В кодовую базу OpenSSH экспериментальная поддержка двухфакторной аутентификации с использованием устройств, поддерживающих протокол , ಮೈತ್ರಿಯಿಂದ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ . U2F ಬಳಕೆದಾರರ ಭೌತಿಕ ಉಪಸ್ಥಿತಿಯನ್ನು ಪರಿಶೀಲಿಸಲು ಕಡಿಮೆ-ವೆಚ್ಚದ ಹಾರ್ಡ್ವೇರ್ ಟೋಕನ್ಗಳನ್ನು ರಚಿಸಲು ಅನುಮತಿಸುತ್ತದೆ, USB, ಬ್ಲೂಟೂತ್ ಅಥವಾ NFC ಮೂಲಕ ಅವರೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುತ್ತದೆ. ಅಂತಹ ಸಾಧನಗಳನ್ನು ವೆಬ್ಸೈಟ್ಗಳಲ್ಲಿ ಎರಡು-ಅಂಶ ದೃಢೀಕರಣದ ಸಾಧನವಾಗಿ ಪ್ರಚಾರ ಮಾಡಲಾಗುತ್ತದೆ, ಈಗಾಗಲೇ ಪ್ರಮುಖ ಬ್ರೌಸರ್ಗಳಿಂದ ಬೆಂಬಲಿತವಾಗಿದೆ ಮತ್ತು ಯುಬಿಕೊ, ಫೀಟಿಯನ್, ಥೆಟಿಸ್ ಮತ್ತು ಕೆನ್ಸಿಂಗ್ಟನ್ ಸೇರಿದಂತೆ ವಿವಿಧ ತಯಾರಕರು ಉತ್ಪಾದಿಸುತ್ತಾರೆ.
Для взаимодействия с устройствами, подтверждающими присутствие пользователя, в OpenSSH добавлен новый тип ключей «[ಇಮೇಲ್ ರಕ್ಷಿಸಲಾಗಿದೆ]» («ecdsa-sk»), в котором используется алгоритм цифровой подписи ECDSA (Elliptic Curve Digital Signature Algorithm) с эллиптической кривой NIST P-256 и хэшем SHA-256. Процедуры взаимодействия с токенами вынесены в промежуточную библиотеку, которая загружается по аналогии с библиотекой для поддержки PKCS#11 и является обвязкой над библиотекой , ಇದು USB ಮೂಲಕ ಟೋಕನ್ಗಳೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು ಪರಿಕರಗಳನ್ನು ಒದಗಿಸುತ್ತದೆ (FIDO U2F/CTAP 1 ಮತ್ತು FIDO 2.0/CTAP 2 ಪ್ರೋಟೋಕಾಲ್ಗಳು ಬೆಂಬಲಿತವಾಗಿದೆ). OpenSSH ಡೆವಲಪರ್ಗಳು ಸಿದ್ಧಪಡಿಸಿದ ಮಧ್ಯಂತರ ಲೈಬ್ರರಿ libsk-libfido2 ಕೋರ್ libfido2 ಒಳಗೆ, ಹಾಗೆಯೇ OpenBSD ಗಾಗಿ.
Для включения U2F можно использовать свежий срез кодовой базы из OpenSSH и HEAD-ветку библиотеки , в которую уже входит необходимая для OpenSSH прослойка.
Libfido2 поддерживает работу в OpenBSD, Linux, macOS и Windows.
Для аутентификации и генерации ключа необходимо выставить переменную окружения SSH_SK_PROVIDER, указав в ней путь к libsk-libfido2.so (export SSH_SK_PROVIDER=/path/to/libsk-libfido2.so), или определить библиотеку через настойку SecurityKeyProvider, после чего запустить «ssh-keygen -t ecdsa-sk» или, если ключи уже созданы и настроены, подключиться к серверу при помощи «ssh». При запуске ssh-keygen созданная пара ключей будет сохранена в «~/.ssh/id_ecdsa_sk» и может использоваться аналогично другим ключам.
Открытый ключ (id_ecdsa_sk.pub) следует скопировать на сервер в файл authorized_keys. На стороне сервера только проверяется цифровая подпись, а взаимодействие с токенами производится на стороне клиента (на сервере не нужно устанавливать libsk-libfido2, но сервер должен поддерживать тип ключей «ecdsa-sk»). Сгенерированный закрытый ключ (id_ecdsa_sk) по сути является дескриптором ключа, образующим реальный ключ только в сочетании с секретной последовательностью, хранимой на стороне токена U2F.
В случае попадания ключа id_ecdsa_sk в руки атакующего, для прохождения аутентификации ему также потребуется получить доступ к аппаратному токену, без которого сохранённый в файле id_ecdsa_sk закрытый ключ бесполезен. Кроме того, по умолчанию при выполнении любых операций с ключами (как при генерации, так и при аутентификации) требуется локальное подтверждение физического присутствия пользователя, например, предлагается коснуться сенсора на токене, что затрудняет проведение удалённых атак на системы с подключенным токеном. В качестве ещё одного рубежа защиты на этапе запуска ssh-keygen также может быть задан пароль для доступа к файлу с ключом.
Ключ U2F может быть добавлен в ssh-agent через «ssh-add ~/.ssh/id_ecdsa_sk», но ssh-agent должен быть собран с поддержкой ключей «ecdsa-sk», должна присутствовать прослойка libsk-libfido2 и агент должен выполняться на системе, к которой подключается токен.
Новый тип ключей «ecdsa-sk» добавлен так как формат ecdsa-ключей OpenSSH отличается от формата U2F для цифровых подписей ECDSA наличием дополнительных полей.
ಮೂಲ: opennet.ru