OpenSSH de set applicaties die gecodeerde communicatie mogelijk maakt via een netwerk, met behulp van het SSH-protocol heeft experimentele ondersteuning toegevoegd voor tweefactorauthenticatie naar de codebasis, met behulp van apparaten die het U2F-protocol ondersteunen dat is ontwikkeld door de FIDO-alliantie.
Voor degenen die het niet weten U2F, ze zouden dat moeten weten, dit is een open standaard voor het maken van goedkope hardware-beveiligingstokens Dit zijn gemakkelijk de goedkoopste manier voor gebruikers om een door hardware ondersteund sleutelpaar te krijgen en er is een goed aanbod aan fabrikanten die ze verkopen, inclusiefs Yubico, Feitian, Thetis en Kensington.
Door hardware ondersteunde sleutels bieden het voordeel dat ze aanzienlijk moeilijker te stelen zijn: een aanvaller moet over het algemeen het fysieke token (of op zijn minst aanhoudende toegang ertoe) stelen om de sleutel te stelen.
Omdat er een aantal manieren zijn om met U2F-apparaten te praten, waaronder USB, Bluetooth en NFC, wilden we OpenSSH niet met een heleboel afhankelijkheden laden. In plaats daarvan hebben we de communicatie met de tokens gedelegeerd aan een kleine bibliotheek met middleware die op een gemakkelijke manier wordt geladen, vergelijkbaar met bestaande PKCS # 11-ondersteuning.
OpenSSH heeft nu experimentele U2F / FIDO-ondersteuning, met U2F wordt het toegevoegd als een nieuw sleuteltype sk-ecdsa-sha2-nistp256@openssh.com of «ecdsa-sk"In het kort (de" sk "staat voor" beveiligingssleutel ").
Procedures voor interactie met tokens zijn verplaatst naar een tussenliggende bibliotheek, die wordt geladen naar analogie met de bibliotheek voor PKCS # 11-ondersteuning en een link is naar de libfido2-bibliotheek, die middelen biedt om te communiceren met tokens via USB (FIDO U2F / CTAP 1 en FIDO 2.0 / CTAP 2).
De bibliotheek intermedia libsk-libfido2 opgesteld door OpenSSH-ontwikkelaars is opgenomen in de libfido2-kernel, evenals de HID-driver voor OpenBSD.
Om U2F in te schakelen, een nieuw deel van de OpenSSH-repositorycodebasis kan worden gebruikt en de HEAD-tak van de libfido2-bibliotheek, die al de noodzakelijke laag voor OpenSSH bevat. Libfido2 ondersteunt werken op OpenBSD, Linux, macOS en Windows.
We hebben een basismiddleware geschreven voor Yubico's libfido2 die kan praten met elk standaard USB HID U2F- of FIDO2-token. De middleware. De broncode wordt gehost in de libfido2-structuur, dus het bouwen ervan en OpenSSH HEAD is voldoende om te beginnen
De openbare sleutel (id_ecdsa_sk.pub) moet naar de server worden gekopieerd in het bestand geautoriseerde_sleutels. Aan de serverkant wordt alleen een digitale handtekening geverifieerd en de interactie met de tokens gebeurt aan de clientkant (libsk-libfido2 hoeft niet op de server te worden geïnstalleerd, maar de server moet het sleuteltype 'ecdsa-sk' ondersteunen. ).
De gegenereerde privésleutel (ecdsa_sk_id) is in wezen een sleuteldescriptor die alleen een echte sleutel vormt in combinatie met een geheime reeks die is opgeslagen op de U2F-tokenzijde.
Als de key ecdsa_sk_id valt in handen van de aanvaller, voor authenticatie zal hij ook toegang moeten hebben tot het hardwaretoken, zonder welke de privésleutel die is opgeslagen in het id_ecdsa_sk-bestand onbruikbaar is.
Bovendien heeft standaard wanneer toetsbewerkingen worden uitgevoerd (zowel tijdens generatie als authenticatie), lokale bevestiging van de fysieke aanwezigheid van de gebruiker is vereistEr wordt bijvoorbeeld voorgesteld om de sensor op het token aan te raken, waardoor het moeilijk wordt om aanvallen op afstand uit te voeren op systemen met een aangesloten token.
In de beginfase van ssh-keygen, kan ook een ander wachtwoord worden ingesteld om het bestand te openen met de sleutel.
De U2F-sleutel kan worden toegevoegd aan SSH-agens door "ssh-add ~/.ssh/id_ecdsa_sk", maar SSH-agens moet worden gecompileerd met sleutelondersteuning ecdsa-sk, moet de laag libsk-libfido2 aanwezig zijn en moet de agent actief zijn op het systeem waaraan het token is gekoppeld.
Er is een nieuw type sleutel toegevoegd ecdsa-sk sinds het sleutelformaat ecdsa OpenSSH verschilt van het U2F-formaat voor digitale handtekeningen ECDSA door de aanwezigheid van extra velden.
Als je er meer over wilt weten u kunt raadplegen de volgende link.