OpenSSH skup aplikacija koje omogućuju šifriranu komunikaciju preko mreže, koristeći SSH protokol dodao je eksperimentalnu podršku za dvofaktorsku autentifikaciju na svoju bazu koda, koristeći uređaje koji podržavaju U2F protokol koji je razvio savez FIDO.
Za one koji ne znaju U2F, to bi trebali znati, ovo je otvoreni standard za izradu jeftinih hardverskih sigurnosnih tokena. To su korisnici najjeftiniji način da dobiju par ključeva s hardverskom potporom i postoji dobar raspon proizvođača koji ih prodaju, uključujućis Yubico, Feitian, Thetis i Kensington.
Ključevi podržani hardverom nude prednost što ih je znatno teže ukrasti: napadač obično mora ukrasti fizički token (ili barem trajni pristup njemu) kako bi ukrao ključ.
Budući da postoji niz načina za razgovor s U2F uređajima, uključujući USB, Bluetooth i NFC, nismo htjeli učitati OpenSSH s puno ovisnosti. Umjesto toga, zadatak komunikacije s tokenima prenijeli smo na mali knjižnica međuopreme koja se učitava na jednostavan način, slično postojećoj podršci za PKCS # 11.
OpenSSH sada ima eksperimentalnu U2F / FIDO podršku, s U2F dodan je kao nova vrsta ključa sk-ecdsa-sha2-nistp256@openssh.com ili "ecdsa-sk"Kratko (" sk "znači" sigurnosni ključ ").
Postupci interakcije s tokenima premješteni su u srednju knjižnicu, koji se po analogiji s knjižnicom učitava za podršku PKCS # 11 i predstavlja poveznicu u biblioteci libfido2 koja pruža sredstva za komunikaciju s tokenima putem USB-a (FIDO U2F / CTAP 1 i FIDO 2.0 / CTAP 2).
Knjižnica srednji libsk-libfido2 pripremili programeri OpenSSH uključen je u libfido2 jezgru, kao i HID pokretački program za OpenBSD.
Da biste omogućili U2F, može se koristiti novi dio baze koda iz spremišta OpenSSH i grana HEAD biblioteke libfido2, koja već uključuje potreban sloj za OpenSSH. Libfido2 podržava rad na OpenBSD-u, Linuxu, macOS-u i Windowsima.
Napisali smo osnovni međuoprema za Yubico-ov libfido2 koji može razgovarati sa bilo kojim standardnim USB HID U2F ili FIDO2 tokenom. Međuproizvod. Izvor je hostiran na stablu libfido2, pa je izrada i OpenSSH HEAD dovoljna za početak
Javni ključ (id_ecdsa_sk.pub) mora se kopirati na poslužitelj u datoteci odobreni_ključevi. Na strani poslužitelja potvrđuje se samo digitalni potpis, a interakcija s tokenima vrši se na strani klijenta (libsk-libfido2 ne treba instalirati na poslužitelj, ali poslužitelj mora podržavati tip ključa "ecdsa-sk» ).
Generirani privatni ključ (ecdsa_sk_id) je u osnovi deskriptor ključa koji stvara stvarni ključ samo u kombinaciji s tajnim slijedom pohranjenim na strani U2F tokena.
Ako je ključ ecdsa_sk_id padne u ruke napadača, radi provjere autentičnosti trebat će mu pristupiti i hardverskom tokenu bez kojeg je privatni ključ pohranjen u datoteci id_ecdsa_sk beskoristan.
Osim toga, prema zadanim postavkama, kada se izvode ključne operacije (i tijekom generiranja i provjere autentičnosti), potrebna je lokalna potvrda fizičke prisutnosti korisnikaNa primjer, predlaže se dodirivanje senzora na tokenu, što otežava izvođenje daljinskih napada na sustave s povezanim tokenom.
U početnoj fazi ssh-keygen, može se postaviti i druga lozinka za pristup datoteci s ključem.
U2F ključ se može dodati u ssh agent kroz "ssh-add ~/.ssh/id_ecdsa_sk", ali ssh agent mora se sastaviti s ključnom podrškom ecdsa-sk, sloj libsk-libfido2 mora biti prisutan i agent mora biti pokrenut na sustavu na koji je označen.
Dodana je nova vrsta ključa ecdsa-sk budući da je ključni format ecdsa OpenSSH se razlikuje od U2F formata za digitalne potpise ECDSA prisutnošću dodatnih polja.
Ako želite znati više o tome možete se posavjetovati sljedeći link.