OpenSSH krüptitud sidet võimaldavate rakenduste kogum võrgu kaudu, kasutades SSH-protokolli on lisanud kahetegurilise autentimise eksperimentaalse toe oma koodibaasi, kasutades seadmeid, mis toetavad FIDO alliansi välja töötatud U2F-protokolli.
Neile, kes seda ei tea U2F, nad peaksid seda teadma, see on avatud standard odavate riistvara turvamärkide valmistamiseks. Need on kasutajatele hõlpsasti odavaim viis riistvaraga tagatud võtmepaari saamiseks tootjaid on hea valik kes neid müüvad, sealhulgass Yubico, Feitian, Thetis ja Kensington.
Riistvaraga tagatud võtmete eeliseks on märksa raskem varastada: ründaja peab võtme varastamiseks tavaliselt varastama füüsilise märgi (või vähemalt sellele püsiva juurdepääsu).
Kuna U2F-seadmetega on palju võimalusi, sealhulgas USB, Bluetooth ja NFC, ei tahtnud me OpenSSH-i laadida hulgaliselt sõltuvusi. Selle asemel oleme delegeerinud märkidega suhtlemise ülesande väikesele hõlpsasti laaditava vahevara kogu, sarnane olemasoleva PKCS # 11 toega.
OpenSSH-l on nüüd eksperimentaalne U2F / FIDO tugi, U2F-iga lisatakse see uue võtmetüübina sk-ecdsa-sha2-nistp256@openssh.com või «ecdsa-sk"Lühidalt (" sk "tähistab" turvavõti ").
Märkidega suhtlemise protseduurid on teisaldatud vahekogusse, mis laaditakse analoogia põhjal PKCS # 11 toe teegiga ja on link libfido2 teegis, mis pakub vahendeid USB-ühenduse kaudu märkidega suhtlemiseks (FIDO U2F / CTAP 1 ja FIDO 2.0 / CTAP 2).
Raamatukogu intermedia libsk-libfido2 koostanud OpenSSH arendajad on lisatud libfido2 kernelisse, samuti OpenBSD HID-draiver.
U2F-i lubamiseks saab kasutada uut osa OpenSSH-i hoidlast pärit koodibaasist ja libfido2 teegi haru HEAD, mis sisaldab juba OpenSSH jaoks vajalikku kihti. Libfido2 toetab tööd OpenBSD, Linuxi, macOSi ja Windowsiga.
Oleme Yubico libfido2 jaoks kirjutanud põhivahevara, mis on võimeline rääkima mis tahes tavalise USB HID U2F või FIDO2 märgiga. Vahevara. Allikas on hostitud libfido2 puul, nii et selle ja OpenSSH HEADi ehitamine on alustamiseks piisav
Avalik võti (id_ecdsa_sk.pub) tuleb serverisse kopeerida failis autoriseeritud võtmed. Serveri poolel kontrollitakse ainult digitaalset allkirja ja kliendipoolel toimub vastastikune mõju tokenidega (libsk-libfido2 pole vaja serverisse installida, kuid server peab toetama võtmetüüpi "ecdsa-sk»).
Loodud privaatne võti (ecdsa_sk_id) on põhiliselt võtmekirjeldus, mis moodustab reaalse võtme ainult koos salajase järjestusega, mis on salvestatud U2F-märgise küljele.
Kui võti ecdsa_sk_id satub ründaja kätte, autentimiseks on tal vaja juurde pääseda ka riistvaralikule märgile, ilma milleta on id_ecdsa_sk faili salvestatud privaatne võti kasutu.
Lisaks vaikimisi, kui tehakse peamisi toiminguid (nii genereerimise kui ka autentimise ajal), on vaja kohaliku füüsilise kohaloleku kinnitustNäiteks soovitatakse puudutada märgil olevat andurit, mis muudab ühendatud märgiga süsteemide kaugrünnakute sooritamise keeruliseks.
Aasta alguses ssh-keygen, saab määrata ka muu parooli failile juurdepääsuks võtmega.
U2F-klahvi saab lisada ssh-agent kaudu "ssh-add ~/.ssh/id_ecdsa_sk", aga ssh-agent tuleb koostada võtmetoega ecdsa-sk, peab olema kiht libsk-libfido2 olemas ja agent peab töötama süsteemis, millesse see on ühendatud.
Lisatud on uut tüüpi võti ecdsa-sk alates võtme vormingust ecdsa OpenSSH erineb digitaalsete allkirjade U2F-vormingust ECDSA täiendavate väljade olemasolu tõttu.
Kui soovite selle kohta rohkem teada saada saate nõu pidada järgmine link.