ओपनएसएसएच अनुप्रयोगांचा संच आहे जे एनक्रिप्टेड संप्रेषणांना परवानगी देतात नेटवर्कवर, एसएसएच प्रोटोकॉल वापरुन द्वि-घटक प्रमाणीकरणासाठी प्रायोगिक समर्थन जोडले आहे त्याच्या कोड बेसवर, FIDO युतीद्वारे विकसित केलेल्या U2F प्रोटोकॉलचे समर्थन करणारी साधने वापरुन.
नकळत त्यांच्यासाठी U2F, त्यांना ते माहित असले पाहिजे, कमी किमतीच्या हार्डवेअर सुरक्षा टोकन बनविण्यासाठी हे एक मुक्त मानक आहे. हे हार्डवेअर-बॅक-की की जोडी मिळविण्यासाठी वापरकर्त्यांसाठी सर्वात सोपा मार्ग आहे उत्पादकांची चांगली श्रेणी आहे यासह कोण त्यांना विक्री करतातएस युबिको, फेटीशियन, थेटीस आणि केन्सिंग्टन.
हार्डवेअर-बॅक केलेल्या कीज चोरी करणे अधिक अवघड असल्याचा फायदा देतात: की चोरण्यासाठी आक्रमणकर्त्यास सामान्यत: शारीरिक टोकन (किंवा त्यात किमान प्रवेश करणे) चोरले पाहिजे.
यूएसएफ, ब्लूटूथ आणि एनएफसी यासह यू 2 एफ डिव्हाइसशी बोलण्याचे अनेक मार्ग आहेत, आम्हाला ओपनएसएसएच बरीच अवलंबित्वसहित लोड करायचे नाही, त्याऐवजी, आम्ही टोकनशी संप्रेषण करण्याचे काम एका छोट्या लायब्ररीमध्ये सोपविले आहे. मिडलवेअर जे विद्यमान पीकेसीएस # 11 समर्थनासारखेच लोड करते.
ओपनएसएच मध्ये आता प्रायोगिक यू 2 एफ / एफआयडीओ समर्थन आहे, यू 2 एफ सह तो नवीन की प्रकार म्हणून जोडला गेला sk-ecdsa-sha2-nistp256@openssh.com किंवा "ecdsa-sk"थोडक्यात (" स्के "म्हणजे" सुरक्षा की ").
टोकनशी संवाद साधण्याच्या प्रक्रियेस मध्यंतरी लायब्ररीत हलविले गेले आहे, जे पीकेसीएस # 11 समर्थनासाठी लायब्ररीसह साधेपणाने लोड केले गेले आहे आणि libfido2 लायब्ररीवरील दुवा आहे, जे यूएसबी (FIDO U2F / CTAP 1 आणि FIDO 2.0 / CTAP 2) मार्गे टोकनशी संवाद साधण्याचे साधन प्रदान करते.
ग्रंथालय दरम्यानचे libsk-libfido2 ओपनएसएच विकासकांनी तयार केले libfido2 कर्नलमध्ये समाविष्ट केले आहे, तसेच ओपनबीएसडीसाठी एचआयडी ड्राइव्हर.
U2F सक्षम करण्यासाठी, ओपनएसएसएच रेपॉजिटरीमधील कोड बेसचा नवीन भाग वापरला जाऊ शकतो आणि libfido2 लायब्ररीची HEAD शाखा, ज्यात आधीपासूनच ओपनएसएसएचसाठी आवश्यक स्तर समाविष्ट आहे. लिबफिडो 2 ओपनबीएसडी, लिनक्स, मॅकओएस आणि विंडोजवर कार्य करण्यास समर्थन देते.
आम्ही युबिकोच्या लिबफिदो 2 साठी मूलभूत मिडलवेअर लिहिले आहे जे कोणत्याही मानक यूएसबी एचआयडी यू 2 एफ किंवा एफआयडीओ 2 टोकनवर बोलण्यास सक्षम आहे. मिडलवेअर स्त्रोत लिबफिदो 2 वृक्ष मध्ये होस्ट केला आहे, म्हणूनच आपण तयार करण्यासाठी ओपनएसएच हेड पुरेसे आहे
सार्वजनिक की (id_ecdsa_sk.pub) अधिकृत_कीज फाईलमधील सर्व्हरवर कॉपी करणे आवश्यक आहे. सर्व्हरच्या बाजूला, केवळ डिजिटल स्वाक्षरीची पडताळणी केली जाते आणि टोकनसह संवाद क्लायंटच्या बाजूने केला जातो (libsk-libfido2 सर्व्हरवर स्थापित करण्याची आवश्यकता नाही, परंतु सर्व्हरने "ecdsa-sk key की टाइप करणे आवश्यक आहे ).
व्युत्पन्न केलेली खासगी की (ecdsa_sk_id) मूलत: एक मुख्य वर्णनकर्ता आहे जो केवळ यू 2 एफ टोकन बाजूला संग्रहित गुप्त अनुक्रमांसह एकत्रितपणे वास्तविक की बनवितो.
की तर ecdsa_sk_id आक्रमणकर्त्याच्या हातात पडते, प्रमाणीकरणासाठी, त्याला हार्डवेअर टोकनमध्ये देखील प्रवेश करणे आवश्यक असेल, त्याशिवाय id_ecdsa_sk फाईलमध्ये संचयित केलेली खासगी की निरुपयोगी आहे.
तसेच, डीफॉल्टनुसार, की ऑपरेशन्स केल्यावर (पिढी आणि प्रमाणीकरण दरम्यान दोन्ही), वापरकर्त्याच्या शारिरीक उपस्थितीची स्थानिक पुष्टीकरण आवश्यक आहेउदाहरणार्थ, टोकनवर सेन्सरला स्पर्श करण्याची सूचना देण्यात आली आहे, ज्यामुळे कनेक्ट टोकन असलेल्या सिस्टमवर रिमोट आक्रमण करणे कठीण होते.
च्या सुरुवातीच्या टप्प्यात ssh-keygen, इतर संकेतशब्द देखील सेट केला जाऊ शकतो की सह फाइल प्रवेश करण्यासाठी.
यू 2 एफ की जोडली जाऊ शकते ssh-एजंट "माध्यमातूनssh-add ~/.ssh/id_ecdsa_sk", परंतु ssh-एजंट की समर्थनासह संकलित केलेले असणे आवश्यक आहे ecdsa-sk, libsk-libfido2 स्तर असणे आवश्यक आहे आणि एजंट सिस्टमवर चालत असावा ज्यामध्ये तो टोकन संलग्न आहे.
एक नवीन प्रकारची की जोडली गेली आहे ecdsa-sk की स्वरूप पासून ecdsa डिजिटल स्वाक्षर्यासाठी ओपनएसएच यू 2 एफ स्वरूपनापेक्षा भिन्न आहे ईसीडीएसए अतिरिक्त फील्डच्या उपस्थितीने.
आपण याबद्दल अधिक जाणून घेऊ इच्छित असल्यास आपण सल्ला घेऊ शकता खालील दुवा.