ОпенССХ скуп апликација које омогућавају шифровану комуникацију преко мреже, користећи ССХ протокол је додао експерименталну подршку за двофакторску аутентификацију на своју базу кода, користећи уређаје који подржавају У2Ф протокол који је развио савез ФИДО.
За оне који не знају У2Ф, то би требали знати, ово је отворени стандард за израду јефтиних хардверских сигурносних токена. То су корисници најјефтинији начин да добију пар кључева са хардверском подршком и постоји добар спектар произвођача који их продају, укључујућис Иубицо, Феитиан, Тхетис и Кенсингтон.
Кључеви подржани хардвером нуде предност тога што их је знатно теже украсти: нападач обично мора да украде физички токен (или барем упорни приступ њему) да би украо кључ.
Будући да постоји више начина за разговоре са У2Ф уређајима, укључујући УСБ, Блуетоотх и НФЦ, нисмо желели да учитамо ОпенССХ са тоном зависности. Уместо тога, задатак комуникације са токенима пренели смо на мали библиотека међуопреме која се учитава на једноставан начин, слично постојећој подршци за ПКЦС # 11.
ОпенССХ сада има експерименталну подршку за У2Ф / ФИДО, са У2Ф је додат као нови тип кључа ск-ецдса-сха2-нистп256@опенссх.цом или «ецдса-ск„Укратко („ ск “значи„ сигурносни кључ “).
Поступци за интеракцију са токенима премештени су у средњу библиотеку, који се по аналогији учитава за библиотеку за подршку ПКЦС # 11 и представља везу у библиотеци либфидо2, која пружа средства за комуникацију са токенима путем УСБ-а (ФИДО У2Ф / ЦТАП 1 и ФИДО 2.0 / ЦТАП 2).
Библиотека средњи либск-либфидо2 припремили програмери ОпенССХ је укључен у језгро либфидо2, као и ХИД управљачки програм за ОпенБСД.
Да бисте омогућили У2Ф, може се користити нови део базе кода из спремишта ОпенССХ и ХЕАД огранак библиотеке либфидо2, који већ укључује потребан слој за ОпенССХ. Либфидо2 подржава рад на ОпенБСД, Линук, мацОС и Виндовс.
Написали смо основни међуопрема за Иубицо-ов либфидо2 који може да разговара са било којим стандардним УСБ ХИД У2Ф или ФИДО2 токеном. Међупроизвод. Извор је хостован у дрвету либфидо2, па је изградња тога и ОпенССХ ХЕАД довољна за почетак
Јавни кључ (ид_ецдса_ск.пуб) мора се копирати на сервер у датотеци одобрени_кључеви. На страни сервера се верификује само дигитални потпис и интеракција са токенима се врши на страни клијента (либск-либфидо2 не треба инсталирати на сервер, али сервер мора подржавати тип кључа „ецдса-ск»).
Генерисани приватни кључ (ид_ецдса_ск) је у основи кључни дескриптор који формира стварни кључ само у комбинацији са тајном секвенцом сачуваном на страни У2Ф токена.
Ако је кључ ид_ецдса_ск падне у руке нападача, за потврду идентитета такође ће морати да приступи хардверском токену без којег је приватни кључ који је сачуван у датотеци ид_ецдса_ск бескористан.
Поред тога, подразумевано када се извршавају кључне операције (и током генерисања и аутентификације), потребна је локална потврда физичког присуства корисникаНа пример, предлаже се додиривање сензора на токену, што отежава извођење даљинских напада на системе са повезаним токеном.
У почетној фази ссх-кеиген, може се подесити и друга лозинка да бисте приступили датотеци кључем.
У2Ф кључ се може додати у ссх-агент преко "ссх-адд ~ / .ссх / ид_ецдса_ск", али ссх-агент мора се компајлирати са кључном подршком ецдса-ск, слој либск-либфидо2 мора бити присутан и агент мора бити покренут на систему на који је означен.
Додата је нова врста кључа ецдса-ск пошто је кључни формат ецдса ОпенССХ се разликује од У2Ф формата за дигиталне потписе ЕЦДСА присуством додатних поља.
Ако желите да сазнате више о томе можете се консултовати следећи линк.