OpenSSH는 범용 XNUMX단계 인증 지원을 추가합니다.

OpenSSH 코드베이스로 추가 프로토콜을 지원하는 장치를 사용하여 이중 인증에 대한 실험적 지원 U2F, 얼라이언스에서 개발 피도. U2F를 사용하면 저렴한 하드웨어 토큰을 생성하여 사용자의 물리적 존재를 확인하고 USB, Bluetooth 또는 NFC를 통해 사용자와 상호 작용할 수 있습니다. 이러한 장치는 웹사이트에서 이중 인증 수단으로 홍보되고 있으며 이미 주요 브라우저에서 지원되며 Yubico, Feitian, Thetis 및 Kensington을 포함한 다양한 제조업체에서 생산됩니다.

사용자의 존재를 확인하는 장치와 상호 작용하기 위해 OpenSSH에 새로운 유형의 키가 추가되었습니다.[이메일 보호]”(“ecdsa-sk”)는 NIST P-256 타원 곡선 및 SHA-256 해시와 함께 ECDSA(Elliptic Curve Digital Signature Algorithm) 디지털 서명 알고리즘을 사용합니다. 토큰과 상호 작용하기 위한 절차는 PKCS#11 지원을 위한 라이브러리와 유사한 방식으로 로드되고 라이브러리 상단의 래퍼인 중간 라이브러리에 배치됩니다. libfido2, USB를 통한 토큰 통신 도구를 제공합니다(FIDO U2F/CTAP 1 및 FIDO 2.0/CTAP 2 프로토콜이 지원됨). OpenSSH 개발자가 준비한 중간 라이브러리 libsk-libfido2 포함 된 핵심 libfido2뿐만 아니라 HID 드라이버 OpenBSD용.

U2F를 활성화하려면 다음 코드베이스의 새로운 조각을 사용할 수 있습니다. 저장소 OpenSSH 및 라이브러리의 HEAD 분기 libfido2, 여기에는 OpenSSH에 필요한 레이어가 이미 포함되어 있습니다.
Libfido2는 OpenBSD, Linux, macOS 및 Windows를 지원합니다.

키를 인증하고 생성하려면 libsk-libfido2.so에 대한 경로를 나타내는 SSH_SK_PROVIDER 환경 변수를 설정하거나(SSH_SK_PROVIDER=/path/to/libsk-libfido2.so 내보내기) SecurityKeyProvider를 통해 라이브러리를 정의해야 합니다. 설정 후 "ssh-keygen-t ecdsa-sk"를 실행하거나, 키가 이미 생성 및 구성되어 있는 경우 "ssh"를 사용하여 서버에 연결합니다. ssh-keygen을 실행하면 생성된 키 쌍이 “~/.ssh/id_ecdsa_sk”에 저장되며 다른 키와 유사하게 사용할 수 있습니다.

공개 키(id_ecdsa_sk.pub)는 Authorized_keys 파일에 서버에 복사되어야 합니다. 서버 측에서는 디지털 서명만 확인하고, 클라이언트 측에서는 토큰과의 상호 작용을 수행합니다. (서버에 libsk-libfido2를 설치할 필요는 없지만 서버가 "ecdsa-sk" 키 유형을 지원해야 합니다.) . 생성된 개인 키(id_ecdsa_sk)는 본질적으로 키 핸들이며, U2F 토큰 측에 저장된 비밀 시퀀스와 결합해야만 실제 키를 형성합니다.

id_ecdsa_sk 키가 공격자의 손에 들어간 경우 인증을 통과하려면 하드웨어 토큰에 대한 액세스 권한도 얻어야 하며, 그렇지 않으면 id_ecdsa_sk 파일에 저장된 개인 키는 쓸모가 없습니다. 또한 기본적으로 키를 사용하여 작업을 수행할 때(생성 중 및 인증 중 모두) 사용자의 물리적 존재에 대한 로컬 확인이 필요합니다. 예를 들어 토큰의 센서를 터치하는 것이 제안되어 있으므로 연결된 토큰을 사용하여 시스템에 대한 원격 공격을 수행합니다. 또 다른 방어선으로 ssh-keygen의 시작 단계에서 비밀번호를 지정하여 키 파일에 액세스할 수도 있습니다.

U2F 키는 "ssh-add ~/.ssh/id_ecdsa_sk"를 통해 ssh-agent에 추가될 수 있지만 ssh-agent는 "ecdsa-sk" 키에 대한 지원으로 구축되어야 하며 libsk-libfido2 계층이 있어야 하며 에이전트는 토큰이 연결된 시스템에서 실행되고 있어야 합니다.
OpenSSH ecdsa 키의 형식이 추가 필드가 있는 ECDSA 디지털 서명의 U2F 형식과 다르기 때문에 새로운 키 유형 "ecdsa-sk"가 추가되었습니다.

출처 : opennet.ru