OpenSSH সার্বজনীন দ্বি-ফ্যাক্টর প্রমাণীকরণের জন্য সমর্থন যোগ করে

OpenSSH কোডবেসে যোগ করা হয়েছে প্রোটোকল সমর্থন করে এমন ডিভাইস ব্যবহার করে দ্বি-ফ্যাক্টর প্রমাণীকরণের জন্য পরীক্ষামূলক সমর্থন U2F, জোট দ্বারা উন্নত FIDO. U2F কম খরচে হার্ডওয়্যার টোকেন তৈরি করার অনুমতি দেয় ব্যবহারকারীর শারীরিক উপস্থিতি যাচাই করতে, তাদের সাথে USB, Bluetooth বা NFC এর মাধ্যমে ইন্টারঅ্যাক্ট করে। এই জাতীয় ডিভাইসগুলি ওয়েবসাইটগুলিতে দ্বি-ফ্যাক্টর প্রমাণীকরণের মাধ্যম হিসাবে প্রচার করা হয়, ইতিমধ্যেই প্রধান ব্রাউজার দ্বারা সমর্থিত এবং ইউবিকো, ফেইটিয়ান, থেটিস এবং কেনসিংটন সহ বিভিন্ন নির্মাতারা উত্পাদিত।

ব্যবহারকারীর উপস্থিতি নিশ্চিত করে এমন ডিভাইসগুলির সাথে ইন্টারঅ্যাক্ট করতে, OpenSSH-এ একটি নতুন ধরনের কী যোগ করা হয়েছে "[ইমেল সুরক্ষিত]” (“ecdsa-sk”), যা NIST P-256 উপবৃত্তাকার বক্ররেখা এবং SHA-256 হ্যাশ সহ ECDSA (Elliptic Curve Digital Signature Algorithm) ডিজিটাল স্বাক্ষর অ্যালগরিদম ব্যবহার করে। টোকেনগুলির সাথে ইন্টারঅ্যাক্ট করার পদ্ধতিগুলি একটি মধ্যবর্তী লাইব্রেরিতে স্থাপন করা হয়, যা PKCS#11 সমর্থনের জন্য লাইব্রেরির অনুরূপভাবে লোড করা হয় এবং এটি লাইব্রেরির উপরে একটি মোড়ক। libfido2, যা USB-এর মাধ্যমে টোকেনগুলির সাথে যোগাযোগের জন্য সরঞ্জাম সরবরাহ করে (FIDO U2F/CTAP 1 এবং FIDO 2.0/CTAP 2 প্রোটোকল সমর্থিত)৷ মধ্যবর্তী লাইব্রেরি libsk-libfido2 OpenSSH ডেভেলপারদের দ্বারা প্রস্তুত করা হয়েছে অন্তর্ভুক্ত কোর libfido2 মধ্যে, সেইসাথে HID ড্রাইভার OpenBSD এর জন্য।

U2F সক্ষম করতে, আপনি কোডবেসের একটি তাজা স্লাইস ব্যবহার করতে পারেন ভান্ডার OpenSSH এবং লাইব্রেরির প্রধান শাখা libfido2, যা ইতিমধ্যেই OpenSSH-এর জন্য প্রয়োজনীয় স্তর অন্তর্ভুক্ত করে।
Libfido2 OpenBSD, Linux, macOS এবং Windows সমর্থন করে।

প্রমাণীকরণ এবং একটি কী তৈরি করতে, আপনাকে SSH_SK_PROVIDER এনভায়রনমেন্ট ভেরিয়েবল সেট করতে হবে, এতে libsk-libfido2.so এর পথ নির্দেশ করে (SSH_SK_PROVIDER=/path/to/libsk-libfido2.so রপ্তানি করুন), বা SecurityKeyProvider-এর মাধ্যমে লাইব্রেরি সংজ্ঞায়িত করুন সেটিং, এবং তারপর "ssh-keygen -t ecdsa-sk" চালান অথবা, যদি কীগুলি ইতিমধ্যেই তৈরি এবং কনফিগার করা হয়ে থাকে, তাহলে "ssh" ব্যবহার করে সার্ভারের সাথে সংযোগ করুন। আপনি যখন ssh-keygen চালাবেন, তখন জেনারেট করা কী জোড়া “~/.ssh/id_ecdsa_sk”-এ সংরক্ষিত হবে এবং অন্যান্য কীগুলির মতো একইভাবে ব্যবহার করা যেতে পারে।

সর্বজনীন কী (id_ecdsa_sk.pub) অনুমোদিত_কী ফাইলে সার্ভারে অনুলিপি করা উচিত। সার্ভারের দিকে, শুধুমাত্র ডিজিটাল স্বাক্ষর যাচাই করা হয়, এবং ক্লায়েন্ট সাইডে টোকেনের সাথে মিথস্ক্রিয়া করা হয় (আপনাকে সার্ভারে libsk-libfido2 ইনস্টল করার দরকার নেই, তবে সার্ভারকে অবশ্যই "ecdsa-sk" কী টাইপ সমর্থন করতে হবে) . জেনারেট করা প্রাইভেট কী (id_ecdsa_sk) মূলত একটি কী হ্যান্ডেল, যা শুধুমাত্র U2F টোকেন সাইডে সংরক্ষিত গোপন সিকোয়েন্সের সংমিশ্রণে একটি বাস্তব কী তৈরি করে।

যদি id_ecdsa_sk কী আক্রমণকারীর হাতে পড়ে, তাহলে প্রমাণীকরণ পাস করার জন্য তাকে হার্ডওয়্যার টোকেনে অ্যাক্সেস পেতে হবে, যা ছাড়া id_ecdsa_sk ফাইলে সংরক্ষিত ব্যক্তিগত কীটি অকেজো। তদ্ব্যতীত, ডিফল্টরূপে, কীগুলির সাহায্যে কোনও ক্রিয়াকলাপ সম্পাদন করার সময় (উভয় প্রজন্মের সময় এবং প্রমাণীকরণের সময়), ব্যবহারকারীর শারীরিক উপস্থিতির স্থানীয় নিশ্চিতকরণের প্রয়োজন হয়, উদাহরণস্বরূপ, টোকেনে সেন্সর স্পর্শ করার প্রস্তাব করা হয়, যা এটিকে কঠিন করে তোলে। একটি সংযুক্ত টোকেন সহ সিস্টেমে দূরবর্তী আক্রমণ চালান। প্রতিরক্ষার আরেকটি লাইন হিসাবে, কী ফাইল অ্যাক্সেস করার জন্য ssh-keygen-এর স্টার্টআপ পর্বের সময় একটি পাসওয়ার্ডও নির্দিষ্ট করা যেতে পারে।

U2F কী "ssh-add ~/.ssh/id_ecdsa_sk" এর মাধ্যমে ssh-এজেন্টে যোগ করা যেতে পারে, কিন্তু ssh-agent অবশ্যই "ecdsa-sk" কীগুলির সমর্থন সহ তৈরি করা উচিত, libsk-libfido2 স্তরটি অবশ্যই উপস্থিত থাকতে হবে এবং এজেন্ট অবশ্যই সিস্টেমে চলমান থাকবে, যার সাথে টোকেন সংযুক্ত রয়েছে।
একটি নতুন কী ধরনের "ecdsa-sk" যোগ করা হয়েছে যেহেতু অতিরিক্ত ক্ষেত্রের উপস্থিতিতে OpenSSH ecdsa কীগুলির বিন্যাস ECDSA ডিজিটাল স্বাক্ষরের জন্য U2F বিন্যাস থেকে আলাদা।

উত্স: opennet.ru