OpenSSH setul de aplicații care permit comunicații criptate pe o rețea, utilizând protocolul SSH a adăugat suport experimental pentru autentificarea cu doi factori la baza sa de cod, utilizând dispozitive care acceptă protocolul U2F dezvoltat de alianța FIDO.
Pentru cei care nu știu U2F, ar trebui să știe asta, acesta este un standard deschis pentru realizarea de jetoane de securitate hardware la preț redus. Acestea sunt cu ușurință cel mai ieftin mod prin care utilizatorii pot obține o pereche de chei susținute de hardware și există o gamă bună de producători cine le vinde, inclusivs Yubico, Feitian, Thetis și Kensington.
Cheile susținute de hardware oferă avantajul de a fi considerabil mai dificil de furat: un atacator trebuie, în general, să fure simbolul fizic (sau cel puțin accesul persistent la acesta) pentru a fura cheia.
Deoarece există o serie de moduri de a vorbi cu dispozitivele U2F, inclusiv USB, Bluetooth și NFC, nu am vrut să încărcăm OpenSSH cu o mulțime de dependențe. În schimb, am delegat sarcina de a comunica cu jetoanele unui mic bibliotecă de middleware care se încarcă într-un mod ușor. similar cu suportul PKCS # 11 existent.
OpenSSH are acum suport experimental U2F / FIDO, cu U2F este adăugat ca un nou tip de cheie sk-ecdsa-sha2-nistp256@openssh.com sau «ecdsa-sk„Pe scurt („ sk ”înseamnă„ cheie de securitate ”).
Procedurile de interacțiune cu jetoanele au fost mutate într-o bibliotecă intermediară, care este încărcat prin analogie cu biblioteca pentru suportul PKCS # 11 și este o legătură pe biblioteca libfido2, care oferă mijloace de comunicare cu jetoane prin USB (FIDO U2F / CTAP 1 și FIDO 2.0 / CTAP 2).
Bibliotecă intermediar libsk-libfido2 pregătit de dezvoltatorii OpenSSH este inclus în nucleul libfido2, precum și driverul HID pentru OpenBSD.
Pentru a activa U2F, poate fi utilizată o nouă porțiune din baza de cod din depozitul OpenSSH și ramura HEAD a bibliotecii libfido2, care include deja stratul necesar pentru OpenSSH. Libfido2 acceptă lucrul pe OpenBSD, Linux, macOS și Windows.
Am scris un middleware de bază pentru libfido2 de la Yubico, capabil să vorbească cu orice simbol USB HID U2F sau FIDO2 standard. Intermediarul. Sursa este găzduită în arborele libfido2, astfel încât să construiți asta și OpenSSH HEAD este suficient pentru a începe
Cheia publică (id_ecdsa_sk.pub) trebuie copiată pe server în fișierul autorizat_chei. Pe partea de server, se verifică doar o semnătură digitală și interacțiunea cu jetoanele se face pe partea de client (libsk-libfido2 nu trebuie instalat pe server, dar serverul trebuie să accepte tipul de cheie "ecdsa-sk» ).
Cheia privată generată (ecdsa_sk_id) este în esență un descriptor de chei care formează o cheie reală numai în combinație cu o secvență secretă stocată pe partea simbolică U2F.
Dacă cheia ecdsa_sk_id cade în mâinile atacatorului, pentru autentificare, va trebui, de asemenea, să acceseze simbolul hardware, fără de care cheia privată stocată în fișierul id_ecdsa_sk este inutilă.
În plus, implicit, când se efectuează operații cheie (atât în timpul generării, cât și al autentificării), este necesară confirmarea locală a prezenței fizice a utilizatoruluiDe exemplu, este sugerat să atingeți senzorul de pe jeton, ceea ce face dificilă efectuarea atacurilor la distanță asupra sistemelor cu un jeton conectat.
În etapa de început a ssh-keygen, poate fi setată și altă parolă pentru a accesa fișierul cu cheia.
Tasta U2F poate fi adăugată la agent ssh prin intermediul "ssh-add ~/.ssh/id_ecdsa_sk", dar agent ssh trebuie să fie compilate cu suport cheie ecdsa-sk, stratul libsk-libfido2 trebuie să fie prezent și agentul trebuie să ruleze pe sistemul la care este atașat simbolul.
A fost adăugat un nou tip de cheie ecdsa-sk de la formatul cheii ecdsa OpenSSH diferă de formatul U2F pentru semnături digitale ECDSA prin prezența câmpurilor suplimentare.
Dacă doriți să aflați mai multe despre asta puteți consulta următorul link.