ओपनएसएसएच अनुप्रयोगों का सेट है जो एन्क्रिप्टेड संचार की अनुमति देता है SSH प्रोटोकॉल का उपयोग करके एक नेटवर्क पर दो-कारक प्रमाणीकरण के लिए प्रयोगात्मक समर्थन जोड़ा गया FIDO गठबंधन द्वारा विकसित U2F प्रोटोकॉल का समर्थन करने वाले उपकरणों का उपयोग करके, आपके कोड आधार पर।
अनजान लोगों के लिए U2F, उन्हें यह पता होना चाहिए, यह कम लागत वाले हार्डवेयर सुरक्षा टोकन बनाने के लिए एक खुला मानक है. उपयोगकर्ताओं के लिए हार्डवेयर-समर्थित कुंजी जोड़ी प्राप्त करने का ये आसानी से सबसे सस्ता तरीका है निर्माताओं की एक अच्छी श्रृंखला है जो उन्हें बेचते हैं, जिनमें शामिल हैंयूबिको, फ़ीटियन, थेटिस और केंसिंग्टन।
हार्डवेयर-समर्थित कुंजियाँ चोरी करना काफी कठिन होने का लाभ प्रदान करती हैं: एक हमलावर को कुंजी चुराने के लिए आमतौर पर भौतिक टोकन (या कम से कम उस तक लगातार पहुंच) चुराना पड़ता है।
चूँकि U2F उपकरणों से बात करने के कई तरीके हैं, जिनमें USB, ब्लूटूथ और NFC शामिल हैं, हम OpenSSH को निर्भरता के समूह के साथ लोड नहीं करना चाहते थे। इसके बजाय, हमने टोकन के साथ संचार करने का कार्य एक छोटे मिडलवेयर को सौंप दिया है लाइब्रेरी जो सरल तरीके से लोड होती है। मौजूदा PKCS#11 समर्थन के समान।
OpenSSH के पास अब प्रायोगिक U2F/FIDO समर्थन है, U2F को एक नए कुंजी प्रकार के रूप में जोड़ा गया sk-ecdsa-sha2-nistp256@openssh.com या «ईसीडीएसए-एसके"संक्षेप में ("sk" का अर्थ "सुरक्षा कुंजी" है)।
टोकन के साथ इंटरैक्ट करने की प्रक्रियाओं को एक मध्यवर्ती लाइब्रेरी में स्थानांतरित कर दिया गया है, जो PKCS #11 समर्थन के लिए लाइब्रेरी के अनुरूप लोड किया गया है और libfido2 लाइब्रेरी पर एक लिंक है, जो USB पर टोकन के साथ संचार करने का साधन प्रदान करता है (FIDO U2F/CTAP 1 और FIDO 2.0 प्रोटोकॉल समर्थित हैं/CTAP 2)।
पुस्तकालय मध्यम libsk-libfido2 ओपनएसएसएच डेवलपर्स द्वारा तैयार किया गया libfido2 कोर में शामिल है, साथ ही OpenBSD के लिए HID ड्राइवर।
U2F सक्षम करने के लिए, ओपनएसएसएच रिपॉजिटरी कोडबेस के एक नए हिस्से का उपयोग किया जा सकता है और libfido2 लाइब्रेरी की HEAD शाखा, जिसमें OpenSSH के लिए आवश्यक परत पहले से ही शामिल है। Libfido2 OpenBSD, Linux, macOS और Windows पर काम करने का समर्थन करता है।
हमने Yubico के libfido2 के लिए एक बुनियादी मिडलवेयर लिखा है जो किसी भी मानक USB HID U2F या FIDO2 टोकन से बात करने में सक्षम है। मिडलवेयर. स्रोत को libfido2 ट्री में होस्ट किया गया है, इसलिए इसे बनाना और OpenSSH HEAD आपको आरंभ करने के लिए पर्याप्त है।
सार्वजनिक कुंजी (id_ecdsa_sk.pub) को अधिकृत_की फ़ाइल में सर्वर पर कॉपी किया जाना चाहिए। सर्वर साइड पर, केवल एक डिजिटल हस्ताक्षर सत्यापित किया जाता है और क्लाइंट साइड पर टोकन के साथ इंटरेक्शन किया जाता है (libsk-libfido2 को सर्वर पर इंस्टॉल करने की आवश्यकता नहीं है, लेकिन सर्वर को कुंजी प्रकार "ecdsa-sk ») का समर्थन करना चाहिए।
उत्पन्न निजी कुंजी (ecdsa_sk_id) अनिवार्य रूप से एक कुंजी वर्णनकर्ता है जो केवल U2F टोकन पक्ष पर संग्रहीत एक गुप्त अनुक्रम के संयोजन में एक वास्तविक कुंजी बनाता है।
यदि कुंजी ecdsa_sk_id हमलावर के हाथों में पड़ जाता है, प्रमाणीकरण के लिए उसे हार्डवेयर टोकन तक पहुंच की भी आवश्यकता होगी, जिसके बिना id_ecdsa_sk फ़ाइल में संग्रहीत निजी कुंजी बेकार है।
इसके अलावा, डिफ़ॉल्ट रूप से, जब कुंजी संचालन निष्पादित किया जाता है (पीढ़ी और प्रमाणीकरण दोनों के दौरान), उपयोगकर्ता की भौतिक उपस्थिति की स्थानीय पुष्टि आवश्यक हैउदाहरण के लिए, टोकन पर सेंसर को छूने का सुझाव दिया गया है, जिससे टोकन संलग्न सिस्टम पर दूरस्थ हमले करना मुश्किल हो जाता है।
के आरंभिक चरण में ssh-keygen, अन्य पासवर्ड भी सेट किया जा सकता है कुंजी के साथ फ़ाइल तक पहुँचने के लिए।
U2F कुंजी को जोड़ा जा सकता है ssh-एजेंट के माध्यम से "ssh-जोड़ें ~/.ssh/id_ecdsa_sk", परंतु ssh-एजेंट कुंजियों के समर्थन के साथ संकलित किया जाना चाहिए ईसीडीएसए-एसके, libsk-libfido2 परत मौजूद होनी चाहिए और एजेंट को उस सिस्टम पर चलना चाहिए जिससे वह टोकन जुड़ा हुआ है।
एक नई प्रकार की कुंजी जोड़ी गई है ईसीडीएसए-एसके कुंजी प्रारूप के बाद से ECDSA डिजिटल हस्ताक्षर के लिए ओपनएसएसएच यू2एफ प्रारूप से भिन्न है ECDSA अतिरिक्त फ़ील्ड की उपस्थिति से.
अगर आप इसके बारे में और जानना चाहते हैं आप परामर्श कर सकते हैं निम्नलिखित लिंक।