OpenSSH מוסיף שטיצן פֿאַר וניווערסאַל צוויי-פאַקטאָר אָטענטאַקיישאַן

צו די OpenSSH קאָדעבאַסע צוגעגעבן יקספּערמענאַל שטיצן פֿאַר צוויי-פאַקטאָר אָטענטאַקיישאַן ניצן דעוויסעס וואָס שטיצן דעם פּראָטאָקאָל U2F, דעוועלאָפּעד דורך די בונד פידאָ. U2F אַלאַוז די שאַפונג פון נידעריק-פּרייַז ייַזנוואַרג טאָקענס צו באַשטעטיקן דעם באַניצער 'ס גשמיות בייַזייַן, ינטעראַקטינג מיט זיי דורך וסב, בלועטאָאָטה אָדער NFC. אַזאַ דעוויסעס זענען פּראָמאָטעד ווי אַ מיטל פון צוויי-פאַקטאָר אָטענטאַקיישאַן אויף וועבסיטעס, זענען שוין געשטיצט דורך הויפּט בראַוזערז און זענען געשאפן דורך פאַרשידן מאַניאַפאַקטשערערז, אַרייַנגערעכנט Yubico, Feitian, Thetis און Kensington.

צו ינטעראַקט מיט דעוויסעס וואָס באַשטעטיקן דעם בייַזייַן פון דער באַניצער, אַ נייַע טיפּ פון שליסלען איז צוגעגעבן צו OpenSSH "[אימעיל באשיצט]" ("ecdsa-sk"), וואָס ניצט די ECDSA (Elliptic Curve Digital Signature Algorithm) דיגיטאַל כסימע אַלגערידאַם מיט NIST P-256 יליפּטיק ויסבייג און SHA-256 האַש. פּראָוסידזשערז פֿאַר ינטעראַקטינג מיט טאָקענס זענען געשטעלט אין אַ ינטערמידייט ביבליאָטעק, וואָס איז לאָודיד אין אַ ענלעך וועג צו די ביבליאָטעק פֿאַר PKCS #11 שטיצן און איז אַ ראַפּער אויף שפּיץ פון דער ביבליאָטעק libfido2, וואָס גיט מכשירים פֿאַר קאַמיונאַקייטינג מיט טאָקענס איבער וסב (FIDO U2F/CTAP 1 און FIDO 2.0/CTAP 2 פּראָטאָקאָלס זענען געשטיצט). ינטערמידייט ביבליאָטעק libsk-libfido2 צוגעגרייט דורך OpenSSH דעוועלאָפּערס אַרייַנגערעכנט אין די האַרץ libfido2, ווי געזונט ווי HID שאָפער פֿאַר OpenBSD.

צו געבן U2F, איר קענען נוצן אַ פריש רעפטל פון די קאָדבאַסע פֿון ריפּאַזאַטאָרי OpenSSH און די HEAD צווייַג פון דער ביבליאָטעק libfido2, וואָס שוין כולל די שיכטע נייטיק פֿאַר OpenSSH.
Libfido2 שטיצט אָפּענבסד, לינוקס, מאַקאָס און ווינדאָוז.

צו אָטענטאַקייט און דזשענערייט אַ שליסל, איר דאַרפֿן צו שטעלן די SSH_SK_PROVIDER סוויווע בייַטעוודיק, וואָס ינדיקייץ דער דרך צו libsk-libfido2.so (עקספּאָרט SSH_SK_PROVIDER=/path/to/libsk-libfido2.so), אָדער דעפינירן די ביבליאָטעק דורך די SecurityKeyProvider באַשטעטיקן, און לויפן "ssh-keygen -t ecdsa-sk" אָדער, אויב די שליסלען האָבן שוין באשאפן און קאַנפיגיערד, פאַרבינדן צו די סערווער ניצן "ssh". ווען איר לויפן ssh-keygen, די דזשענערייטאַד שליסל פּאָר וועט זיין געראטעוועט אין "~/.ssh/id_ecdsa_sk" און קענען זיין געוויינט ענלעך צו אנדערע שליסלען.

דער ציבור שליסל (id_ecdsa_sk.pub) זאָל זיין קאַפּיד צו די סערווער אין דער אָטערייזד_קייס טעקע. אויף די סערווער זייַט, בלויז די דיגיטאַל כסימע איז וועראַפייד, און ינטעראַקשאַן מיט טאָקענס איז דורכגעקאָכט אויף די קליענט זייַט (איר טאָן ניט דאַרפֿן צו ינסטאַלירן libsk-libfido2 אויף די סערווער, אָבער דער סערווער מוזן שטיצן די "ecdsa-sk" שליסל טיפּ) . די דזשענערייטאַד פּריוואַט שליסל (id_ecdsa_sk) איז יסענשאַלי אַ שליסל שעפּן, פאָרמינג אַ פאַקטיש שליסל בלויז אין קאָמבינאַציע מיט די סוד סיקוואַנס סטאָרד אויף די U2F טאָקען זייַט.

אויב די id_ecdsa_sk שליסל פאלן אין די הענט פון אַ אַטאַקער, צו פאָרן אָטענטאַקיישאַן ער וועט אויך דאַרפֿן צו באַקומען אַקסעס צו די ייַזנוואַרג סימען, אָן וואָס די פּריוואַט שליסל סטאָרד אין די id_ecdsa_sk טעקע איז אַרויסגעוואָרפן. אין אַדישאַן, דורך פעליקייַט, ווען פּערפאָרמינג קיין אַפּעריישאַנז מיט שליסלען (ביידע בעשאַס דור און בעשאַס אָטענטאַקיישאַן), היגע באַשטעטיקונג פון די באַניצער 'ס גשמיות בייַזייַן איז פארלאנגט, למשל, עס איז פארגעלייגט צו פאַרבינדן די סענסער אויף די סימען, וואָס מאכט עס שווער צו דורכפירן ווייַט אנפאלן אויף סיסטעמען מיט אַ קאָננעקטעד סימען. ווי אן אנדער שורה פון פאַרטיידיקונג, אַ פּאַראָל קענען אויך זיין ספּעסיפיעד בעשאַס די סטאַרטאַפּ פאַסע פון ​​ssh-keygen צו אַקסעס די שליסל טעקע.

די U2F שליסל קענען זיין מוסיף צו ssh-agent דורך "ssh-add ~/.ssh/id_ecdsa_sk", אָבער ssh-agent מוזן זיין געבויט מיט שטיצן פֿאַר "ecdsa-sk" שליסלען, די libsk-libfido2 שיכטע מוזן זיין פאָרשטעלן און אַגענט מוזן זיין פליסנדיק אויף די סיסטעם צו וואָס די סימען איז קאָננעקטעד.
א נייַע שליסל טיפּ "ecdsa-sk" איז צוגעגעבן זינט די פֿאָרמאַט פון OpenSSH ecdsa שליסלען איז אַנדערש פון די U2F פֿאָרמאַט פֿאַר ECDSA דיגיטאַל סיגנאַטשערז אין דעם בייַזייַן פון נאָך פעלדער.

מקור: opennet.ru