OpenSSH kumpulan aplikasi yang memungkinkan komunikasi terenkripsi melalui jaringan, menggunakan protokol SSH telah menambahkan dukungan eksperimental untuk otentikasi dua faktor ke basis kodenya, menggunakan perangkat yang mendukung protokol U2F yang dikembangkan oleh aliansi FIDO.
Bagi mereka yang tidak menyadarinya U2F, mereka seharusnya tahu itu, ini adalah standar terbuka untuk membuat token keamanan perangkat keras berbiaya rendah. Ini dengan mudah cara termurah bagi pengguna untuk mendapatkan pasangan kunci yang didukung perangkat keras dan ada berbagai produsen yang bagus yang menjualnya, termasuks Yubico, Feitian, Thetis, dan Kensington.
Kunci yang didukung perangkat keras menawarkan keuntungan karena jauh lebih sulit untuk dicuri: penyerang umumnya harus mencuri token fisik (atau setidaknya akses persisten ke sana) untuk mencuri kunci.
Karena ada sejumlah cara untuk berbicara dengan perangkat U2F, termasuk USB, Bluetooth, dan NFC, kami tidak ingin memuat OpenSSH dengan banyak dependensi. Sebagai gantinya, kami telah mendelegasikan tugas berkomunikasi dengan token ke yang kecil. perpustakaan middleware yang memuat dengan cara yang mudah, mirip dengan dukungan PKCS # 11 yang ada.
OpenSSH sekarang memiliki dukungan U2F / FIDO eksperimental, dengan U2F ditambahkan sebagai jenis kunci baru sk-ecdsa-sha2-nistp256@openssh.com atau "ecdsa-sk"Singkatnya (" sk "adalah singkatan dari" kunci keamanan ").
Prosedur untuk berinteraksi dengan token telah dipindahkan ke pustaka perantara, yang dimuat secara analogi dengan pustaka untuk dukungan PKCS # 11 dan merupakan tautan pada pustaka libfido2, yang menyediakan sarana untuk berkomunikasi dengan token melalui USB (FIDO U2F / CTAP 1 dan FIDO 2.0 / CTAP 2).
Perpustakaan menengah libsk-libfido2 disiapkan oleh pengembang OpenSSH disertakan dalam kernel libfido2, serta driver HID untuk OpenBSD.
Untuk mengaktifkan U2F, bagian baru dari basis kode dari repositori OpenSSH dapat digunakan dan cabang HEAD dari pustaka libfido2, yang sudah menyertakan lapisan yang diperlukan untuk OpenSSH. Libfido2 mendukung pengerjaan OpenBSD, Linux, macOS, dan Windows.
Kami telah menulis middleware dasar untuk libfido2 Yubico yang mampu berbicara dengan token USB HID U2F atau FIDO2 standar. Middleware. Sumber dihosting di pohon libfido2, jadi membangunnya dan OpenSSH HEAD sudah cukup untuk Anda mulai
Kunci publik (id_ecdsa_sk.pub) harus disalin ke server di file authorized_keys. Di sisi server, hanya tanda tangan digital yang diverifikasi dan interaksi dengan token dilakukan di sisi klien (libsk-libfido2 tidak perlu diinstal di server, tetapi server harus mendukung jenis kunci "ecdsa-sk» ).
Kunci pribadi yang dihasilkan (ecdsa_sk_id) pada dasarnya adalah deskriptor kunci yang membentuk kunci nyata hanya dalam kombinasi dengan urutan rahasia yang disimpan di sisi token U2F.
Jika kuncinya ecdsa_sk_id jatuh ke tangan penyerang, untuk otentikasi, dia juga perlu mengakses token perangkat keras, yang tanpanya kunci pribadi yang disimpan dalam file id_ecdsa_sk tidak berguna.
Selain itu, secara default, saat operasi kunci dilakukan (baik selama pembuatan dan otentikasi), konfirmasi lokal tentang keberadaan fisik pengguna diperlukanMisalnya, disarankan untuk menyentuh sensor pada token, yang membuatnya sulit untuk melakukan serangan jarak jauh pada sistem dengan token yang terhubung.
Pada tahap awal ssh-keygen, kata sandi lain juga dapat diatur untuk mengakses file dengan kunci.
Kunci U2F dapat ditambahkan ke ssh-agent melalui "ssh-add ~/.ssh/id_ecdsa_sk", tapi ssh-agent harus dikompilasi dengan dukungan kunci ecdsa-sk, lapisan libsk-libfido2 harus ada dan agen harus berjalan pada sistem yang memasang token.
Jenis kunci baru telah ditambahkan ecdsa-sk sejak format kunci ecdsa OpenSSH berbeda dari format U2F untuk tanda tangan digital PAUD dengan adanya bidang tambahan.
Jika Anda ingin tahu lebih banyak tentang itu Anda bisa berkonsultasi link berikut.