OpenSSH kod bazasına protokolu dəstəkləyən cihazlardan istifadə edərək iki faktorlu autentifikasiya üçün eksperimental dəstək , alyans tərəfindən hazırlanmışdır . U2F istifadəçinin fiziki mövcudluğunu yoxlamaq, USB, Bluetooth və ya NFC vasitəsilə onlarla qarşılıqlı əlaqə yaratmaq üçün ucuz aparat nişanlarının yaradılmasına imkan verir. Bu cür cihazlar veb-saytlarda iki faktorlu autentifikasiya vasitəsi kimi təbliğ olunur, artıq əsas brauzerlər tərəfindən dəstəklənir və Yubico, Feitian, Thetis və Kensington da daxil olmaqla müxtəlif istehsalçılar tərəfindən istehsal olunur.
İstifadəçinin varlığını təsdiqləyən cihazlarla qarşılıqlı əlaqə yaratmaq üçün OpenSSH-ə yeni növ açarlar əlavə edildi.[e-poçt qorunur]” (“ecdsa-sk”), NIST P-256 elliptik əyrisi və SHA-256 hash ilə ECDSA (Eliptik Əyri Rəqəmsal İmza Alqoritmi) rəqəmsal imza alqoritmindən istifadə edir. Tokenlərlə qarşılıqlı əlaqə prosedurları PKCS#11 dəstəyi üçün kitabxanaya oxşar şəkildə yüklənən və kitabxananın üstündəki sarğı olan ara kitabxanada yerləşdirilir. , USB vasitəsilə tokenlərlə əlaqə yaratmaq üçün alətlər təqdim edir (FIDO U2F/CTAP 1 və FIDO 2.0/CTAP 2 protokolları dəstəklənir). OpenSSH tərtibatçıları tərəfindən hazırlanmış libsk-libfido2 aralıq kitabxanası əsas libfido2 daxil, eləcə də OpenBSD üçün.
U2F-i aktivləşdirmək üçün kod bazasının təzə dilimini istifadə edə bilərsiniz OpenSSH və kitabxananın HEAD filialı , artıq OpenSSH üçün lazım olan təbəqəni ehtiva edir.
Libfido2 OpenBSD, Linux, macOS və Windows-u dəstəkləyir.
Açarın autentifikasiyası və yaradılması üçün siz SSH_SK_PROVIDER mühit dəyişənini təyin etməlisiniz, orada libsk-libfido2.so yolunu göstərməlisiniz (SSH_SK_PROVIDER=/path/to/libsk-libfido2.so ixrac edin) və ya SecurityKeyProvider vasitəsilə kitabxananı müəyyənləşdirin. konfiqurasiya edin və sonra “ssh-keygen -t ecdsa-sk” işə salın və ya düymələr artıq yaradılıb və konfiqurasiya edilibsə, “ssh” istifadə edərək serverə qoşulun. Siz ssh-keygen-i işə saldığınız zaman yaradılan açar cütü “~/.ssh/id_ecdsa_sk” içərisində saxlanacaq və digər düymələr kimi istifadə oluna bilər.
Açıq açar (id_ecdsa_sk.pub) səlahiyyətli_açarlar faylında serverə kopyalanmalıdır. Server tərəfində yalnız rəqəmsal imza yoxlanılır və müştəri tərəfində tokenlərlə qarşılıqlı əlaqə həyata keçirilir (serverdə libsk-libfido2 quraşdırmaq lazım deyil, lakin server “ecdsa-sk” açar növünü dəstəkləməlidir) . Yaradılmış şəxsi açar (id_ecdsa_sk) mahiyyətcə əsas tutacaqdır və yalnız U2F işarəsi tərəfində saxlanılan məxfi ardıcıllıqla birlikdə real açar təşkil edir.
Əgər id_ecdsa_sk açarı təcavüzkarın əlinə keçərsə, identifikasiyadan keçmək üçün o, həmçinin hardware tokeninə giriş əldə etməlidir, onsuz id_ecdsa_sk faylında saxlanılan şəxsi açar faydasızdır. Bundan əlavə, standart olaraq, açarlarla hər hansı əməliyyatlar həyata keçirərkən (həm generasiya zamanı, həm də autentifikasiya zamanı) istifadəçinin fiziki mövcudluğunun yerli təsdiqi tələb olunur, məsələn, tokendəki sensora toxunmaq təklif olunur ki, bu da işləməyi çətinləşdirir. bağlı token olan sistemlərə uzaqdan hücumlar həyata keçirin. Başqa bir müdafiə xətti olaraq, açar faylına daxil olmaq üçün ssh-keygen-in başlanğıc mərhələsində parol da müəyyən edilə bilər.
U2F açarı ssh-agent-ə "ssh-add ~/.ssh/id_ecdsa_sk" vasitəsilə əlavə edilə bilər, lakin ssh-agent "ecdsa-sk" düymələri dəstəyi ilə qurulmalıdır, libsk-libfido2 təbəqəsi mövcud olmalıdır və agent tokenin qoşulduğu sistemdə işləməlidir.
OpenSSH ecdsa açarlarının formatı əlavə sahələrin olması ilə ECDSA rəqəmsal imzaları üçün U2F formatından fərqləndiyi üçün yeni açar növü “ecdsa-sk” əlavə edilmişdir.
Mənbə: opennet.ru