OpenSSH කේත පදනමට ප්රොටෝකෝලය සඳහා සහය දක්වන උපාංග භාවිතයෙන් ද්වි-සාධක සත්යාපනය සඳහා පර්යේෂණාත්මක සහාය , සන්ධානය විසින් සංවර්ධනය කරන ලදී . U2F විසින් USB, Bluetooth හෝ NFC හරහා ඔවුන් සමඟ අන්තර් ක්රියා කරමින් පරිශීලකයාගේ භෞතික පැවැත්ම තහවුරු කිරීමට අඩු වියදම් දෘඪාංග ටෝකන නිර්මාණය කිරීමට ඉඩ සලසයි. එවැනි උපාංග වෙබ් අඩවි මත ද්වි-සාධක සත්යාපනය කිරීමේ මාධ්යයක් ලෙස ප්රවර්ධනය කරනු ලැබේ, දැනටමත් ප්රධාන බ්රව්සර් මගින් සහය ලබා දී ඇති අතර Yubico, Feitian, Thetis සහ Kensington ඇතුළු විවිධ නිෂ්පාදකයින් විසින් නිෂ්පාදනය කරනු ලැබේ.
පරිශීලකයාගේ පැමිණීම තහවුරු කරන උපාංග සමඟ අන්තර් ක්රියා කිරීමට, OpenSSH වෙත නව යතුරු වර්ගයක් එක් කර ඇත.[විද්යුත් ආරක්ෂිත]” (“ecdsa-sk”), එය NIST P-256 ඉලිප්සීය වක්රය සහ SHA-256 හැෂ් සමඟ ECDSA (Elliptic Curve Digital Signature Algorithm) ඩිජිටල් අත්සන ඇල්ගොරිතම භාවිතා කරයි. ටෝකන සමඟ අන්තර්ක්රියා කිරීමේ ක්රියා පටිපාටි අතරමැදි පුස්තකාලයක තැන්පත් කර ඇති අතර, එය PKCS#11 සහාය සඳහා පුස්තකාලයට සමාන ආකාරයෙන් පටවනු ලබන අතර එය පුස්තකාලයේ මුදුනේ එතුමකි. , USB හරහා ටෝකන සමඟ සන්නිවේදනය සඳහා මෙවලම් සපයන (FIDO U2F/CTAP 1 සහ FIDO 2.0/CTAP 2 ප්රොටෝකෝල සඳහා සහය දක්වයි). OpenSSH සංවර්ධකයින් විසින් සකස් කරන ලද අතරමැදි පුස්තකාලය libsk-libfido2 හරය libfido2 බවට, මෙන්ම OpenBSD සඳහා.
U2F සබල කිරීමට, ඔබට කේත පදනමේ නැවුම් පෙත්තක් භාවිතා කළ හැක OpenSSH සහ පුස්තකාලයේ HEAD ශාඛාව , දැනටමත් OpenSSH සඳහා අවශ්ය ස්තරය ඇතුළත් වේ.
Libfido2 OpenBSD, Linux, macOS සහ Windows සඳහා සහය දක්වයි.
යතුරක් සත්යාපනය කිරීමට සහ උත්පාදනය කිරීමට, ඔබ SSH_SK_PROVIDER පරිසර විචල්යය සැකසීමට අවශ්ය වේ, එය libsk-libfido2.so වෙත යන මාර්ගය සඳහන් කරයි (අපනයන SSH_SK_PROVIDER=/path/to/libsk-libfido2.so), නැතහොත් SecurityKeyProvid හරහා පුස්තකාලය නිර්වචනය කරන්න. සැකසීම, ඉන්පසු "ssh- keygen -t ecdsa-sk" ධාවනය කරන්න හෝ, යතුරු දැනටමත් නිර්මාණය කර වින්යාස කර ඇත්නම්, "ssh" භාවිතයෙන් සේවාදායකයට සම්බන්ධ වන්න. ඔබ ssh-keygen ධාවනය කරන විට, උත්පාදනය කරන ලද යතුරු යුගලය "~/.ssh/id_ecdsa_sk" තුළ සුරැකෙනු ඇති අතර අනෙකුත් යතුරු වලට සමානව භාවිතා කළ හැක.
පොදු යතුර (id_ecdsa_sk.pub) බලයලත්_කීස් ගොනුවේ සේවාදායකයට පිටපත් කළ යුතුය. සේවාදායකයේ පැත්තෙන්, ඩිජිටල් අත්සන පමණක් සත්යාපනය කර ඇති අතර, ටෝකන සමඟ අන්තර්ක්රියා සේවාලාභියාගේ පැත්තෙන් සිදු කෙරේ (ඔබට සේවාදායකයේ libsk-libfido2 ස්ථාපනය කිරීමට අවශ්ය නැත, නමුත් සේවාදායකය “ecdsa-sk” යතුරු වර්ගයට සහය දැක්විය යුතුය) . උත්පාදනය කරන ලද පුද්ගලික යතුර (id_ecdsa_sk) අත්යවශ්යයෙන්ම යතුරු හසුරුවකි, U2F ටෝකන පැත්තේ ගබඩා කර ඇති රහස් අනුපිළිවෙල සමඟ පමණක් සැබෑ යතුරක් සාදයි.
id_ecdsa_sk යතුර ප්රහාරකයෙකු අතට පත් වුවහොත්, සත්යාපනය ලබා ගැනීමට ඔහුට දෘඪාංග ටෝකනය වෙත ප්රවේශය ලබා ගැනීමට අවශ්ය වනු ඇත, එසේ නොමැතිව id_ecdsa_sk ගොනුවේ ගබඩා කර ඇති පුද්ගලික යතුර නිෂ්ඵල වේ. ඊට අමතරව, පෙරනිමියෙන්, යතුරු සමඟ කිසියම් මෙහෙයුමක් සිදු කරන විට (උත්පාදනය අතරතුර සහ සත්යාපනය අතරතුර), පරිශීලකයාගේ භෞතික පැවැත්ම පිළිබඳ දේශීය තහවුරු කිරීම අවශ්ය වේ, උදාහරණයක් ලෙස, ටෝකනය මත සංවේදකය ස්පර්ශ කිරීමට යෝජනා කර ඇති අතර එමඟින් එය අපහසු වේ. සම්බන්ධිත ටෝකනයක් සහිත පද්ධති මත දුරස්ථ ප්රහාරයන් සිදු කරන්න. තවත් ආරක්ෂක මාර්ගයක් ලෙස, යතුරු ගොනුවට ප්රවේශ වීමට ssh-keygen හි ආරම්භක අදියරේදී මුරපදයක් ද නියම කළ හැක.
U2F යතුර "ssh-add ~/.ssh/id_ecdsa_sk" හරහා ssh-agent වෙත එක් කළ හැක, නමුත් ssh-agent "ecdsa-sk" යතුරු සඳහා සහය ඇතිව ගොඩනැගිය යුතුය, libsk-libfido2 ස්තරය තිබිය යුතු අතර නියෝජිතයා ටෝකනය සම්බන්ධ කර ඇති පද්ධතිය මත ක්රියාත්මක විය යුතුය.
OpenSSH ecdsa යතුරු වල ආකෘතිය අතිරේක ක්ෂේත්ර පවතින විට ECDSA ඩිජිටල් අත්සන් සඳහා U2F ආකෘතියෙන් වෙනස් වන බැවින් නව යතුරු වර්ගයක් "ecdsa-sk" එකතු කර ඇත.
මූලාශ්රය: opennet.ru