OpenSSH一組允許加密通信的應用程序 通過網絡使用SSH協議 增加了對兩因素身份驗證的實驗性支持 使用支持FIDO聯盟開發的U2F協議的設備將其擴展到其代碼庫。
對於那些不知道的人 U2F, 他們應該知道,這是製作低成本硬件安全令牌的開放標準。 這些是用戶獲得硬件支持的密鑰對的最便宜的方式,並且 有很多製造商 誰賣的,包括分別是Yubico,Feitian,Thetis和Kensington。
硬件支持的密鑰的優點是難以竊取:攻擊者通常必須竊取物理令牌(或至少對其進行持久訪問)才能竊取密鑰。
由於可以通過多種方式與U2F設備進行通信,包括USB,藍牙和NFC,因此我們不想加載帶有大量依賴關係的OpenSSH,而是將與令牌進行通信的任務委託給了小型中間件庫,其加載方式類似於現有的PKCS#11支持。
OpenSSH現在具有實驗性的U2F / FIDO支持,使用U2F作為新的密鑰類型添加 sk-ecdsa-sha2-nistp256@openssh.com 要么 ”ECDSA-SK“簡稱”(“ sk”代表“安全密鑰”)。
與令牌交互的過程已移至中間庫,以類比方式加載了支持PKCS#11的庫,並且是libfido2庫上的鏈接,該庫提供了通過USB與令牌進行通信的方式(FIDO U2F / CTAP 1和FIDO 2.0 / CTAP 2)。
圖書館 媒介物 libsk-libfido2 由OpenSSH開發人員準備 包含在libfido2內核中,以及用於OpenBSD的HID驅動程序。
要啟用U2F, 可以使用來自OpenSSH存儲庫的代碼庫的新部分 以及libfido2庫的HEAD分支,該庫已經包含OpenSSH的必要層。 Libfido2支持在OpenBSD,Linux,macOS和Windows上工作。
我們已經為Yubico的libfido2編寫了一個基本的中間件,該中間件能夠與任何標準的USB HID U2F或FIDO2令牌對話。 中間件。 源代碼託管在libfido2樹中,因此使用OpenSSH HEAD進行構建就足夠了
必須將公用密鑰(id_ecdsa_sk.pub)複製到服務器中的authorized_keys文件中。 在服務器端,僅驗證數字簽名,並且在客戶端進行與令牌的交互(不需要在服務器上安裝libsk-libfido2,但是服務器必須支持密鑰類型“ ecdsa-sk» )。
生成的私鑰(ecdsa_sk_id)本質上是一個密鑰描述符,僅與存儲在U2F令牌端的秘密序列結合在一起才能形成真實密鑰。
如果鑰匙 ecdsa_sk_id 落入攻擊者的手中,進行身份驗證時,他還需要訪問硬件令牌,否則,沒有必要使用id_ecdsa_sk文件中存儲的私鑰。
另外, 默認情況下,執行關鍵操作時 (在生成和身份驗證期間), 需要本地確認用戶的身體狀態例如,建議觸摸令牌上的傳感器,這使得很難在連接令牌的系統上進行遠程攻擊。
在開始階段 ssh-keygen,也可以設置其他密碼 使用密鑰訪問文件。
可以將U2F密鑰添加到 SSH代理 通過 ”ssh-add〜/ .ssh / id_ecdsa_sk“,但是 SSH代理 必須在關鍵支持下進行編譯 ECDSA-SK,則必須存在libsk-libfido2層,並且代理必須在其附加了令牌的系統上運行。
添加了一種新的密鑰 ECDSA-SK 自密鑰格式 電子病歷 OpenSSH與U2F格式的數字簽名不同 ECDSA 由於存在其他字段。
如果您想了解更多 你可以諮詢 以下鏈接。