„OpenSSH“ programų, leidžiančių užšifruotą ryšį, rinkinys per tinklą, naudojant SSH protokolą pridėjo eksperimentinį dviejų veiksnių autentifikavimo palaikymą į savo kodų bazę, naudojant įrenginius, palaikančius FIDO aljanso sukurtą U2F protokolą.
Tiems, kurie nežino U2F, jie turėtų tai žinoti, tai yra atviras pigių aparatūros saugos žetonų kūrimo standartas. Tai yra lengvai pigiausias būdas vartotojams gauti aparatine įranga palaikomą raktų porą ir yra geras gamintojų asortimentas kurie jas parduoda, tame tarpes Yubico, Feitianas, Thetisas ir Kensingtonas.
Aparatinės įrangos palaikomi raktai suteikia pranašumą, kad juos žymiai sunkiau pavogti: užpuolikas, norėdamas pavogti raktą, paprastai turi pavogti fizinį raktą (arba bent jau nuolatinę prieigą prie jo).
Kadangi yra daugybė būdų kalbėtis su U2F įrenginiais, įskaitant USB, „Bluetooth“ ir NFC, nenorėjome įkelti „OpenSSH“ su daugybe priklausomybių. Vietoj to, mes perdavėme užduotį bendrauti su prieigos raktais maža tarpinių programų biblioteka, įkeliama panašiai kaip esama PKCS # 11 parama.
„OpenSSH“ dabar turi eksperimentinį U2F / FIDO palaikymą, su U2F jis pridedamas kaip naujo tipo raktas sk-ecdsa-sha2-nistp256@openssh.com arba «ecdsa-sk"Trumpai tariant (" sk "reiškia" saugos raktas ").
Sąveikos su žetonais procedūros buvo perkeltos į tarpinę biblioteką, kuris yra įkeltas pagal analogiją su PKCS # 11 palaikymo biblioteka ir yra nuoroda į „libfido2“ biblioteką, kuri suteikia priemonių bendrauti su žetonais per USB (FIDO U2F / CTAP 1 ir FIDO 2.0 / CTAP 2).
Biblioteka Intermedia libsk-libfido2 parengė „OpenSSH“ kūrėjai yra įtrauktas į libfido2 branduolį, taip pat „OpenBSD“ HID tvarkyklę.
Norėdami įgalinti „U2F“, galima naudoti naują „OpenSSH“ saugyklos kodų bazės dalį ir „libfido2“ bibliotekos „HEAD“ filialas, kuriame jau yra būtinas „OpenSSH“ sluoksnis. „Libfido2“ palaiko darbą su „OpenBSD“, „Linux“, „macOS“ ir „Windows“.
Mes parašėme pagrindinę „Yubico“ libfido2 tarpinę programinę įrangą, galinčią kalbėti su bet kuriuo standartiniu USB HID U2F arba FIDO2 prieigos raktu. Tarpinė programinė įranga. Šaltinis yra „libfido2“ medyje, todėl norint sukurti, pakanka sukurti ir „OpenSSH HEAD“
Viešasis raktas (id_ecdsa_sk.pub) turi būti nukopijuotas į serverį faile Author_key. Serverio pusėje patikrinamas tik skaitmeninis parašas ir sąveika su žetonais atliekama kliento pusėje („libsk-libfido2“ nereikia įdiegti serveryje, tačiau serveris turi palaikyti rakto tipą „ecdsa-sk» ).
Sugeneruotas privatus raktas (ecdsa_sk_id) iš esmės yra raktų aprašas, kuris suformuoja tikrą raktą tik kartu su slapta seka, saugoma U2F žetono pusėje.
Jei raktas ecdsa_sk_id patenka į užpuoliko rankas, kad tapatybės nustatymui jis taip pat turės prieigą prie aparatinės įrangos prieigos rakto, be kurio asmeniniame rakte, saugomame id_ecdsa_sk, nenaudinga.
Be to, pagal numatytuosius nustatymus, kai atliekamos pagrindinės operacijos (tiek generavimo, tiek autentifikavimo metu), reikalingas vietinis vartotojo fizinio buvimo patvirtinimasPavyzdžiui, siūloma paliesti jutiklyje esantį jutiklį, todėl sunku atlikti nuotolines atakas prieš sistemas su prijungtu prieigos raktu.
Pradiniame etape ssh-keygen, galima nustatyti ir kitą slaptažodį norėdami pasiekti failą naudodami raktą.
U2F raktą galima pridėti prie ssh agentas per “ssh-add ~/.ssh/id_ecdsa_sk", bet ssh agentas turi būti sudarytas su pagrindine parama ecdsa-sk, „libsk-libfido2“ sluoksnis turi būti, o agentas turi veikti sistemoje, prie kurios yra prijungtas prieigos raktas.
Buvo pridėtas naujo tipo raktas ecdsa-sk nuo rakto formato ecdsa „OpenSSH“ skiriasi nuo skaitmeninių parašų U2F formato ECDSA esant papildomiems laukams.
Jei norite apie tai sužinoti daugiau galite pasikonsultuoti šią nuorodą.