OpenSSHはすでにXNUMX要素認証を最初にサポートしています

Darkcrizt

4分

A2F OpenSSH

OpenSSH暗号化された通信を可能にするアプリケーションのセット SSHプロトコルを使用して、ネットワーク経由で 二要素認証の実験的サポートを追加しました FIDOアライアンスによって開発されたU2Fプロトコルをサポートするデバイスを使用して、そのコードベースに。

知らない人のために U2F、 彼らはそれを知るべきです、これは低コストのハードウェアセキュリティトークンを作成するためのオープンスタンダードです。 これらは、ユーザーがハードウェアでバックアップされたキーペアを取得するための最も安価な方法であり、 かなりの範囲のメーカーがあります それらを販売する人、■Yubico、Feitian、Thetis、およびKensington。

ハードウェアでバックアップされたキーには、盗むのがかなり難しいという利点があります。攻撃者は通常、キーを盗むために物理トークン(または少なくともトークンへの永続的なアクセス)を盗む必要があります。

USB、Bluetooth、NFCなど、U2Fデバイスと通信する方法はいくつかあるため、OpenSSHに大量の依存関係をロードしたくはありませんでした。代わりに、トークンとの通信タスクをに委任しました。既存のPKCS#11サポートと同様にロードされるミドルウェアの小さなライブラリ。

OpenSSHは実験的なU2F / FIDOをサポートするようになりました、U2Fでは、新しいキータイプとして追加されます sk-ecdsa-sha2-nistp256@openssh.com または«ecdsa-sk「略して(「sk」は「セキュリティキー」の略)。

トークンを操作するための手順は、中間ライブラリに移動されました、PKCS#11サポート用のライブラリとの類推によってロードされ、USB(FIDO U2F / CTAP2およびFIDO1 / CTAP 2.0)を介してトークンと通信する手段を提供するlibfido2ライブラリ上のリンクです。

図書館 インターメディア libsk-libfido2 OpenSSH開発者が作成 libfido2カーネルに含まれています、およびOpenBSD用のHIDドライバー。

U2Fを有効にするには、 OpenSSHリポジトリからのコードベースの新しい部分を使用できます そして、libfido2ライブラリのHEADブランチには、OpenSSHに必要なレイヤーがすでに含まれています。 Libfido2は、OpenBSD、Linux、macOS、およびWindowsでの作業をサポートしています。

標準のUSBHIDU2FまたはFIDO2トークンと通信できるYubicoのlibfido2用の基本的なミドルウェアを作成しました。 ミドルウェア。 ソースはlibfido2ツリーでホストされているため、ソースとOpenSSHHEADをビルドするだけで開始できます。

公開鍵(id_ecdsa_sk.pub)は、authorized_keysファイルでサーバーにコピーする必要があります。 サーバー側では、デジタル署名のみが検証され、トークンとの対話はクライアント側で行われます(libsk-libfido2をサーバーにインストールする必要はありませんが、サーバーはキータイプ「ecdsa-sk»」をサポートする必要があります。 )。

生成された秘密鍵(ecdsa_sk_id)は基本的に、U2Fトークン側に格納されているシークレットシーケンスとの組み合わせでのみ実際のキーを形成するキー記述子です。

キーの場合 ecdsa_sk_id 攻撃者の手に渡ります。認証のために、攻撃者はハードウェアトークンにもアクセスする必要があります。これがないと、id_ecdsa_skファイルに保存されている秘密鍵は役に立ちません。

さらに、 デフォルトでは、キー操作が実行されるとき (生成中と認証中の両方)、 ユーザーの物理的な存在のローカル確認が必要ですたとえば、トークンのセンサーに触れることをお勧めします。これにより、トークンが接続されているシステムでリモート攻撃を実行することが困難になります。

の初期段階で ssh-keygen、その他のパスワードも設定できます キーを使用してファイルにアクセスします。

U2Fキーはに追加できます ssh-agent 「経由ssh-追加〜/ .ssh / id_ecdsa_sk"、 だが ssh-agent キーサポート付きでコンパイルする必要があります ecdsa-sk、libsk-libfido2レイヤーが存在する必要があり、エージェントは、トークンが接続されているシステムで実行されている必要があります。

新しいタイプのキーが追加されました ecdsa-sk キーフォーマット以降 ecdsa OpenSSHは、デジタル署名のU2F形式とは異なります ECDSA 追加のフィールドの存在によって。

あなたがそれについてもっと知りたいなら あなたは相談することができます 次のリンク。 


コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:AB Internet Networks 2008 SL
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。