OpenSSH το σύνολο εφαρμογών που επιτρέπουν κρυπτογραφημένες επικοινωνίες μέσω δικτύου, χρησιμοποιώντας το πρωτόκολλο SSH έχει προσθέσει πειραματική υποστήριξη για έλεγχο ταυτότητας δύο παραγόντων στη βάση του κώδικα, χρησιμοποιώντας συσκευές που υποστηρίζουν το πρωτόκολλο U2F που αναπτύχθηκε από τη συμμαχία FIDO.
Για όσους δεν το γνωρίζουν U2F, θα πρέπει να το γνωρίζουν, αυτό είναι ένα ανοιχτό πρότυπο για τη δημιουργία διακριτικών ασφαλείας υλικού χαμηλού κόστους. Αυτοί είναι εύκολα ο φθηνότερος τρόπος για τους χρήστες να αποκτήσουν ένα ζεύγος κλειδιών που υποστηρίζεται από υλικό και υπάρχει μια καλή γκάμα κατασκευαστών που τα πουλάνε, συμπεριλαμβανομένωνs Yubico, Feitian, Thetis και Kensington.
Τα κλειδιά με υποστήριξη υλικού προσφέρουν το πλεονέκτημα ότι είναι πολύ πιο δύσκολο να κλέψουν: ένας εισβολέας πρέπει γενικά να κλέψει το φυσικό διακριτικό (ή τουλάχιστον επίμονη πρόσβαση σε αυτό) για να κλέψει το κλειδί.
Δεδομένου ότι υπάρχουν διάφοροι τρόποι για να μιλήσετε με συσκευές U2F, όπως USB, Bluetooth και NFC, δεν θέλαμε να φορτώσουμε το OpenSSH με έναν τόνο εξαρτήσεων. Αντ 'αυτού, έχουμε αναθέσει το έργο της επικοινωνίας με τα διακριτικά σε ένα μικρό βιβλιοθήκη μεσαίου λογισμικού που φορτώνεται με εύκολο τρόπο. παρόμοια με την υπάρχουσα υποστήριξη PKCS # 11.
Το OpenSSH έχει πλέον πειραματική υποστήριξη U2F / FIDO, με το U2F προστίθεται ως νέος τύπος κλειδιού sk-ecdsa-sha2-nistp256@openssh.com ή "εκδσα-σκΓια συντομία (το "sk" σημαίνει "κλειδί ασφαλείας").
Οι διαδικασίες αλληλεπίδρασης με μάρκες έχουν μετακινηθεί σε μια ενδιάμεση βιβλιοθήκη, το οποίο φορτώνεται κατ 'αναλογία με τη βιβλιοθήκη για υποστήριξη PKCS # 11 και αποτελεί σύνδεσμο στη βιβλιοθήκη libfido2, η οποία παρέχει μέσα επικοινωνίας με μάρκες μέσω USB (FIDO U2F / CTAP 1 και FIDO 2.0 / CTAP 2).
Βιβλιοθήκη ενδιάμεσος libsk-libfido2 προετοιμάστηκε από προγραμματιστές του OpenSSH περιλαμβάνεται στον πυρήνα libfido2, καθώς και το πρόγραμμα οδήγησης HID για το OpenBSD.
Για να ενεργοποιήσετε το U2F, Ένα νέο τμήμα της βάσης κώδικα από το αποθετήριο OpenSSH μπορεί να χρησιμοποιηθεί και τον κλάδο HEAD της βιβλιοθήκης libfido2, ο οποίος περιλαμβάνει ήδη το απαραίτητο επίπεδο για το OpenSSH. Το Libfido2 υποστηρίζει την εργασία σε OpenBSD, Linux, macOS και Windows.
Έχουμε γράψει ένα βασικό ενδιάμεσο λογισμικό για το libfido2 του Yubico που μπορεί να μιλήσει με οποιοδήποτε τυπικό διακριτικό USB HID U2F ή FIDO2. Το μεσαίο λογισμικό. Η πηγή φιλοξενείται στο δέντρο libfido2, οπότε η δημιουργία αυτού και το OpenSSH HEAD είναι αρκετά για να ξεκινήσετε
Το δημόσιο κλειδί (id_ecdsa_sk.pub) πρέπει να αντιγραφεί στο διακομιστή στο αρχείο εξουσιοδοτημένα κλειδιά. Από την πλευρά του διακομιστή, επαληθεύεται μόνο μια ψηφιακή υπογραφή και η αλληλεπίδραση με τα διακριτικά γίνεται από την πλευρά του πελάτη (το libsk-libfido2 δεν χρειάζεται να εγκατασταθεί στον διακομιστή, αλλά ο διακομιστής πρέπει να υποστηρίζει τον τύπο κλειδιού "ecdsa-sk» ).
Το παραγόμενο ιδιωτικό κλειδί (ecdsa_sk_id) είναι ουσιαστικά ένας περιγραφέας κλειδιών που σχηματίζει ένα πραγματικό κλειδί μόνο σε συνδυασμό με μια μυστική ακολουθία που είναι αποθηκευμένη στην πλευρά του διακριτικού U2F.
Εάν το κλειδί ecdsa_sk_id πέφτει στα χέρια του εισβολέα, για έλεγχο ταυτότητας, θα πρέπει επίσης να έχει πρόσβαση στο διακριτικό υλικού, χωρίς το οποίο το ιδιωτικό κλειδί που είναι αποθηκευμένο στο αρχείο id_ecdsa_sk είναι άχρηστο.
Επιπλέον, από προεπιλογή, όταν εκτελούνται βασικές λειτουργίες (τόσο κατά τη δημιουργία όσο και κατά τον έλεγχο ταυτότητας), απαιτείται τοπική επιβεβαίωση της φυσικής παρουσίας του χρήστηΓια παράδειγμα, προτείνεται να αγγίξετε τον αισθητήρα στο διακριτικό, γεγονός που καθιστά δύσκολη την εκτέλεση απομακρυσμένων επιθέσεων σε συστήματα με συνδεδεμένο διακριτικό.
Στο αρχικό στάδιο του ssh-keygen, άλλος κωδικός πρόσβασης μπορεί επίσης να οριστεί για πρόσβαση στο αρχείο με το κλειδί.
Το πλήκτρο U2F μπορεί να προστεθεί στο ssh-παράγοντα μέσω "ssh-add ~/.ssh/id_ecdsa_sk", αλλά ssh-παράγοντα πρέπει να μεταγλωττιστεί με βασική υποστήριξη εκδσα-σκ, το επίπεδο libsk-libfido2 πρέπει να υπάρχει και ο πράκτορας πρέπει να εκτελείται στο σύστημα στο οποίο είναι συνδεδεμένο το διακριτικό.
Προστέθηκε ένας νέος τύπος κλειδιού εκδσα-σκ από τη βασική μορφή εκδσα Το OpenSSH διαφέρει από τη μορφή U2F για ψηφιακές υπογραφές ECDSA από την παρουσία επιπλέον πεδίων.
Αν θέλετε να μάθετε περισσότερα για αυτό μπορείτε να συμβουλευτείτε τον ακόλουθο σύνδεσμο.