OpenSSH u deji codsiyada u oggolaanaya isgaarsiinta sirta ah shabakad, adoo adeegsanaya borotokoolka SSH ayaa kudartay taageero tijaabo ah xaqiijinta laba qodob saldhigeeda koodhka, iyadoo la adeegsanayo aalado taageera borotokoolka U2F ee ay soo saareen isbahaysiga FIDO.
Kuwa aan ka warqabin U2F, waa inay ogaadaan taas, tani waa halbeeg u furan samaynta astaamaha amniga qalabyada qiimaha jaban. Kuwani waa sida ugu fudud ee habka ugu jaban ee loogu talagalay adeegsadayaashu inay ku helaan lammaane muhiim ah oo qalabka lagu taageerayo iyo waxaa jira soosaarayaal kaladuwan oo wanaagsan yaa iibiya, oo ay ku jiraans Yubico, Feitian, Thetis, iyo Kensington.
Furayaasha ay taageerto qalabka ayaa bixiya faa'iidada ah inay si dhib badan u dhib badan tahay xatooyada: weeraryahan guud ahaan waa inuu xado calaamadaha jirka (ama ugu yaraan marin u helitaankiisa) si uu u xado furaha.
Maaddaama ay jiraan dhowr dariiqo oo lagula hadlo aaladaha U2F, oo ay ku jiraan USB, Bluetooth, iyo NFC, ma aanan dooneyn inaan ku shubno OpenSSH taanno ku tiirsan. qalab dhexdhexaad ah oo ku rakibaya wax la mid ah taageerada hadda jirta ee PKCS # 11.
OpenSSH hadda waxay leedahay taageero U2F / FIDO oo tijaabo ah, oo leh U2F waxaa lagu daray nooc cusub oo fure ah sk-ecdsa-sha2-nistp256@openssh.com ama «ecdsa-sk"Gaaban (" sk "wuxuu u taagan yahay" furaha amniga ").
Nidaamyada la falgalka astaamaha ayaa loo wareejiyay maktabadda dhexe, kaas oo lagu rakibo isbarbardhiga maktabada loogu talagalay taageerada PKCS # 11 waana isku xirka maktabada libfido2, oo bixisa macnaheedu yahay in lagula xiriiro calaamadaha adoo adeegsanaya USB (FIDO U2F / CTAP 1 iyo FIDO 2.0 / CTAP 2).
Maktabad dhexdhexaad ah libsk-libfido2 waxaa soo diyaariyay horumariyeyaasha OpenSSH waxaa lagu daraa xabada libfido2, iyo sidoo kale darawalka HID ee OpenBSD.
Si loo xoojiyo U2F, qayb cusub oo ka mid ah saldhigga kaydka OpenSSH ayaa la isticmaali karaa iyo laanta HEAD ee maktabadda libfido2, oo horeyba ugu jirtay lakabka lagama maarmaanka u ah OpenSSH. Libfido2 waxay taageertaa ka shaqeynta OpenBSD, Linux, macOS, iyo Windows.
Waxaan u qornay qalab dhexdhexaad ah oo loogu talagalay Yubico's libfido2 kaas oo awood u leh inuu la hadlo nooc kasta oo USB HID U2F ama FIDO2 ah. Qalabka dhexe. Isha ayaa lagu martigaliyay geedka libfido2, marka dhisida taa iyo OpenSSH HEAD waa kugu filan tahay inaad bilowdo
Furaha guud (id_ecdsa_sk.pub) waa in loo guuriyaa serverka faylka idman. Dhinaca serverka, kaliya saxiixa dhijitaalka ah ayaa la xaqiijiyaa oo la falgalka astaamaha ayaa lagu sameeyaa dhinaca macaamilka (libsk-libfido2 uma baahna in lagu rakibo serverka, laakiin adeegu waa inuu taageeraa nooca muhiimka ah "ecdsa-sk»).
Furaha gaarka loo leeyahay ee la soo saaray (ecdsa_sk_id) asal ahaan waa sharraxaad muhiim ah oo sameeya fure dhab ah oo keliya marka lagu daro taxane qarsoodi ah oo lagu kaydiyay dhinaca calaamadda U2F.
Haddii furaha ecdsa_sk_id uu ku dhaco weeraryahanka, si loo xaqiijiyo, wuxuu sidoo kale u baahan doonaa inuu helo aaladda qalabka, oo la'aanteed fure gaar ah oo ku kaydsan faylka id_ecdsa_sk uusan waxtar lahayn
Sidoo kale, marka la eego, marka hawlgallada muhiimka ah la sameeyo (labadaba inta lagu jiro jiilka iyo xaqiijinta), xaqiijinta maxalliga ah ee joogitaanka jir ahaaneed ee isticmaalaha ayaa loo baahan yahayTusaale ahaan, waxaa lagu taliyay in lagu taabto dareeraha calaamadda, taas oo adkeyneysa in lagu qaado weerarrada fog fog ee nidaamyada calaamadda ku xiran.
Marxaladda bilowga ah ee ssh-keygen, lambarka sirta ah ayaa sidoo kale la dejin karaa si aad faylka ugu gasho furaha.
Furaha U2F waa lagu dari karaa ssh-wakiil marin "ssh-dar ~ / .ssh / id_ecdsa_sk", laakiin ssh-wakiil waa in lagu soo uruuriyaa taageerada muhiimka ah ecdsa-sk, lakabka libsk-libfido2 waa inuu jiraa oo wakiilku waa inuu ku shaqeeyaa nidaamka calaamadda ay ku xiran tahay.
Nooc cusub oo fure ah ayaa lagu daray ecdsa-sk tan iyo qaabka muhiimka ah ecdsa OpenSSH way ka duwan tahay qaabka U2F saxiixyada dhijitaalka ah ECDSA joogitaanka beero dheeraad ah.
Hadaad rabto inaad waxbadan ka ogaato waad tashan kartaa xiriirka soo socda.