OpenSSH salattujen viestien salliminen verkon kautta käyttämällä SSH-protokollaa on lisännyt kokeellista tukea kaksivaiheiselle todennukselle koodikantaansa käyttämällä laitteita, jotka tukevat FIDO-allianssin kehittämää U2F-protokollaa.
Niille, jotka eivät tiedä U2F, heidän pitäisi tietää se, tämä on avoin standardi halpojen laitteistoturvakoodien valmistamiseen. Nämä ovat helposti halvin tapa käyttäjille saada laitteistotuettu avainpari ja valmistajia on paljon jotka myyvät niitä, mukaan lukiens Yubico, Feitian, Thetis ja Kensington.
Laitteistotuetuilla avaimilla on se etu, että varastaminen on huomattavasti vaikeampi: Hyökkääjän on yleensä varastettava fyysinen tunnus (tai ainakin jatkuva pääsy siihen) avaimen varastamiseksi.
Koska U2F-laitteiden kanssa on useita tapoja puhua, mukaan lukien USB, Bluetooth ja NFC, emme halunneet ladata OpenSSH: tä runsaalla riippuvuussuhteella. Sen sijaan olemme siirtäneet tehtävän kommunikoida tunnusten kanssa pieneen väliohjelmisto, joka latautuu samanlaiseen kuin nykyinen PKCS # 11 -tuki.
OpenSSH: lla on nyt kokeellinen U2F / FIDO-tuki, U2F: n kanssa se lisätään uudeksi avaintyypiksi sk-ecdsa-sha2-nistp256@openssh.com tai «ecdsa-sk"Lyhyesti (" sk "tarkoittaa" suojausavain ").
Menettelytavat vuorovaikutuksessa tunnusten kanssa on siirretty välikirjastoon, joka ladataan analogisesti PKCS # 11 -tukikirjaston kanssa ja on linkki libfido2-kirjastoon, joka tarjoaa keinot kommunikoida tokenien kanssa USB: n kautta (FIDO U2F / CTAP 1 ja FIDO 2.0 / CTAP 2).
Kirjasto intermedia libsk-libfido2 valmistelleet OpenSSH-kehittäjät sisältyy libfido2-ytimeen, samoin kuin OpenBSD: n HID-ohjain.
Ota U2F käyttöön uutta osaa OpenSSH-arkiston koodikannasta voidaan käyttää ja libfido2-kirjaston HEAD-haara, joka sisältää jo tarvittavan kerroksen OpenSSH: lle. Libfido2 tukee työskentelyä OpenBSD: llä, Linuxilla, macOS: lla ja Windowsilla.
Olemme kirjoittaneet Yubicon libfido2: lle perusohjelman, joka pystyy puhumaan minkä tahansa tavallisen USB HID U2F- tai FIDO2-tunnuksen kanssa. Väliohjelmisto. Lähde on isännöi libfido2-puussa, joten sen ja OpenSSH HEAD: n rakentaminen riittää aloittamaan
Julkinen avain (id_ecdsa_sk.pub) on kopioitava palvelimelle valtuutettujen avainten tiedostoon. Palvelinpuolella tarkistetaan vain digitaalinen allekirjoitus ja vuorovaikutus tunnusten kanssa tehdään asiakaspuolella (libsk-libfido2 ei tarvitse asentaa palvelimelle, mutta palvelimen on tuettava avaintyyppiä "ecdsa-sk" ).
Luotu yksityinen avain (ecdsa_sk_id) on pohjimmiltaan avainkuvaaja, joka muodostaa todellisen avaimen vain yhdessä U2F-tunnussivulle tallennetun salaisen sekvenssin kanssa.
Jos avain ecdsa_sk_id joutuu hyökkääjän käsiin, todennusta varten hänen on käytettävä myös laitteistotunnusta, jota ilman id_ecdsa_sk-tiedostoon tallennettu yksityinen avain on hyödytön.
Lisäksi, oletuksena, kun keskeiset toiminnot suoritetaan (sekä luomisen että todennuksen aikana), Paikallinen vahvistus käyttäjän fyysisestä läsnäolosta vaaditaanEsimerkiksi on suositeltavaa koskettaa tunnisteen anturia, mikä vaikeuttaa etähyökkäysten tekemistä järjestelmiin, joissa on yhdistetty tunnus.
Vuoden alussa ssh-keygen, myös muu salasana voidaan asettaa päästäksesi tiedostoon avaimella.
U2F-avain voidaan lisätä SSH-aine kautta "ssh-add ~/.ssh/id_ecdsa_sk", mutta SSH-aine on koottava avaintuella ecdsa-sk, libsk-libfido2-kerroksen on oltava läsnä ja agentin on oltava käynnissä järjestelmässä, johon tunnus on liitetty.
Uuden tyyppinen avain on lisätty ecdsa-sk koska avaimen muoto ECDSA OpenSSH eroaa digitaalisten allekirjoitusten U2F-muodosta ECDSA lisäämällä kentät.
Jos haluat tietää enemmän siitä voit kuulla seuraava linkki.