OpenSSH набір програм, що дозволяють зашифровані комунікації через мережу, використовуючи протокол SSH додав експериментальну підтримку двофакторної автентифікації до своєї кодової бази, використовуючи пристрої, що підтримують протокол U2F, розроблений альянсом FIDO.
Для тих, хто не знає U2F, вони повинні це знати, це відкритий стандарт для створення недорогих токенів апаратного захисту. Це найдешевший спосіб для користувачів отримати апаратну підтримку пари ключів і є хороший асортимент виробників які їх продають, у тому числіs Юбіко, Фейтіан, Фетіда та Кенсінгтон.
Ключі, що підтримуються апаратним забезпеченням, дають перевагу в тому, що їх значно важче вкрасти: зловмиснику зазвичай потрібно викрасти фізичний маркер (або принаймні постійний доступ до нього), щоб викрасти ключ.
Оскільки існує ряд способів спілкуватися з пристроями U2F, включаючи USB, Bluetooth та NFC, ми не хотіли завантажувати OpenSSH з безліччю залежностей. Натомість ми делегували завдання спілкування з маркерами на невеликий бібліотека проміжного програмного забезпечення, яка завантажується простим способом, подібно до існуючої підтримки PKCS # 11.
Відтепер OpenSSH має експериментальну підтримку U2F / FIDO, з U2F він доданий як новий тип ключа sk-ecdsa-sha2-nistp256@openssh.com або «ecdsa-sk"Коротко (" sk "означає" ключ безпеки ").
Процедури взаємодії з маркерами перенесено в проміжну бібліотеку, який завантажується за аналогією з бібліотекою для підтримки PKCS # 11 і є посиланням у бібліотеці libfido2, що забезпечує засоби зв'язку з токенами через USB (FIDO U2F / CTAP 1 та FIDO 2.0 / CTAP 2).
Бібліотека intermedia libsk-libfido2 підготовлений розробниками OpenSSH входить до складу ядра libfido2, а також драйвер HID для OpenBSD.
Щоб увімкнути U2F, можна використовувати нову частину кодової бази зі сховища OpenSSH та гілка HEAD бібліотеки libfido2, яка вже включає необхідний рівень для OpenSSH. Libfido2 підтримує роботу на OpenBSD, Linux, macOS та Windows.
Ми написали базове проміжне програмне забезпечення для libfido2 від Yubico, яке здатне спілкуватися з будь-яким стандартним USB HID U2F або FIDO2 токеном. Проміжне програмне забезпечення. Джерело розміщено в дереві libfido2, тому для створення цього достатньо побудувати це та OpenSSH HEAD
Відкритий ключ (id_ecdsa_sk.pub) потрібно скопіювати на сервер у файлі дозволених ключів. На стороні сервера перевіряється лише цифровий підпис, а взаємодія з токенами здійснюється на стороні клієнта (libsk-libfido2 не потрібно встановлювати на сервері, але сервер повинен підтримувати тип ключа "ecdsa-sk").
Створений приватний ключ (ecdsa_sk_id) є по суті дескриптором ключа, який формує справжній ключ лише в поєднанні з секретною послідовністю, що зберігається на стороні токена U2F.
Якщо ключ ecdsa_sk_id потрапляє в руки зловмисника, для автентифікації йому також потрібно буде отримати доступ до апаратного маркера, без якого приватний ключ, що зберігається у файлі id_ecdsa_sk, марний.
Крім того, за замовчуванням, коли виконуються ключові операції (як під час генерації, так і під час автентифікації), вимагається місцеве підтвердження фізичної присутності користувачаНаприклад, пропонується торкнутися датчика на маркері, що ускладнює здійснення віддалених атак на системи із підключеним маркером.
На початковій стадії ssh-keygen, також можна встановити інший пароль щоб отримати доступ до файлу за допомогою ключа.
Ключ U2F можна додати до ssh-agent через "ssh-add ~/.ssh/id_ecdsa_sk", але ssh-agent повинен бути скомпільований за допомогою ключової підтримки ecdsa-sk, рівень libsk-libfido2 повинен бути присутнім, а агент повинен працювати в системі, до якої маркер він приєднаний.
Додано новий тип ключа ecdsa-sk оскільки ключовий формат ecdsa OpenSSH відрізняється від формату U2F для цифрових підписів ECDSA наявністю додаткових полів.
Якщо ви хочете дізнатися більше про це ви можете проконсультуватися за наступним посиланням.