Ngadto sa OpenSSH codebase eksperimento nga suporta alang sa duha ka hinungdan nga panghimatuud gamit ang mga aparato nga nagsuporta sa protocol , gipalambo sa alyansa . Gitugotan sa U2F ang paghimo sa mga token sa hardware nga mubu nga gasto aron mapamatud-an ang pisikal nga presensya sa tiggamit, nga nakig-uban kanila pinaagi sa USB, Bluetooth o NFC. Ang ingon nga mga aparato gipasiugda ingon usa ka paagi sa pag-authenticate sa duha ka hinungdan sa mga website, gisuportahan na sa mga dagkong browser ug gihimo sa lainlaing mga tiggama, lakip ang Yubico, Feitian, Thetis ug Kensington.
Aron makig-uban sa mga himan nga nagpamatuod sa presensya sa user, usa ka bag-ong matang sa mga yawe ang gidugang sa OpenSSH "[protektado sa email]β (βecdsa-skβ), nga naggamit sa ECDSA (Elliptic Curve Digital Signature Algorithm) digital signature algorithm nga adunay NIST P-256 elliptic curve ug SHA-256 hash. Ang mga pamaagi sa pagpakig-uban sa mga token gibutang sa usa ka intermediate nga librarya, nga gikarga sa susama nga paagi sa librarya alang sa PKCS#11 nga suporta ug usa ka wrapper sa ibabaw sa librarya. , nga naghatag og mga himan alang sa pagpakigsulti sa mga token sa USB (FIDO U2F/CTAP 1 ug FIDO 2.0/CTAP 2 nga mga protocol gisuportahan). Intermediate library libsk-libfido2 giandam sa OpenSSH developers ngadto sa kinauyokan nga libfido2, ingon man usab alang sa OpenBSD.
Aron mahimo ang U2F, mahimo nimong gamiton ang bag-ong hiwa sa codebase gikan sa OpenSSH ug ang HEAD branch sa library , nga naglakip na sa layer nga gikinahanglan alang sa OpenSSH.
Gisuportahan sa Libfido2 ang OpenBSD, Linux, macOS ug Windows.
Aron mapamatud-an ug makamugna og usa ka yawe, kinahanglan nimo nga i-set ang SSH_SK_PROVIDER environment variable, nga nagpaila niini sa dalan sa libsk-libfido2.so (export SSH_SK_PROVIDER=/path/to/libsk-libfido2.so), o i-define ang library pinaagi sa SecurityKeyProvider setting, ug dayon padagana ang βssh- keygen -t ecdsa-skβ o, kon ang mga yawe nahimo na ug na-configure, sumpay sa server gamit ang βsshβ. Kung magpadagan ka sa ssh-keygen, ang namugna nga key pair ma-save sa "~/.ssh/id_ecdsa_sk" ug magamit parehas sa ubang mga yawe.
Ang public key (id_ecdsa_sk.pub) kinahanglang kopyahon sa server sa authorized_keys file. Sa bahin sa server, ang digital signature ra ang napamatud-an, ug ang interaksyon sa mga token gihimo sa kilid sa kliyente (dili nimo kinahanglan nga i-install ang libsk-libfido2 sa server, apan kinahanglan nga suportahan sa server ang "ecdsa-sk" key type) . Ang namugna nga pribado nga yawe (id_ecdsa_sk) sa esensya usa ka yawe nga kuptanan, nga nagporma usa ka tinuud nga yawe sa kombinasyon sa sekreto nga pagkasunod-sunod nga gitipigan sa kilid sa token sa U2F.
Kung ang yawe sa id_ecdsa_sk nahulog sa mga kamot sa usa ka tig-atake, aron maipasa ang pag-authenticate kinahanglan usab niya nga maka-access sa token sa hardware, kung wala ang pribadong yawe nga gitipigan sa id_ecdsa_sk file walaβy kapuslanan. Dugang pa, pinaagi sa default, kung maghimo sa bisan unsang mga operasyon nga adunay mga yawe (sa panahon sa henerasyon ug sa panahon sa pag-authenticate), gikinahanglan ang lokal nga kumpirmasyon sa pisikal nga presensya sa user, pananglitan, gisugyot nga hikapon ang sensor sa token, nga nagpalisud sa paghimo niini. paghimo sa hilit nga pag-atake sa mga sistema nga adunay konektado nga timaan. Ingon nga laing linya sa depensa, ang usa ka password mahimo usab nga itakda sa panahon sa pagsugod nga hugna sa ssh-keygen aron ma-access ang yawe nga file.
Ang U2F nga yawe mahimong idugang sa ssh-agent pinaagi sa "ssh-add ~/.ssh/id_ecdsa_sk", apan ang ssh-agent kinahanglan nga matukod uban ang suporta alang sa "ecdsa-sk" nga mga yawe, ang libsk-libfido2 layer kinahanglan nga anaa ug ang ahente kinahanglan nga modagan sa sistema , diin ang token konektado.
Usa ka bag-ong tipo sa yawe nga "ecdsa-sk" ang gidugang tungod kay ang pormat sa OpenSSH ecdsa nga mga yawe lahi sa format nga U2F alang sa mga digital nga pirma sa ECDSA kung adunay dugang nga mga natad.
Source: opennet.ru