У ОпенССХ кодну базу експериментална подршка за двофакторску аутентификацију помоћу уређаја који подржавају протокол , развијен од стране алијансе . У2Ф омогућава креирање јефтиних хардверских токена за верификацију физичког присуства корисника, у интеракцији са њима преко УСБ-а, Блуетоотх-а или НФЦ-а. Такви уређаји се промовишу као средство двофакторске аутентификације на веб локацијама, већ их подржавају главни претраживачи и производе их различити произвођачи, укључујући Иубицо, Феитиан, Тхетис и Кенсингтон.
За интеракцију са уређајима који потврђују присуство корисника, нови тип кључева је додат у ОпенССХ "[емаил заштићен]” („ецдса-ск“), који користи алгоритам дигиталног потписа ЕЦДСА (Еллиптиц Цурве Дигитал Сигнатуре Алгоритхм) са НИСТ П-256 елиптичном кривом и СХА-256 хешом. Процедуре за интеракцију са токенима су смештене у међубиблиотеку, која се учитава на сличан начин као библиотека за подршку ПКЦС#11 и представља омотач на врху библиотеке , који обезбеђује алате за комуникацију са токенима преко УСБ-а (подржани су протоколи ФИДО У2Ф/ЦТАП 1 и ФИДО 2.0/ЦТАП 2). Средња библиотека либск-либфидо2 коју су припремили ОпенССХ програмери у језгро либфидо2, као и за ОпенБСД.
Да бисте омогућили У2Ф, можете користити нови део кодне базе из ОпенССХ и ГЛАВНА грана библиотеке , који већ укључује слој неопходан за ОпенССХ.
Либфидо2 подржава ОпенБСД, Линук, мацОС и Виндовс.
Да бисте потврдили аутентичност и генерисали кључ, потребно је да поставите променљиву окружења ССХ_СК_ПРОВИДЕР, наводећи у њој путању до либск-либфидо2.со (извезите ССХ_СК_ПРОВИДЕР=/патх/то/либск-либфидо2.со), или дефинишете библиотеку преко СецуритиКеиПровидер-а подешавање, а затим покрените „ссх- кеиген -т ецдса-ск“ или, ако су кључеви већ креирани и конфигурисани, повежите се са сервером помоћу „ссх“. Када покренете ссх-кеиген, генерисани пар кључева биће сачуван у „~/.ссх/ид_ецдса_ск“ и може се користити слично другим кључевима.
Јавни кључ (ид_ецдса_ск.пуб) треба копирати на сервер у датотеци аутхоризед_кеис. На страни сервера се верификује само дигитални потпис, а интеракција са токенима се обавља на страни клијента (не морате да инсталирате либск-либфидо2 на серверу, али сервер мора да подржава тип кључа „ецдса-ск“) . Генерисани приватни кључ (ид_ецдса_ск) је у суштини рукохват кључа, који формира прави кључ само у комбинацији са тајном секвенцом ускладиштеном на страни токена У2Ф.
Ако кључ ид_ецдса_ск падне у руке нападача, да би прошао аутентификацију, он ће такође морати да добије приступ хардверском токену, без којег је приватни кључ сачуван у датотеци ид_ецдса_ск бескористан. Поред тога, подразумевано, када се обављају било какве операције са кључевима (како током генерисања тако и током аутентификације), потребна је локална потврда физичког присуства корисника, на пример, предлаже се додиривање сензора на токену, што отежава врши даљинске нападе на системе са повезаним токеном. Као још једна линија одбране, лозинка се такође може навести током фазе покретања ссх-кеигена за приступ датотеци кључа.
У2Ф кључ се може додати у ссх-агент преко "ссх-адд ~/.ссх/ид_ецдса_ск", али ссх-агент мора бити направљен са подршком за "ецдса-ск" кључеве, слој либск-либфидо2 мора бити присутан и агент мора бити покренут на систему на који је токен повезан.
Додан је нови тип кључа „ецдса-ск“ пошто се формат ОпенССХ ецдса кључева разликује од У2Ф формата за ЕЦДСА дигиталне потписе у присуству додатних поља.
Извор: опеннет.ру