OpenSSH는 이미 XNUMX 단계 인증에 대한 초기 지원을 제공합니다.

Darkcrizt

4 분

A2F 오픈SSH

OpenSSH는 암호화 된 통신을 허용하는 애플리케이션 세트입니다. SSH 프로토콜을 사용하여 네트워크를 통해 이중 인증에 대한 실험적 지원을 추가했습니다. FIDO 얼라이언스에서 개발 한 U2F 프로토콜을 지원하는 장치를 사용하여 코드베이스에 추가합니다.

모르는 사람들을 위해 U2F, 그들은 알아야한다, 이것은 저렴한 하드웨어 보안 토큰을 만들기위한 개방형 표준입니다.. 이것은 사용자가 하드웨어 지원 키 쌍을 얻는 가장 저렴한 방법이며 다양한 제조업체가 있습니다. 판매하는 사람 포함s Yubico, Feitian, Thetis 및 Kensington.

하드웨어 지원 키는 훔치기가 훨씬 더 어렵다는 이점을 제공합니다. 공격자는 일반적으로 키를 훔치기 위해 물리적 토큰을 훔쳐 야합니다 (또는 적어도 영구적 인 액세스).

USB, 블루투스, NFC 등 U2F 장치와 통신하는 방법은 여러 가지가 있기 때문에 많은 종속성이있는 OpenSSH를로드하고 싶지 않았습니다. 대신 토큰과 통신하는 작업을 소규모 사용자에게 위임했습니다. 쉽게로드 할 수있는 미들웨어 라이브러리로 기존 PKCS # 11 지원과 유사합니다.

OpenSSH는 이제 실험적인 U2F / FIDO 지원을 제공합니다., U2F를 사용하면 새 키 유형으로 추가됩니다. sk-ecdsa-sha2-nistp256@openssh.com 또는«ecdsa-sk"줄여서 ("sk ""보안 키 ")).

토큰과 상호 작용하는 절차가 중간 라이브러리로 이동되었습니다.이는 PKCS # 11 지원을위한 라이브러리와 유사하게로드되며 USB (FIDO U2F / CTAP 2 및 FIDO 1 / CTAP 2.0)를 통해 토큰과 통신하는 수단을 제공하는 libfido2 라이브러리의 링크입니다.

도서관 인터 미디어 libsk-libfido2 OpenSSH 개발자가 준비 libfido2 커널에 포함되어 있습니다., OpenBSD 용 HID 드라이버.

U2F를 활성화하려면 OpenSSH 저장소의 코드베이스의 새로운 부분을 사용할 수 있습니다. 이미 OpenSSH에 필요한 레이어를 포함하고있는 libfido2 라이브러리의 HEAD 브랜치. Libfido2는 OpenBSD, Linux, macOS 및 Windows에서 작업을 지원합니다.

표준 USB HID U2F 또는 FIDO2 토큰과 통신 할 수있는 Yubico의 libfido2 용 기본 미들웨어를 작성했습니다. 미들웨어. 소스는 libfido2 트리에서 호스팅되므로이를 빌드하고 OpenSSH HEAD를 사용하면 시작하기에 충분합니다.

공개 키 (id_ecdsa_sk.pub)는 authorized_keys 파일의 서버에 복사해야합니다. 서버 측에서는 디지털 서명 만 확인되고 토큰과의 상호 작용이 클라이언트 측에서 수행됩니다 (libsk-libfido2를 서버에 설치할 필요는 없지만 서버는 키 유형 "ecdsa-sk»를 지원해야합니다).

생성 된 개인 키 (ecdsa_sk_id)는 본질적으로 U2F 토큰 측에 저장된 비밀 시퀀스와 결합하여 실제 키를 형성하는 키 설명자입니다.

열쇠라면 ecdsa_sk_id 공격자는 인증을 위해 하드웨어 토큰에 액세스해야합니다. 그렇지 않으면 id_ecdsa_sk 파일에 저장된 개인 키가 쓸모가 없습니다.

또한, 기본적으로 키 작업이 수행 될 때 (생성 및 인증 중), 사용자의 실제 존재에 대한 로컬 확인이 필요합니다.예를 들어 토큰의 센서를 터치하는 것이 좋습니다. 이렇게하면 토큰이 연결된 시스템에 대한 원격 공격을 수행하기 어렵습니다.

의 시작 단계에서 ssh-keygen, 다른 암호도 설정할 수 있습니다. 키로 파일에 액세스합니다.

U2F 키를 추가 할 수 있습니다. ssh 에이전트 "를 통해ssh 추가 ~ / .ssh / id_ecdsa_sk"하지만 ssh 에이전트 키 지원으로 컴파일해야합니다. ecdsa-sk, libsk-libfido2 계층이 있어야하며 에이전트가 연결된 토큰이있는 시스템에서 실행 중이어야합니다.

새로운 유형의 키가 추가되었습니다. ecdsa-sk 키 형식 이후 ECDSA OpenSSH는 디지털 서명의 U2F 형식과 다릅니다. ECDSA 추가 필드의 존재로.

그것에 대해 더 알고 싶다면 당신은 상담 할 수 있습니다 다음 링크. 


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자: AB Internet Networks 2008 SL
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.