OpenSSH l'insieme di applicazioni che consentono comunicazioni crittografate su una rete, utilizzando il protocollo SSH ha aggiunto il supporto sperimentale per l'autenticazione a due fattori alla sua base di codice, utilizzando dispositivi che supportano il protocollo U2F sviluppato dall'alleanza FIDO.
Per chi non lo sa U2F, dovrebbero saperlo, questo è uno standard aperto per la creazione di token di sicurezza hardware a basso costo. Questi sono facilmente il modo più economico per gli utenti di ottenere una coppia di chiavi supportata da hardware e c'è una buona gamma di produttori chi li vende, compresos Yubico, Feitian, Thetis e Kensington.
Le chiavi supportate da hardware offrono il vantaggio di essere notevolmente più difficili da rubare: un utente malintenzionato generalmente deve rubare il token fisico (o almeno l'accesso persistente ad esso) per poter rubare la chiave.
Poiché ci sono diversi modi per parlare con i dispositivi U2F, inclusi USB, Bluetooth e NFC, non volevamo caricare OpenSSH con un sacco di dipendenze. Invece, abbiamo delegato il compito di comunicare con i token a una piccola libreria middleware che viene caricato in un supporto simile a PKCS # 11 esistente.
OpenSSH ora ha il supporto sperimentale U2F / FIDO, con U2F viene aggiunto come nuovo tipo di chiave sk-ecdsa-sha2-nistp256@openssh.com o «ecdsa-sk"In breve (la" sk "sta per" chiave di sicurezza ").
Le procedure per interagire con i token sono state spostate in una libreria intermedia, che viene caricata per analogia con la libreria per il supporto PKCS # 11 ed è un collegamento alla libreria libfido2, che fornisce i mezzi per comunicare con i token tramite USB (FIDO U2F / CTAP 1 e FIDO 2.0 / CTAP 2).
La biblioteca intermedio libsk-libfido2 preparato dagli sviluppatori di OpenSSH è incluso nel kernel libfido2, così come il driver HID per OpenBSD.
Per abilitare U2F, può essere utilizzata una nuova porzione del codice base dal repository OpenSSH e il ramo HEAD della libreria libfido2, che include già il livello necessario per OpenSSH. Libfido2 supporta il lavoro su OpenBSD, Linux, macOS e Windows.
Abbiamo scritto un middleware di base per libfido2 di Yubico in grado di comunicare con qualsiasi token USB HID U2F o FIDO2 standard. Il middleware. Il sorgente è ospitato nell'albero libfido2, quindi crearlo e OpenSSH HEAD è sufficiente per iniziare
La chiave pubblica (id_ecdsa_sk.pub) deve essere copiata sul server nel file authorized_keys. Sul lato server, viene verificata solo una firma digitale e l'interazione con i token avviene sul lato client (non è necessario installare libsk-libfido2 sul server, ma il server deve supportare il tipo di chiave "ecdsa-sk» ).
La chiave privata generata (ecdsa_sk_id) è essenzialmente un descrittore di chiave che forma una chiave reale solo in combinazione con una sequenza segreta memorizzata sul lato del token U2F.
Se la chiave ecdsa_sk_id cade nelle mani dell'aggressore, che per l'autenticazione dovrà accedere anche al token hardware, senza il quale la chiave privata memorizzata nel file id_ecdsa_sk è inutile.
Inoltre, per impostazione predefinita, quando vengono eseguite le operazioni con i tasti (sia durante la generazione che durante l'autenticazione), è richiesta la conferma locale della presenza fisica dell'utenteAd esempio, si suggerisce di toccare il sensore sul token, il che rende difficile eseguire attacchi remoti su sistemi con un token connesso.
Nella fase iniziale di ssh-keygen, è possibile impostare anche un'altra password per accedere al file con la chiave.
La chiave U2F può essere aggiunta a ssh-agent attraverso "ssh-add ~/.ssh/id_ecdsa_sk", ma ssh-agent deve essere compilato con supporto chiave ecdsa-sk, il livello libsk-libfido2 deve essere presente e l'agente deve essere in esecuzione sul sistema a cui è collegato il token.
È stato aggiunto un nuovo tipo di chiave ecdsa-sk poiché il formato chiave ECDSA OpenSSH differisce dal formato U2F per le firme digitali ECDSA dalla presenza di campi aggiuntivi.
Se vuoi saperne di più puoi consultare il seguente collegamento.