Til OpenSSH kóðagrunnsins
Til að hafa samskipti við tæki sem staðfesta viðveru notandans hefur nýrri tegund lykla verið bætt við OpenSSH "[netvarið]” („ecdsa-sk“), sem notar ECDSA (Elliptic Curve Digital Signature Algorithm) stafræna undirskriftaralgrím með NIST P-256 sporöskjulaga feril og SHA-256 kjötkássa. Aðferðir til að hafa samskipti við tákn eru settar í millisafn, sem er hlaðið á svipaðan hátt og safnið fyrir PKCS#11 stuðning og er umbúðir ofan á safnið
Til að virkja U2F geturðu notað ferska sneið af kóðagrunninum frá
Libfido2 styður OpenBSD, Linux, macOS og Windows.
Til að auðkenna og búa til lykil þarftu að stilla umhverfisbreytuna SSH_SK_PROVIDER, sem gefur til kynna slóðina að libsk-libfido2.so (flytja út SSH_SK_PROVIDER=/path/to/libsk-libfido2.so), eða skilgreina safnið í gegnum SecurityKeyProvider stillingu og keyrðu síðan “ssh-keygen -t ecdsa-sk” eða, ef lyklarnir hafa þegar verið búnir til og stilltir, tengdu við netþjóninn með því að nota “ssh”. Þegar þú keyrir ssh-keygen verður lyklaparið sem búið er til vistað í „~/.ssh/id_ecdsa_sk“ og hægt er að nota það á svipaðan hátt og aðra lykla.
Opinbera lykilinn (id_ecdsa_sk.pub) ætti að afrita á netþjóninn í authorized_keys skránni. Á þjóninum er aðeins stafræna undirskriftin staðfest og samskipti við tákn eru framkvæmd á biðlarahliðinni (þú þarft ekki að setja upp libsk-libfido2 á þjóninum, en þjónninn verður að styðja „ecdsa-sk“ lyklategundina) . Myndaði einkalykillinn (id_ecdsa_sk) er í meginatriðum lyklahandfang, myndar raunverulegan lykil aðeins í samsetningu með leyndaröðinni sem geymd er á U2F táknhliðinni.
Ef id_ecdsa_sk lykillinn fellur í hendur árásarmanns, til að standast auðkenningu, þarf hann einnig að fá aðgang að vélbúnaðarlyklinum, án þess er einkalykillinn sem geymdur er í id_ecdsa_sk skránni gagnslaus. Að auki, sjálfgefið, þegar allar aðgerðir eru framkvæmdar með lyklum (bæði við myndun og við auðkenningu), er krafist staðbundinnar staðfestingar á líkamlegri viðveru notandans, til dæmis er lagt til að snerta skynjarann á tákninu, sem gerir það erfitt að framkvæma fjarárásir á kerfi með tengdu tákni. Sem önnur varnarlína er einnig hægt að tilgreina lykilorð á ræsingarstigi ssh-keygen til að fá aðgang að lykilskránni.
Hægt er að bæta U2F lyklinum við ssh-agent í gegnum "ssh-add ~/.ssh/id_ecdsa_sk", en ssh-agent verður að vera smíðaður með stuðningi fyrir "ecdsa-sk" lykla, libsk-libfido2 lagið verður að vera til staðar og umboðsmaður verður að vera í gangi á kerfinu sem táknið er tengt við.
Nýrri lyklategund „ecdsa-sk“ hefur verið bætt við þar sem snið OpenSSH ecdsa lykla er frábrugðið U2F sniði fyrir ECDSA stafrænar undirskriftir ef fleiri reitir eru til staðar.
Heimild: opennet.ru