மறைகுறியாக்கப்பட்ட தகவல்தொடர்புகளை அனுமதிக்கும் பயன்பாடுகளின் தொகுப்பு OpenSSH ஒரு பிணையத்தில், SSH நெறிமுறையைப் பயன்படுத்தி இரண்டு காரணி அங்கீகாரத்திற்கான சோதனை ஆதரவைச் சேர்த்தது FIDO கூட்டணியால் உருவாக்கப்பட்ட U2F நெறிமுறையை ஆதரிக்கும் சாதனங்களைப் பயன்படுத்தி அதன் குறியீடு தளத்திற்கு.
தெரியாதவர்களுக்கு யு 2 எஃப், அவர்கள் அதை அறிந்து கொள்ள வேண்டும், இது குறைந்த விலை வன்பொருள் பாதுகாப்பு டோக்கன்களை உருவாக்குவதற்கான திறந்த தரமாகும். பயனர்கள் வன்பொருள் ஆதரவுடைய முக்கிய ஜோடியைப் பெறுவதற்கான மலிவான வழி இவை உற்பத்தியாளர்கள் ஒரு நல்ல வரம்பு உள்ளது உட்பட, அவற்றை விற்கிறவர்கள்யூபிகோ, ஃபீடியன், தீடிஸ் மற்றும் கென்சிங்டன்.
வன்பொருள் ஆதரவு விசைகள் திருட மிகவும் கடினமாக இருப்பதன் நன்மையை வழங்குகின்றன: தாக்குபவர் பொதுவாக விசையைத் திருடுவதற்கு உடல் டோக்கனை (அல்லது குறைந்தபட்சம் தொடர்ந்து அணுகுவதை) திருட வேண்டும்.
யூ.எஸ்.பி, புளூடூத் மற்றும் என்.எஃப்.சி உள்ளிட்ட யு 2 எஃப் சாதனங்களுடன் பேச பல வழிகள் இருப்பதால், ஓபன்எஸ்எஸ்ஹெச் ஒரு டன் சார்புகளுடன் ஏற்ற விரும்பவில்லை. அதற்கு பதிலாக, டோக்கன்களுடன் தொடர்புகொள்வதற்கான பணியை ஒரு சிறிய நூலகத்திற்கு ஒப்படைத்துள்ளோம் தற்போதுள்ள PKCS # 11 ஆதரவைப் போலவே ஏற்றும் மிடில்வேர்.
OpenSSH இப்போது சோதனை U2F / FIDO ஆதரவைக் கொண்டுள்ளது, U2F உடன் இது ஒரு புதிய விசை வகையாக சேர்க்கப்படுகிறது sk-ecdsa-sha2-nistp256@openssh.com அல்லது «ecdsa-sk"சுருக்கமாக (" sk "என்பது" பாதுகாப்பு விசையை "குறிக்கிறது).
டோக்கன்களுடன் தொடர்புகொள்வதற்கான நடைமுறைகள் ஒரு இடைநிலை நூலகத்திற்கு மாற்றப்பட்டுள்ளன, இது PKCS # 11 ஆதரவுக்கான நூலகத்துடன் ஒப்புமை மூலம் ஏற்றப்படுகிறது மற்றும் இது libfido2 நூலகத்தின் இணைப்பாகும், இது USB (FIDO U2F / CTAP 1 மற்றும் FIDO 2.0 / CTAP 2) வழியாக டோக்கன்களுடன் தொடர்புகொள்வதற்கான வழிமுறைகளை வழங்குகிறது.
நூலகம் இடைநிலை libsk-libfido2 OpenSSH டெவலப்பர்களால் தயாரிக்கப்பட்டது libfido2 கர்னலில் சேர்க்கப்பட்டுள்ளது, அத்துடன் OpenBSD க்கான HID இயக்கி.
U2F ஐ இயக்க, OpenSSH களஞ்சியத்திலிருந்து குறியீடு தளத்தின் புதிய பகுதியைப் பயன்படுத்தலாம் மற்றும் libfido2 நூலகத்தின் HEAD கிளை, இது ஏற்கனவே OpenSSH க்கு தேவையான அடுக்கை உள்ளடக்கியது. OpenBSD, Linux, macOS மற்றும் Windows இல் வேலை செய்வதை Libfido2 ஆதரிக்கிறது.
எந்தவொரு நிலையான யூ.எஸ்.பி எச்.ஐ.டி யு 2 எஃப் அல்லது எஃப்.ஐ.டி.ஓ 2 டோக்கனுடன் பேசும் திறன் கொண்ட யூபிகோவின் லிப்ஃபிடோ 2 க்கான அடிப்படை மிடில்வேரை நாங்கள் எழுதியுள்ளோம். மிடில்வேர். மூலமானது libfido2 மரத்தில் ஹோஸ்ட் செய்யப்பட்டுள்ளது, எனவே நீங்கள் மற்றும் OpenSSH HEAD ஐ உருவாக்குவது நீங்கள் தொடங்குவதற்கு போதுமானது
அங்கீகரிக்கப்பட்ட_கீக்கள் கோப்பில் உள்ள பொது விசையை (id_ecdsa_sk.pub) சேவையகத்திற்கு நகலெடுக்க வேண்டும். சேவையக பக்கத்தில், ஒரு டிஜிட்டல் கையொப்பம் மட்டுமே சரிபார்க்கப்பட்டு, டோக்கன்களுடனான தொடர்பு கிளையன்ட் பக்கத்தில் செய்யப்படுகிறது (libsk-libfido2 சேவையகத்தில் நிறுவப்பட தேவையில்லை, ஆனால் சேவையகம் "ecdsa-sk» "என்ற முக்கிய வகையை ஆதரிக்க வேண்டும். ).
உருவாக்கப்பட்ட தனிப்பட்ட விசை (ecdsa_sk_id) அடிப்படையில் ஒரு முக்கிய விளக்கமாகும், இது U2F டோக்கன் பக்கத்தில் சேமிக்கப்பட்ட ஒரு ரகசிய வரிசையுடன் இணைந்து உண்மையான விசையை உருவாக்குகிறது.
விசை என்றால் ecdsa_sk_id அங்கீகாரத்திற்காக, தாக்குபவரின் கைகளில் விழுகிறது, அவர் வன்பொருள் டோக்கனையும் அணுக வேண்டும், இது இல்லாமல் id_ecdsa_sk கோப்பில் சேமிக்கப்பட்ட தனிப்பட்ட விசை பயனற்றது.
கூடுதலாக, முன்னிருப்பாக, முக்கிய செயல்பாடுகள் செய்யப்படும்போது (தலைமுறை மற்றும் அங்கீகாரத்தின் போது), பயனரின் உடல் இருப்பை உள்ளூர் உறுதிப்படுத்தல் தேவைஎடுத்துக்காட்டாக, டோக்கனில் சென்சாரைத் தொடுமாறு பரிந்துரைக்கப்படுகிறது, இது இணைக்கப்பட்ட டோக்கன் கொண்ட கணினிகளில் தொலைநிலை தாக்குதல்களைச் செய்வது கடினம்.
ஆரம்ப கட்டத்தில் ssh-keygen, பிற கடவுச்சொல்லையும் அமைக்கலாம் விசையுடன் கோப்பை அணுக.
U2F விசையை சேர்க்கலாம் ssh- முகவர் மூலம் "ssh-add ~/.ssh/id_ecdsa_sk", ஆனாலும் ssh- முகவர் முக்கிய ஆதரவுடன் தொகுக்கப்பட வேண்டும் ecdsa-sk, libsk-libfido2 அடுக்கு இருக்க வேண்டும் மற்றும் எந்த டோக்கன் இணைக்கப்பட்டுள்ள கணினியில் முகவர் இயங்க வேண்டும்.
புதிய வகை விசை சேர்க்கப்பட்டது ecdsa-sk முக்கிய வடிவமைப்பிலிருந்து ecdsa OpenSSH டிஜிட்டல் கையொப்பங்களுக்கான U2F வடிவமைப்பிலிருந்து வேறுபடுகிறது ECDSA கூடுதல் புலங்கள் இருப்பதால்.
நீங்கள் அதைப் பற்றி மேலும் தெரிந்து கொள்ள விரும்பினால் நீங்கள் ஆலோசிக்க முடியும் பின்வரும் இணைப்பு.