OpenSSH ang hanay ng mga application na nagpapahintulot sa mga naka-encrypt na komunikasyon sa isang network, gamit ang SSH protocol ay nagdagdag ng pang-eksperimentong suporta para sa pagpapatunay ng dalawang-kadahilanan sa code base nito, gamit ang mga aparato na sumusuporta sa U2F protocol na binuo ng FIDO alliance.
Para sa mga hindi nakakaalam U2F, Dapat nilang malaman iyon, ito ay isang bukas na pamantayan para sa paggawa ng mga token ng seguridad ng hardware na mura. Madali ang mga ito ang pinakamurang paraan para sa mga gumagamit upang makakuha ng isang naka-back na key na key ng hardware at mayroong isang mahusay na hanay ng mga tagagawa sino ang nagtitinda sa kanila, kasama nas Yubico, Feitian, Thetis, at Kensington.
Ang mga key na sinusuportahan ng hardware ay nag-aalok ng bentahe ng pagiging mas mahirap pagnanakaw: ang isang magsasalakay sa pangkalahatan ay kailangang magnakaw ng pisikal na token (o hindi bababa sa paulit-ulit na pag-access dito) upang nakawin ang susi.
Dahil may isang bilang ng mga paraan upang makipag-usap sa mga aparato ng U2F, kabilang ang USB, Bluetooth, at NFC, hindi namin nais na mai-load ang OpenSSH ng isang tonelada ng mga dependency. Sa halip, na-delegate namin ang gawain ng pakikipag-usap sa mga token sa isang maliit na library ng middleware na naglo-load sa katulad sa umiiral na suporta ng PKCS # 11.
Ang OpenSSH ay mayroon nang pang-eksperimentong suporta sa U2F / FIDO, sa U2F idinagdag ito bilang isang bagong uri ng key sk-ecdsa-sha2-nistp256@openssh.com o "ecdsa-sk"Para sa maikli (ang" sk "ay nangangahulugang" security key ").
Ang mga pamamaraan para sa pakikipag-ugnay sa mga token ay inilipat sa isang pansamantalang aklatan, na na-load sa pamamagitan ng pagkakatulad sa library para sa suporta ng PKCS # 11 at isang link sa libfido2 library, na nagbibigay ng paraan upang makipag-usap sa mga token sa pamamagitan ng USB (FIDO U2F / CTAP 1 at FIDO 2.0 / CTAP 2).
Library intermedia libsk-libfido2 inihanda ng mga developer ng OpenSSH ay kasama sa kernel ng libfido2, pati na rin ang HID driver para sa OpenBSD.
Upang paganahin ang U2F, isang bagong bahagi ng base ng code mula sa OpenSSH na imbakan ay maaaring magamit at ang HEAD branch ng libfido2 library, na nagsasama na ng kinakailangang layer para sa OpenSSH. Sinusuportahan ng Libfido2 ang pagtatrabaho sa OpenBSD, Linux, macOS, at Windows.
Nagsulat kami ng isang pangunahing middleware para sa libfido2 ni Yubico na may kakayahang makipag-usap sa anumang karaniwang USB HID U2F o FIDO2 token. Ang middleware. Ang mapagkukunan ay naka-host sa puno ng libfido2, kaya't ang pagbuo nito at ang OpenSSH HEAD ay sapat na upang magsimula
Ang pampublikong key (id_ecdsa_sk.pub) ay dapat kopyahin sa server sa file na awtorisado_keys. Sa panig ng server, isang digital signature lamang ang napatunayan at ang pakikipag-ugnayan sa mga token ay ginagawa sa panig ng kliyente (libsk-libfido2 ay hindi kailangang mai-install sa server, ngunit dapat suportahan ng server ang pangunahing uri ng "ecdsa-sk» ).
Ang nabuong pribadong key (ecdsa_sk_id) ay mahalagang isang pangunahing tagapaglarawan na bumubuo ng isang tunay na susi lamang sa kumbinasyon ng isang lihim na pagkakasunud-sunod na nakaimbak sa U2F token side.
Kung ang susi ecdsa_sk_id nahuhulog sa mga kamay ng umaatake, para sa pagpapatotoo, kakailanganin din niyang i-access ang token ng hardware, kung wala ang pribadong key na nakaimbak sa id_ecdsa_sk file ay walang silbi.
Bukod dito, bilang default, kapag isinagawa ang mga pangunahing pagpapatakbo (kapwa sa panahon ng pagbuo at pagpapatotoo), isang lokal na kumpirmasyon ng pisikal na pagkakaroon ng gumagamit ay kinakailanganHalimbawa, iminungkahi na hawakan ang sensor sa token, na nagpapahirap na magsagawa ng mga remote na pag-atake sa mga system na may konektadong token.
Sa panimulang yugto ng ssh-keygen, ang ibang password ay maaari ring maitakda upang ma-access ang file gamit ang susi.
Ang U2F key ay maaaring idagdag sa ssh-ahente sa pamamagitan ng "ssh-add ~/.ssh/id_ecdsa_sk", pero ssh-ahente dapat na pinagsama-sama ng pangunahing suporta ecdsa-sk, ang layer ng libsk-libfido2 ay dapat na naroroon at ang ahente ay dapat na tumatakbo sa system kung saan ito naka-attach.
Ang isang bagong uri ng susi ay naidagdag ecdsa-sk dahil ang key format ecdsa Ang OpenSSH ay naiiba mula sa format na U2F para sa mga digital na lagda ECDSA sa pagkakaroon ng karagdagang mga patlang.
Kung nais mong malaman ang tungkol dito maaari kang kumunsulta ang sumusunod na link.