OpenSSH është grupi i aplikacioneve që lejojnë komunikime të koduara përmes një rrjeti, duke përdorur protokollin SSH ka shtuar mbështetjen eksperimentale për vërtetimin me dy faktorë në bazën e tij të kodit, duke përdorur pajisje që mbështesin protokollin U2F të zhvilluar nga aleanca FIDO.
Për ata që nuk kanë dijeni U2F, ata duhet ta dinë këtë, ky është një standard i hapur për të bërë shenja sigurie të pajisjeve me kosto të ulët. Këto janë lehtësisht mënyra më e lirë për përdoruesit për të marrë një palë çelësash të mbështetur në pajisje dhe ekziston një gamë e mirë e prodhuesve që i shesin ato, përfshirë këtus Yubico, Feitian, Thetis dhe Kensington.
Çelësat e mbështetur nga hardueri ofrojnë avantazhin e të qenit dukshëm më i vështirë për tu vjedhur: një sulmues zakonisht duhet të vjedhë shenjën fizike (ose të paktën aksesin e vazhdueshëm në të) në mënyrë që të vjedhë çelësin.
Meqenëse ka një numër mënyrash për të folur me pajisjet U2F, përfshirë USB, Bluetooth dhe NFC, ne nuk dëshironim të ngarkonim OpenSSH me një varësi varësish. Në vend të kësaj, ne ia kemi deleguar detyrën e komunikimit me argumentet një biblioteka e softuerit të mesëm që ngarkohet në një mënyrë të thjeshtë. e ngjashme me mbështetjen ekzistuese PKCS # 11.
OpenSSH tani ka mbështetje eksperimentale U2F / FIDO, me U2F shtohet si një tip i ri çelësi sk-ecdsa-sha2-nistp256@openssh.com ose «ecdsa-sk"Për shkurt (" sk "qëndron për" çelës sigurie ").
Procedurat për bashkëveprim me argumentet janë zhvendosur në një bibliotekë të ndërmjetme, e cila është e ngarkuar për analogji me bibliotekën për mbështetjen e PKCS # 11 dhe është një lidhje në bibliotekën libfido2, e cila siguron mjete për të komunikuar me argumentet përmes USB (FIDO U2F / CTAP 1 dhe FIDO 2.0 / CTAP 2).
Librari i ndërmjetëm libsk-libfido2 përgatitur nga zhvilluesit e OpenSSH përfshihet në kernelin libfido2, si dhe shoferi HID për OpenBSD.
Për të mundësuar U2F, mund të përdoret një pjesë e re e bazës së kodit nga depoja OpenSSH dhe dega HEAD e bibliotekës libfido2, e cila tashmë përfshin shtresën e nevojshme për OpenSSH. Libfido2 mbështet punën në OpenBSD, Linux, macOS dhe Windows.
Ne kemi shkruar një program të mesëm themelor për libfido2 të Yubico që është i aftë të flasë me çdo shenjë standarde USB HID U2F ose FIDO2. Programi i mesëm. Burimi strehohet në pemën libfido2, kështu që ndërtimi i kësaj dhe OpenSSH HEAD është e mjaftueshme për të filluar
Çelësi publik (id_ecdsa_sk.pub) duhet të kopjohet në server në skedarin e autorizuar_keys. Në anën e serverit, verifikohet vetëm një nënshkrim dixhital dhe ndërveprimi me argumentet bëhet në anën e klientit (libsk-libfido2 nuk ka nevojë të instalohet në server, por serveri duhet të mbështesë tipin kyç "ecdsa-sk").
Çelësi privat i gjeneruar (ecdsa_sk_id) është në thelb një përshkrues kyç që formon një çelës të vërtetë vetëm në kombinim me një sekuencë sekrete të ruajtur në anën e shenjës U2F.
Nëse çelësi ecdsa_sk_id bie në duart e sulmuesit, për vërtetim, ai gjithashtu do të duhet të ketë qasje në pajisjen kompjuterike, pa të cilën çelësi privat i ruajtur në skedarin id_ecdsa_sk është i padobishëm.
Përveç kësaj, si parazgjedhje, kur kryhen operacionet kryesore (si gjatë gjenerimit dhe vërtetimit), Kërkohet konfirmimi lokal i pranisë fizike të përdoruesitPër shembull, sugjerohet të prekni sensorin në shenjë, gjë që e bën të vështirë kryerjen e sulmeve në distancë ndaj sistemeve me një token të lidhur.
Në fazën fillestare të ssh-keygen, fjalëkalimi tjetër mund të vendoset për të hyrë në skedar me çelësin.
Mund të shtohet çelësi U2F agjent ssh përmes "ssh-shto ~ / .ssh / id_ecdsa_sk", por agjent ssh duhet të përpilohet me mbështetjen kryesore ecdsa-sk, shtresa libsk-libfido2 duhet të jetë e pranishme dhe agjenti duhet të funksionojë në sistemin në të cilin është bashkangjitur shenja.
Typeshtë shtuar një lloj i ri çelësi ecdsa-sk që nga formati kryesor ecdsa OpenSSH ndryshon nga formati U2F për nënshkrimet dixhitale ECDSA nga prania e fushave shtesë.
Nëse doni të dini më shumë rreth kësaj ju mund të konsultoheni lidhja e mëposhtme.