OpenSSH uppsättningen applikationer som tillåter krypterad kommunikation över ett nätverk med hjälp av SSH-protokollet lagt till experimentellt stöd för tvåfaktorsautentisering till din kodbas, med hjälp av enheter som stöder U2F-protokollet utvecklat av FIDO-alliansen.
För de som inte är medvetna om U2F, de borde veta det, detta är en öppen standard för att göra billiga hårdvarusäkerhetstokens. Dessa är lätt det billigaste sättet för användare att få ett hårdvarustödt nyckelpar och det finns ett bra utbud av tillverkare som säljer dem, inklusives Yubico, Feitian, Thetis och Kensington.
Hårdvarustödda nycklar erbjuder fördelen att de är betydligt svårare att stjäla: en angripare måste vanligtvis stjäla den fysiska token (eller åtminstone ihållande tillgång till den) för att stjäla nyckeln.
Eftersom det finns flera sätt att prata med U2F-enheter, inklusive USB, Bluetooth och NFC, ville vi inte ladda OpenSSH med en massa beroenden. Istället har vi delegerat uppgiften att kommunicera med tokens till ett litet mellanprogrambibliotek som laddar liknande det befintliga PKCS#11-stödet.
OpenSSH har nu experimentellt U2F/FIDO-stöd, med U2F lagt till som en ny nyckeltyp sk-ecdsa-sha2-nistp256@openssh.com eller «ecdsa-sk" för kort ("sk" står för "säkerhetsnyckel").
Procedurer för att interagera med tokens har flyttats till ett mellanliggande bibliotek, som laddas i analogi med biblioteket för PKCS # 11-stöd och är en länk över libfido2-biblioteket, vilket ger möjlighet att kommunicera med tokens via USB (protokollen FIDO U2F / CTAP 1 och FIDO 2.0 / CTAP 2 stöds).
Bibliotek intermedia libsk-libfido2 utarbetad av OpenSSH-utvecklare ingår i libfido2-kärnan, samt HID-drivrutinen för OpenBSD.
För att aktivera U2F, en ny del av OpenSSH-förvarets kodbas kan användas och HEAD-grenen av libfido2-biblioteket, som redan inkluderar lagret som behövs för OpenSSH. Libfido2 stöder arbete på OpenBSD, Linux, macOS och Windows.
Vi har skrivit en grundläggande mellanprogramvara för Yubicos libfido2 som kan prata med vilken standard USB HID U2F eller FIDO2 som helst. Mellanvaran. Källan är värd i libfido2-trädet, så att bygga det och OpenSSH HEAD räcker för att komma igång.
Den publika nyckeln (id_ecdsa_sk.pub) måste kopieras till servern i filen authorized_keys. På serversidan verifieras endast en digital signatur och interaktion med tokens görs på klientsidan (libsk-libfido2 behöver inte installeras på servern, men servern måste stödja nyckeltypen "ecdsa-sk").
Den genererade privata nyckeln (ecdsa_sk_id) är i huvudsak en nyckelbeskrivning som bildar en riktig nyckel endast i kombination med en hemlig sekvens lagrad på U2F-tokensidan.
om nyckeln ecdsa_sk_id faller i händerna på angriparen, för autentisering kommer han också att behöva tillgång till hårdvarutoken, utan vilken den privata nyckeln som lagras i filen id_ecdsa_sk är värdelös.
Dessutom, som standard när nyckeloperationer utförs (både under generering och autentisering), en lokal bekräftelse på användarens fysiska närvaro krävsTill exempel föreslås det att man rör vid sensorn på token, vilket gör det svårt att utföra fjärrattacker på system med en token ansluten.
I startskedet av ssh-keygen, annat lösenord kan också ställas in för att komma åt filen med nyckeln.
U2F-nyckel kan läggas till ssh-agent via "ssh-add ~/.ssh/id_ecdsa_sk", men ssh-agent måste kompileras med stöd för nycklar ecdsa-sk, libsk-libfido2-lagret måste finnas och agenten måste köras på systemet som token den är kopplad till.
En ny typ av nyckel har lagts till ecdsa-sk sedan nyckelformatet ECDSA OpenSSH skiljer sig från U2F-formatet för digitala signaturer ECDSA genom närvaron av ytterligare fält.
Om du vill veta mer om det du kan rådfråga följande länk.