Għall-kodiċi OpenSSH appoġġ sperimentali għal awtentikazzjoni b'żewġ fatturi bl-użu ta 'apparat li jappoġġja l-protokoll , żviluppat mill-alleanza . U2F jippermetti l-ħolqien ta 'tokens hardware bi prezz baxx biex jivverifikaw il-preżenza fiżika tal-utent, jinteraġixxu magħhom permezz ta' USB, Bluetooth jew NFC. Apparat bħal dan huwa promoss bħala mezz ta 'awtentikazzjoni b'żewġ fatturi fuq websajts, diġà huma appoġġjati minn browsers ewlenin u huma prodotti minn diversi manifatturi, inklużi Yubico, Feitian, Thetis u Kensington.
Biex jinteraġixxu ma 'apparati li jikkonfermaw il-preżenza tal-utent, ġie miżjud tip ġdid ta' ċwievet ma' OpenSSH "[protett bl-email]” (“ecdsa-sk”), li juża l-algoritmu ta’ firma diġitali ECDSA (Elliptic Curve Digital Signature Algorithm) b’kurva ellittika NIST P-256 u hash SHA-256. Il-proċeduri għall-interazzjoni mat-tokens jitqiegħdu f'librerija intermedja, li titgħabba b'mod simili għall-librerija għall-appoġġ PKCS#11 u hija tgeżwir fuq il-librerija , li jipprovdi għodod għall-komunikazzjoni ma 'tokens fuq USB (protokolli FIDO U2F/CTAP 1 u FIDO 2.0/CTAP 2 huma appoġġjati). Librerija intermedja libsk-libfido2 ippreparata mill-iżviluppaturi OpenSSH fil-qalba libfido2, kif ukoll għal OpenBSD.
Biex tippermetti l-U2F, tista 'tuża porzjon frisk tal-codebase minn OpenSSH u l-fergħa HEAD tal-librerija , li diġà jinkludi s-saff meħtieġ għal OpenSSH.
Libfido2 jappoġġja OpenBSD, Linux, macOS u Windows.
Biex tivverifika u tiġġenera ċavetta, trid tissettja l-varjabbli tal-ambjent SSH_SK_PROVIDER, li fiha tindika t-triq għal libsk-libfido2.so (esportazzjoni SSH_SK_PROVIDER=/path/to/libsk-libfido2.so), jew tiddefinixxi l-librerija permezz tas-SecurityKeyProvider setting, u mbagħad ħaddem "ssh-keygen -t ecdsa-sk" jew, jekk iċ-ċwievet diġà ġew maħluqa u kkonfigurati, qabbad mas-server billi tuża "ssh". Meta tħaddem ssh-keygen, il-par taċ-ċwievet iġġenerat jiġi ssejvjat fi "~/.ssh/id_ecdsa_sk" u jista' jintuża b'mod simili għal ċwievet oħra.
Iċ-ċavetta pubblika (id_ecdsa_sk.pub) għandha tiġi kkupjata fis-server fil-fajl authorized_keys. Fuq in-naħa tas-server, il-firma diġitali biss hija vverifikata, u l-interazzjoni mat-tokens titwettaq fuq in-naħa tal-klijent (m'għandekx bżonn tinstalla libsk-libfido2 fuq is-server, iżda s-server għandu jappoġġja t-tip ta 'ċavetta "ecdsa-sk"). . Iċ-ċavetta privata ġġenerata (id_ecdsa_sk) hija essenzjalment manku taċ-ċavetta, li tifforma ċavetta reali biss flimkien mas-sekwenza sigrieta maħżuna fuq in-naħa tat-token U2F.
Jekk iċ-ċavetta id_ecdsa_sk taqa 'f'idejn attakkant, biex jgħaddi l-awtentikazzjoni huwa jeħtieġ ukoll li jikseb aċċess għat-token tal-ħardwer, li mingħajru ċ-ċavetta privata maħżuna fil-fajl id_ecdsa_sk tkun inutli. Barra minn hekk, b'mod awtomatiku, meta twettaq kwalunkwe operazzjoni biċ-ċwievet (kemm waqt il-ġenerazzjoni kif ukoll waqt l-awtentikazzjoni), hija meħtieġa konferma lokali tal-preżenza fiżika tal-utent, pereżempju, huwa propost li tmiss is-sensor fuq it-token, li jagħmilha diffiċli biex twettaq attakki mill-bogħod fuq sistemi b'token konness. Bħala linja ta 'difiża oħra, password tista' tiġi speċifikata wkoll matul il-fażi tal-istartjar ta 'ssh-keygen biex taċċessa l-fajl taċ-ċavetta.
Iċ-ċavetta U2F tista 'tiġi miżjuda ma' ssh-agent permezz ta '"ssh-add ~/.ssh/id_ecdsa_sk", iżda ssh-agent għandu jinbena b'appoġġ għal ċwievet "ecdsa-sk", is-saff libsk-libfido2 għandu jkun preżenti u l- aġent għandu jkun qed jaħdem fuq is-sistema, li magħha huwa konness it-token.
Ġie miżjud tip ġdid ta’ ċavetta “ecdsa-sk” peress li l-format taċ-ċwievet OpenSSH ecdsa huwa differenti mill-format U2F għall-firem diġitali ECDSA fil-preżenza ta’ oqsma addizzjonali.
Sors: opennet.ru