Til OpenSSH kóðagrunnsins tilraunastuðningur við tveggja þátta auðkenningu með því að nota tæki sem styðja samskiptareglur , þróað af bandalaginu . U2F gerir kleift að búa til ódýran vélbúnaðartákn til að staðfesta líkamlega viðveru notandans, hafa samskipti við þá í gegnum USB, Bluetooth eða NFC. Slík tæki eru kynnt sem leið til tveggja þátta auðkenningar á vefsíðum, eru nú þegar studd af helstu vöfrum og eru framleidd af ýmsum framleiðendum, þar á meðal Yubico, Feitian, Thetis og Kensington.
Til að hafa samskipti við tæki sem staðfesta viðveru notandans hefur nýrri tegund lykla verið bætt við OpenSSH "[netvarið]” („ecdsa-sk“), sem notar ECDSA (Elliptic Curve Digital Signature Algorithm) stafræna undirskriftaralgrím með NIST P-256 sporöskjulaga feril og SHA-256 kjötkássa. Aðferðir til að hafa samskipti við tákn eru settar í millisafn, sem er hlaðið á svipaðan hátt og safnið fyrir PKCS#11 stuðning og er umbúðir ofan á safnið , sem veitir verkfæri til að hafa samskipti við tákn í gegnum USB (FIDO U2F/CTAP 1 og FIDO 2.0/CTAP 2 samskiptareglur eru studdar). Millisafn libsk-libfido2 útbúið af OpenSSH forriturum inn í kjarna libfido2, sem og fyrir OpenBSD.
Til að virkja U2F geturðu notað ferska sneið af kóðagrunninum frá OpenSSH og HEAD útibú bókasafnsins , sem inniheldur nú þegar lagið sem er nauðsynlegt fyrir OpenSSH.
Libfido2 styður OpenBSD, Linux, macOS og Windows.
Til að auðkenna og búa til lykil þarftu að stilla umhverfisbreytuna SSH_SK_PROVIDER, sem gefur til kynna slóðina að libsk-libfido2.so (flytja út SSH_SK_PROVIDER=/path/to/libsk-libfido2.so), eða skilgreina safnið í gegnum SecurityKeyProvider stillingu og keyrðu síðan “ssh-keygen -t ecdsa-sk” eða, ef lyklarnir hafa þegar verið búnir til og stilltir, tengdu við netþjóninn með því að nota “ssh”. Þegar þú keyrir ssh-keygen verður lyklaparið sem búið er til vistað í „~/.ssh/id_ecdsa_sk“ og hægt er að nota það á svipaðan hátt og aðra lykla.
Opinbera lykilinn (id_ecdsa_sk.pub) ætti að afrita á netþjóninn í authorized_keys skránni. Á þjóninum er aðeins stafræna undirskriftin staðfest og samskipti við tákn eru framkvæmd á biðlarahliðinni (þú þarft ekki að setja upp libsk-libfido2 á þjóninum, en þjónninn verður að styðja „ecdsa-sk“ lyklategundina) . Myndaði einkalykillinn (id_ecdsa_sk) er í meginatriðum lyklahandfang, myndar raunverulegan lykil aðeins í samsetningu með leyndaröðinni sem geymd er á U2F táknhliðinni.
Ef id_ecdsa_sk lykillinn fellur í hendur árásarmanns, til að standast auðkenningu, þarf hann einnig að fá aðgang að vélbúnaðarlyklinum, án þess er einkalykillinn sem geymdur er í id_ecdsa_sk skránni gagnslaus. Að auki, sjálfgefið, þegar allar aðgerðir eru framkvæmdar með lyklum (bæði við myndun og við auðkenningu), er krafist staðbundinnar staðfestingar á líkamlegri viðveru notandans, til dæmis er lagt til að snerta skynjarann á tákninu, sem gerir það erfitt að framkvæma fjarárásir á kerfi með tengdu tákni. Sem önnur varnarlína er einnig hægt að tilgreina lykilorð á ræsingarstigi ssh-keygen til að fá aðgang að lykilskránni.
Hægt er að bæta U2F lyklinum við ssh-agent í gegnum "ssh-add ~/.ssh/id_ecdsa_sk", en ssh-agent verður að vera smíðaður með stuðningi fyrir "ecdsa-sk" lykla, libsk-libfido2 lagið verður að vera til staðar og umboðsmaður verður að vera í gangi á kerfinu sem táknið er tengt við.
Nýrri lyklategund „ecdsa-sk“ hefur verið bætt við þar sem snið OpenSSH ecdsa lykla er frábrugðið U2F sniði fyrir ECDSA stafrænar undirskriftir ef fleiri reitir eru til staðar.
Heimild: opennet.ru