OpenSSH je skupina aplikácií, ktoré umožňujú šifrovanú komunikáciu v sieti pomocou protokolu SSH pridal experimentálnu podporu dvojfaktorovej autentifikácie do svojej kódovej základne pomocou zariadení, ktoré podporujú protokol U2F vyvinutý alianciou FIDO.
Pre tých, ktorí o tom nevedia U2F, mali by to vedieť, toto je otvorený štandard na výrobu lacných hardvérových bezpečnostných tokenov. Jedná sa o ľahko najlacnejší spôsob, ako môžu používatelia získať pár kľúčov podporovaných hardvérom a existuje dobrý rad výrobcov ktorí ich predávajú, vrátanes Yubico, Feitian, Thetis a Kensington.
Kľúče podporované hardvérom majú výhodu v tom, že ich krádež je oveľa ťažšia: útočník musí obvykle ukradnúť fyzický token (alebo k nemu prinajmenšom trvalý prístup), aby mohol kľúč ukradnúť.
Pretože existuje niekoľko spôsobov, ako hovoriť so zariadeniami U2F, vrátane USB, Bluetooth a NFC, nechceli sme načítať OpenSSH s množstvom závislostí. Namiesto toho sme delegovali úlohu komunikácie s tokenmi na malý knižnica middlewaru, ktorá sa načítava jednoduchým spôsobom. podobná existujúcej podpore PKCS # 11.
OpenSSH má teraz experimentálnu podporu U2F / FIDO, s U2F je pridaný ako nový typ kľúča sk-ecdsa-sha2-nistp256@openssh.com alebo «ecdsa-sk„Skrátka („ sk “znamená„ bezpečnostný kľúč “).
Postupy pre interakciu s tokenmi boli presunuté do medziknižnice, ktorý je načítaný analogicky s knižnicou pre podporu PKCS # 11 a je odkazom na knižnicu libfido2, ktorá poskytuje prostriedky na komunikáciu s tokenmi cez USB (FIDO U2F / CTAP 1 a FIDO 2.0 / CTAP 2).
Knižnica stredná libsk-libfido2 pripravené vývojármi OpenSSH je súčasťou jadra libfido2, ako aj ovládač HID pre OpenBSD.
Ak chcete povoliť U2F, možno použiť novú časť kódovej základne z úložiska OpenSSH a pobočka HEAD knižnice libfido2, ktorá už obsahuje potrebnú vrstvu pre OpenSSH. Libfido2 podporuje prácu na OpenBSD, Linuxe, macOS a Windows.
Napísali sme základný middleware pre libubido spoločnosti Yubico, ktorý je schopný hovoriť s akýmkoľvek štandardným tokenom USB HID U2F alebo FIDO2. Middleware. Zdroj je hostený v strome libfido2, takže jeho vytvorenie a OpenSSH HEAD vám na začiatok stačia
Verejný kľúč (id_ecdsa_sk.pub) musí byť skopírovaný na server v súbore authorized_keys. Na strane servera sa overuje iba digitálny podpis a interakcia s tokenmi sa vykonáva na strane klienta (libsk-libfido2 nie je potrebné na serveri inštalovať, ale server musí podporovať typ kľúča „ecdsa-sk» ).
Vygenerovaný súkromný kľúč (ecdsa_sk_id) je v podstate deskriptor kľúča, ktorý vytvára skutočný kľúč iba v kombinácii s tajnou sekvenciou uloženou na strane tokenu U2F.
Ak kľúč ecdsa_sk_id padne do rúk útočníka, kvôli autentifikácii bude musieť získať prístup aj k hardvérovému tokenu, bez ktorého je súkromný kľúč uložený v súbore id_ecdsa_sk zbytočný.
Okrem toho, štandardne, keď sa vykonávajú kľúčové operácie (počas generovania aj autentifikácie), vyžaduje sa miestne potvrdenie fyzickej prítomnosti používateľaNapríklad sa odporúča dotknúť sa senzora na tokene, čo sťažuje vykonávanie vzdialených útokov na systémy s pripojeným tokenom.
V počiatočnej fáze ssh-keygen, dá sa nastaviť aj ďalšie heslo na prístup k súboru pomocou kľúča.
Kľúč U2F je možné pridať do SSH-agent cez "ssh-add ~/.ssh/id_ecdsa_sk", ale SSH-agent musí byť zostavený s kľúčovou podporou ecdsa-sk, musí byť prítomná vrstva libsk-libfido2 a agent musí bežať v systéme, ku ktorému je pripojený token.
Bol pridaný nový typ kľúča ecdsa-sk od kľúčového formátu ecdsa OpenSSH sa líši od formátu U2F pre digitálne podpisy ECDSA prítomnosťou ďalších polí.
Ak o tom chcete vedieť viac môžete sa poradiť nasledujúci odkaz.