billige hardwaresikkerhedstokens. Disse er let den billigste måde for brugere at få et hardware-understøttet nøglepar og der er et godt udvalg af producenter der sælger dem, inkls Yubico, Feitian, Thetis og Kensington.
Hardware-understøttede nøgler giver den fordel, at de er betydeligt sværere at stjæle: en angriber er typisk nødt til at stjæle det fysiske token (eller i det mindste vedvarende adgang til det) for at stjæle nøglen.
Da der er flere måder at tale med U2F-enheder på, inklusive USB, Bluetooth og NFC, ønskede vi ikke at indlæse OpenSSH med en masse afhængigheder. I stedet har vi uddelegeret opgaven med at kommunikere med tokens til en lille middleware bibliotek, der indlæses på en enkel måde, svarende til eksisterende PKCS#11-understøttelse.
OpenSSH har nu eksperimentel U2F/FIDO-understøttelse, med U2F tilføjet som en ny nøgletype sk-ecdsa-sha2-nistp256@openssh.com eller «ecdsa-sk" for kort ("sk" står for "sikkerhedsnøgle").
Procedurer for interaktion med tokens er blevet flyttet til et mellembibliotek, som er indlæst analogt med biblioteket til PKCS #11-understøttelse og er et link over libfido2-biblioteket, som giver mulighed for at kommunikere med tokens over USB (FIDO U2F/CTAP 1- og FIDO 2.0-protokoller understøttes/CTAP 2).
Bibliotek intermedia libsk-libfido2 udarbejdet af OpenSSH-udviklere er inkluderet i libfido2-kernen, samt HID-driveren til OpenBSD.
For at aktivere U2F, en ny del af OpenSSH-lagerets kodebase kan bruges og HEAD-grenen af libfido2-biblioteket, som allerede inkluderer det nødvendige lag til OpenSSH. Libfido2 understøtter arbejde på OpenBSD, Linux, macOS og Windows.
Vi har skrevet en grundlæggende middleware til Yubicos libfido2, der er i stand til at tale med enhver standard USB HID U2F eller FIDO2 token. Mellemvare. Kilden er hostet i libfido2-træet, så det er nok at bygge det og OpenSSH HEAD til at komme i gang.
Den offentlige nøgle (id_ecdsa_sk.pub) skal kopieres til serveren i filen authorized_keys. På serversiden verificeres kun en digital signatur og interaktion med tokens udføres på klientsiden (libsk-libfido2 skal ikke installeres på serveren, men serveren skal understøtte nøgletypen "ecdsa-sk »).
Den genererede private nøgle (ecdsa_sk_id) er i det væsentlige en nøglebeskrivelse, der kun danner en rigtig nøgle i kombination med en hemmelig sekvens gemt på U2F-tokensiden.
hvis nøglen ecdsa_sk_id falder i hænderne på angriberen, for godkendelse, vil han også have brug for adgang til hardware-tokenet, uden hvilket den private nøgle gemt i id_ecdsa_sk-filen er ubrugelig.
Derudover som standard, når nøglehandlinger udføres (både under generering og godkendelse), en lokal bekræftelse af brugerens fysiske tilstedeværelse er påkrævetFor eksempel foreslås det at røre ved sensoren på tokenet, hvilket gør det vanskeligt at udføre fjernangreb på systemer med et token tilknyttet.
I startfasen af ssh-keygen, anden adgangskode kan også indstilles for at få adgang til filen med nøglen.
U2F-nøgle kan tilføjes ssh-agent igennem "ssh-add ~/.ssh/id_ecdsa_sk", men ssh-agent skal kompileres med understøttelse af nøgler ecdsa-sk, skal libsk-libfido2-laget være til stede, og agenten skal køre på det system, som tokenet er knyttet til.
En ny type nøgle er blevet tilføjet ecdsa-sk siden nøgleformatet ecdsa OpenSSH adskiller sig fra U2F-formatet for digitale signaturer ECDSA ved tilstedeværelsen af yderligere felter.
Hvis du vil vide mere om det du kan konsultere følgende link.