د OpenSSH کوډبیس ته د وسیلو په کارولو سره د دوه فاکتور تصدیق کولو لپاره تجربوي ملاتړ چې پروتوکول ملاتړ کوي ، د اتحاد لخوا رامینځته شوی . U2F د کارونکي فزیکي شتون تصدیق کولو لپاره د ټیټ لګښت هارډویر ټوکنونو رامینځته کولو ته اجازه ورکوي ، له دوی سره د USB ، بلوتوټ یا NFC له لارې متقابل عمل کوي. دا ډول وسایل په ویب پاڼو کې د دوه فاکتور تصدیق کولو وسیلې په توګه هڅول شوي، دمخه د لوی براوزرونو لخوا ملاتړ شوي او د یوبیکو، فیټیان، تیټیس او کینسنګټن په شمول د مختلفو جوړونکو لخوا تولید شوي.
د وسیلو سره د متقابل عمل کولو لپاره چې د کارونکي شتون تاییدوي ، په OpenSSH کې د کیلي نوي ډول اضافه شوي "[ایمیل خوندي شوی]" ("ecdsa-sk")، کوم چې د NIST P-256 elliptic curve او SHA-256 hash سره ECDSA (Elliptic Curve Digital Signature Algorithm) ډیجیټل لاسلیک الګوریتم کاروي. د ټوکنونو سره د تعامل لپاره طرزالعملونه په منځني کتابتون کې ځای پر ځای شوي، کوم چې د PKCS#11 مالتړ لپاره کتابتون ته په ورته ډول بار شوی او د کتابتون په سر کې یو پوښ دی. ، کوم چې د USB له لارې د ټوکنونو سره د خبرو اترو لپاره وسیلې چمتو کوي (FIDO U2F/CTAP 1 او FIDO 2.0/CTAP 2 پروتوکولونه ملاتړ شوي). منځمهاله کتابتون libsk-libfido2 د OpenSSH پراختیا کونکو لخوا چمتو شوی په اصلي libfido2 کې، او همدارنګه د OpenBSD لپاره.
د U2F فعالولو لپاره، تاسو کولی شئ د کوډبیس تازه ټوټه وکاروئ OpenSSH او د کتابتون سر څانګه په کوم کې چې دمخه د OpenSSH لپاره اړین پرت شامل دی.
Libfido2 د OpenBSD، لینکس، macOS او وینډوز ملاتړ کوي.
د کیلي تصدیق کولو او رامینځته کولو لپاره ، تاسو اړتیا لرئ د SSH_SK_PROVIDER چاپیریال متغیر تنظیم کړئ ، پدې کې د libsk-libfido2.so ته لاره په ګوته کوي (د SSH_SK_PROVIDER=/path/to/libsk-libfido2.so صادر کړئ) ، یا د SecurityKeyProvider له لارې کتابتون تعریف کړئ ترتیب، او بیا "ssh-keygen -t ecdsa-sk" چلوي یا، که کیلي لا دمخه رامینځته شوي او تنظیم شوي وي، د "ssh" په کارولو سره سرور سره وصل کړئ. کله چې تاسو ssh-keygen چلوئ، تولید شوي کیلي جوړه به په "~/.ssh/id_ecdsa_sk" کې خوندي شي او د نورو کیلي په څیر کارول کیدی شي.
عامه کیلي (id_ecdsa_sk.pub) باید په مجاز_کیز فایل کې سرور ته کاپي شي. د سرور اړخ کې، یوازې ډیجیټل لاسلیک تایید شوی، او د ټوکنونو سره تعامل د پیرودونکي اړخ کې ترسره کیږي (تاسو اړتیا نلرئ libsk-libfido2 په سرور کې نصب کړئ، مګر سرور باید د "ecdsa-sk" کلیدي ډول ملاتړ وکړي) . رامینځته شوی شخصي کیلي (id_ecdsa_sk) په اصل کې د کیلي لاسوند دی، یوازې د U2F ټوکن اړخ کې ذخیره شوي پټ ترتیب سره په ترکیب کې اصلي کیلي جوړوي.
که چیرې د id_ecdsa_sk کیلي د برید کونکي په لاس کې راشي ، نو د تصدیق کولو لپاره به هغه د هارډویر نښه ته هم لاسرسي ته اړتیا ولري ، پرته لدې چې په id_ecdsa_sk فایل کې زیرمه شوي شخصي کیلي بې ګټې وي. سربیره پردې ، د ډیفالټ په واسطه ، کله چې د کیلي سره کوم عملیات ترسره کول (دواړه د نسل او تصدیق پرمهال) ، د کارونکي فزیکي شتون ځایی تایید ته اړتیا ده ، د مثال په توګه ، وړاندیز کیږي چې په نښه کې سینسر لمس کړئ ، کوم چې دا ستونزمن کوي. په سیسټمونو کې د تړل شوي نښه سره لیرې بریدونه ترسره کړئ. د دفاع د بلې کرښې په توګه، کلیدي فایل ته د لاسرسي لپاره د ssh-keygen د پیل مرحلې په جریان کې یو پټنوم هم مشخص کیدی شي.
د U2F کیلي د "ssh-add ~/.ssh/id_ecdsa_sk" له لارې ssh-agent ته اضافه کیدی شي، مګر ssh-agent باید د "ecdsa-sk" کلیدونو په ملاتړ جوړ شي، د libsk-libfido2 پرت باید موجود وي او اجنټ باید په سیسټم کې روان وي، کوم چې نښه ورسره تړلې وي.
یو نوی کلیدي ډول "ecdsa-sk" اضافه شوی ځکه چې د OpenSSH ecdsa کیلي بڼه د اضافي ساحو په شتون کې د ECDSA ډیجیټل لاسلیکونو لپاره د U2F فارمیټ څخه توپیر لري.
سرچینه: opennet.ru