OpenSSH nabor aplikacij, ki omogočajo šifrirano komunikacijo prek omrežja s protokolom SSH je dodal eksperimentalno podporo za dvofaktorsko preverjanje pristnosti na svojo kodno osnovo z uporabo naprav, ki podpirajo protokol U2F, ki ga je razvilo zavezništvo FIDO.
Za tiste, ki ne vedo U2F, to bi morali vedeti, to je odprt standard za izdelavo poceni varnostnih žetonov strojne opreme. To so zlahka najcenejši način za uporabnike, da dobijo par ključev s podporo strojne opreme in obstaja dobra paleta proizvajalcev ki jih prodajajo, vključnos Yubico, Feitian, Thetis in Kensington.
Ključi, podprti s strojno opremo, ponujajo prednost, da jih je precej težje ukrasti: napadalec mora navadno ukrasti fizični žeton (ali vsaj trajen dostop do njega), da lahko ukrade ključ.
Ker obstaja več načinov za pogovor z napravami U2F, vključno z USB, Bluetooth in NFC, OpenSSH nismo želeli naložiti s tono odvisnosti. Namesto tega smo nalogo komuniciranja z žetoni prenesli na majhno knjižnica vmesne programske opreme, ki se naloži na enostaven način, podobno kot pri obstoječi podpori PKCS # 11.
OpenSSH ima zdaj eksperimentalno podporo za U2F / FIDO, z U2F je dodan kot nova vrsta ključa sk-ecdsa-sha2-nistp256@openssh.com ali «ecdsa-sk"Na kratko (" sk "pomeni" varnostni ključ ").
Postopki za interakcijo z žetoni so bili premaknjeni v vmesno knjižnico, ki je naložena po analogiji s knjižnico za podporo PKCS # 11 in je povezava v knjižnici libfido2, ki zagotavlja sredstva za komunikacijo z žetoni prek USB-ja (FIDO U2F / CTAP 1 in FIDO 2.0 / CTAP 2).
Knjižnica intermedijska libsk-libfido2 pripravili razvijalci OpenSSH je vključen v jedro libfido2, pa tudi gonilnik HID za OpenBSD.
Če želite omogočiti U2F, lahko se uporabi nov del osnove kode repozitorija OpenSSH in HEAD vejo knjižnice libfido2, ki že vključuje potrebno plast za OpenSSH. Libfido2 podpira delo na OpenBSD, Linux, macOS in Windows.
Za Yubico-jev libfido2 smo napisali osnovno vmesno programsko opremo, ki se lahko pogovarja s katerim koli standardnim žetonom USB HID U2F ali FIDO2. Vmesna programska oprema. Vir gostuje v drevesu libfido2, zato je dovolj, da ga začnete in OpenSSH HEAD za začetek
Javni ključ (id_ecdsa_sk.pub) je treba kopirati na strežnik v datoteki pooblaščeni ključi. Na strani strežnika je preverjen samo digitalni podpis in interakcija z žetoni poteka na odjemalski strani (libsk-libfido2 ni treba namestiti na strežnik, strežnik pa mora podpirati tip ključa "ecdsa-sk» ).
Ustvarjeni zasebni ključ (ecdsa_sk_id) je v bistvu deskriptor ključa, ki tvori pravi ključ samo v kombinaciji s skrivnim zaporedjem, shranjenim na strani žetona U2F.
Če je ključ ecdsa_sk_id pade v roke napadalca, za preverjanje pristnosti pa bo moral dostopati tudi do žetona strojne opreme, brez katerega je zasebni ključ, shranjen v datoteki id_ecdsa_sk, neuporaben.
Poleg tega, privzeto, ko se izvajajo ključne operacije (tako med generiranjem kot avtentikacijo), potrebna je lokalna potrditev fizične prisotnosti uporabnikaNa primer, priporočamo, da se na žetonu dotaknete senzorja, kar otežuje izvajanje oddaljenih napadov na sisteme s povezanim žetonom.
V začetni fazi ssh-keygen, lahko nastavite tudi drugo geslo za dostop do datoteke s ključem.
Ključ U2F lahko dodate v ssh-agent skozi "ssh-add ~/.ssh/id_ecdsa_sk", vendar ssh-agent mora biti sestavljen s ključno podporo ecdsa-skmora biti prisoten sloj libsk-libfido2 in agent mora delovati v sistemu, na katerega je žeton pritrjen.
Dodana je nova vrsta ključa ecdsa-sk od oblike zapisa ključa ecdsa OpenSSH se razlikuje od formata U2F za digitalne podpise ECDSA s prisotnostjo dodatnih polj.
Če želite vedeti več o tem lahko se posvetujete naslednjo povezavo.