OpenSSH એ એપ્લિકેશનોનો સમૂહ છે કે જે એન્ક્રિપ્ટેડ સંદેશાઓને મંજૂરી આપે છે નેટવર્ક ઉપર, એસએસએચ પ્રોટોકોલનો ઉપયોગ કરીને દ્વિ-પરિબળ પ્રમાણીકરણ માટે પ્રાયોગિક સપોર્ટ ઉમેર્યો છે તેના કોડ બેઝ પર, એફઆઈડીડીઓ જોડાણ દ્વારા વિકસિત યુ 2 એફ પ્રોટોકોલને સપોર્ટ કરનારા ઉપકરણોનો ઉપયોગ કરીને.
જેઓ જાણતા નથી તેમના માટે યુ 2 એફ, તેઓને તે જાણવું જોઈએ, આ ઓછા ખર્ચે હાર્ડવેર સુરક્ષા ટોકન બનાવવા માટેનું એક ખુલ્લું માનક છે. વપરાશકર્તાઓ માટે હાર્ડવેર-બેક્ડ કી જોડી મેળવવાનો આ સહેલો રસ્તો છે ઉત્પાદકોની સારી શ્રેણી છે કોણ તેમને વેચે છે, સહિતઓ યુબિકો, ફિશિયન, થિટિસ અને કેન્સિંગ્ટન.
હાર્ડવેર-બેક્ડ કીઓ ચોરી કરવામાં નોંધપાત્ર રીતે વધુ મુશ્કેલ હોવાનો ફાયદો પ્રદાન કરે છે: કોઈ ચોરી કરવા માટે કોઈ હુમલાખોર સામાન્ય રીતે શારીરિક ટોકન (અથવા ઓછામાં ઓછું સતત વપરાશ) ચોરી લે છે.
યુ.એસ.બી., બ્લૂટૂથ અને એનએફસી સહિત યુ 2 એફ ઉપકરણો સાથે વાત કરવાની ઘણી રીતો છે, તેથી, આપણે એક ટન અવલંબન સાથે ઓપનએસએચ લોડ કરવા માંગતા ન હતા, તેના બદલે, અમે ટોકન સાથે વાતચીત કરવાનું કાર્ય સોંપ્યું છે. મિડલવેરનું નાનું પુસ્તકાલય જે હાલના પીકેસીએસ # 11 સપોર્ટની સમાન લોડ થાય છે.
હવે OpenSSH પાસે પ્રાયોગિક U2F / FIDO સપોર્ટ છે, યુ 2 એફ સાથે તે નવા કી પ્રકાર તરીકે ઉમેરવામાં આવ્યો છે sk-ecdsa-sha2-nistp256@openssh.com અથવા «ecdsa-sk"ટૂંકા માટે (" sk "એટલે" સુરક્ષા કી ").
ટોકન્સ સાથે વાતચીત કરવાની પ્રક્રિયાઓ મધ્યવર્તી લાઇબ્રેરીમાં ખસેડવામાં આવી છે, કે જે પીકેસીએસ # 11 સપોર્ટ માટે લાઇબ્રેરી સાથે સમાનતા દ્વારા લોડ થયેલ છે અને લિબફિડો 2 લાઇબ્રેરી પર એક લિંક છે, જે યુએસબી (ફિડો યુ 2 એફ / સીટીએપી 1 અને ફિડો 2.0 / સીટીએપી 2) દ્વારા ટોકન્સ સાથે વાતચીત કરવાનો અર્થ પ્રદાન કરે છે.
પુસ્તકાલય મધ્યવર્તી libsk-libfido2 OpenSSH વિકાસકર્તાઓ દ્વારા તૈયાર libfido2 કર્નલ માં સમાવેલ છે, તેમજ ઓપનબીએસડી માટે એચઆઈડી ડ્રાઇવર.
U2F ને સક્ષમ કરવા માટે, OpenSSH રીપોઝીટરી કોડ બેઝનો નવો ભાગ વાપરી શકાય છે અને લિબિફિડો 2 લાઇબ્રેરીની હેડ શાખા, જેમાં પહેલાથી જ OpenSSH માટે જરૂરી સ્તર શામેલ છે. લિબિફિડો 2, ઓપનબીએસડી, લિનક્સ, મcકોઝ અને વિંડોઝ પર કામ કરવાનું સમર્થન આપે છે.
અમે યુબિકોના લિબિફિડો 2 માટે એક મૂળભૂત મિડલવેર લખ્યું છે જે કોઈપણ માનક યુએસબી એચઆઇડી યુ 2 એફ અથવા એફઆઈડીઓ 2 ટોકન સાથે વાત કરવા સક્ષમ છે. મિડલવેર. સ્રોત લિબિફિડો 2 ટ્રીમાં હોસ્ટ કરેલું છે, તેથી તે બનાવવાનું અને OpenSSH હેડ તમને પ્રારંભ કરવા માટે પૂરતા છે
સાર્વજનિક કી (id_ecdsa_sk.pub) ને અધિકૃત_કીઝ ફાઇલમાં સર્વર પર કiedપિ કરવી આવશ્યક છે. સર્વર બાજુ, ફક્ત ડિજિટલ હસ્તાક્ષરની ચકાસણી કરવામાં આવે છે અને ક્લાયંટ બાજુ ટોકન્સ સાથેની ક્રિયાપ્રતિક્રિયા કરવામાં આવે છે (libsk-libfido2 ને સર્વર પર ઇન્સ્ટોલ કરવાની જરૂર નથી, પરંતુ સર્વરે કી પ્રકાર "ecdsa-sk support ને સમર્થન આપવું જોઈએ" ).
જનરેટ કરેલી ખાનગી કી (ecdsa_sk_id) એ અનિવાર્યપણે એક કી વર્ણનકાર છે જે ફક્ત યુ 2 એફ ટોકન બાજુ પર સંગ્રહિત ગુપ્ત ક્રમ સાથે સંયોજનમાં વાસ્તવિક કી બનાવે છે.
જો કી ecdsa_sk_id હુમલાખોરના હાથમાં આવે છે, પ્રમાણીકરણ માટે, તેને હાર્ડવેર ટોકનને પણ toક્સેસ કરવાની જરૂર પડશે, જેના વિના id_ecdsa_sk ફાઇલમાં સ્ટોર કરેલી ખાનગી કી નકામું છે.
ઉપરાંત, ડિફ defaultલ્ટ રૂપે, જ્યારે કી ક્રિયાઓ કરવામાં આવે છે (બંને પે generationી અને પ્રમાણીકરણ દરમિયાન), વપરાશકર્તાની શારીરિક હાજરીની સ્થાનિક પુષ્ટિ જરૂરી છેઉદાહરણ તરીકે, ટોકન પર સેન્સરને સ્પર્શવાનું સૂચન છે, જે કનેક્ટેડ ટોકનવાળી સિસ્ટમ્સ પર રીમોટ એટેક કરવામાં મુશ્કેલ બનાવે છે.
ની શરૂઆતના તબક્કે ssh-keygen, અન્ય પાસવર્ડ પણ સેટ કરી શકાય છે કી સાથે ફાઇલ accessક્સેસ કરવા માટે.
U2F કી ઉમેરી શકાય છે ssh-એજન્ટ દ્વારા "ssh-ઉમેરો ~/.ssh/id_ecdsa_sk", પરંતુ ssh-એજન્ટ કી આધાર સાથે કમ્પાઈલ થયેલ હોવું જ જોઈએ ecdsa-sk, libsk-libfido2 સ્તર હાજર હોવું જ જોઇએ અને એજન્ટ તે સિસ્ટમ પર ચાલતો હોવો જ જોઇએ કે જેમાં તે ટોકન જોડાયેલ છે.
એક નવી પ્રકારની કી ઉમેરવામાં આવી છે ecdsa-sk કી બંધારણ થી ecdsa ડિજિટલ હસ્તાક્ષરો માટે ઓપનએસએચ U2F ફોર્મેટથી અલગ છે ઇસીડીએસએ વધારાના ક્ષેત્રોની હાજરી દ્વારા.
જો તમે તેના વિશે વધુ જાણવા માંગતા હો તમે સંપર્ક કરી શકો છો નીચેની કડી.