• IT-Karriere:
  • Services:

Kryptographie: OpenSSH 8.2 unterstützt U2F-Hardware als zweiten Faktor

Das aktuelle OpenSSH 8.2 bringt erstmals Support für Fido U2F mit. Damit lässt sich für SSH künftig eine Zwei-Faktor-Authentifizierung über einen Hardware-Token einrichten. Die Entwickler bezeichnen SHA-1 außerdem als veraltet und wollen dies künftig entfernen.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
OpenSSH kann nun auch mit Hardware-Tokens genutzt werden, um die Schlüssel weiter abzusichern.
OpenSSH kann nun auch mit Hardware-Tokens genutzt werden, um die Schlüssel weiter abzusichern. (Bild: Martin Wolf/Golem.de)

Die Entwickler von OpenSSH haben die Version 8.2 ihrer Programmsammlung zur sicheren Daten- und Dateiübertragung veröffentlicht. Die wohl wichtigste Neuerung der neu verfügbaren Version ist die Unterstützung für die Zwei-Faktor-Authentifizierung per U2F der Fido-Alliance. U2F steht für Universal Second Factor, einem Industriestandard der Fido-Allianz, deren Anfänge bereits auf das Jahr 2009 zurückgehen.

Stellenmarkt
  1. über grinnberg GmbH, Darmstadt
  2. Hannoversche Informationstechnologien AöR (hannIT), Hannover

Ziel der Allianz ist es, eine möglichst einfach nutzbare Form einer Zwei-Faktor-Authentifzierung anzubieten. Dabei genügt zum Anmelden nicht allein ein Passwort, sondern es kommt ein Hardware-Token als zweiter Faktor zum Einsatz, etwa in Form eines lokalen USB-Sticks. Um den Token für eine Transaktion zu aktivieren, muss der Anwender ihn teilweise sogar berühren, um seine physische Anwesenheit vor dem Rechner zu belegen.

Diese Form der Authentifzierung klappt nun auch mit OpenSSH. Das Programm generiert für die Tokens die speziellen Public-Key-Typen ecdsa-sk und ed25519-sk zusammen mit den ergänzenden Zertifikat-Typen. Erledigt wird dies durch das Hilfsprogramm zur Schlüsselerzeugung SSH-Keygen. Der Nutzer schiebt die Schlüssel dann auf den entsprechenden Token. Der folgende beispielhafte Befehl würde ein Schlüsselpaar generieren: ssh-keygen -t ecdsa-sk -f ~/.ssh/id_ecdsa_sk.

Für Angreifer soll der private Key dann ohne Zugriff auf den Hardware-Token völlig nutzlos sein, heißt es in der Ankündigung. Nach der Schlüsselerzeugung können diese wie gewohnt mit OpenSSH verwendet werden. Die einzige Einschränkung ist eben, dass für die Verwendung der Schlüssel auch der dazugehörige Hardware-Token am Rechner angeschlossen sein muss.

Golem Akademie
  1. Terraform mit AWS
    14./15. September 2021, online
  2. Advanced Python - Fortgeschrittene Programmierthemen
    17./18. Juni 2021, online
Weitere IT-Trainings

Die SSH-Entwickler weisen darauf hin, dass Fido-Tokens ECDSA-P256 unterstützen müssten, der Hardware-Support für Ed25519 jedoch weniger verbreitet sei. Auch unterstützt demnach nicht jede Hardware die sogenannten Resident Keys oder die SSH-Keygen-Option --no-touch-required, die es ermöglicht, die Berührungsaktivierung eines Token zu umgehen.

Resident Keys für Fido

Die erwähnten Resident Keys sind ein Teil von Fido2, das OpenSSH 8.2 ebenfalls unterstützt. Gewöhnlich generiert SSH für U2F einen privaten Key für den Rechner und einen für den Token, der auf diesem verbleibt, sich also nicht vom USB-Gerät exportieren lässt. Möchte jemand den Token mit einem anderen Rechner verwenden, muss er dafür den Private Key des Rechners A auf den Rechner B kopieren, was umständlich ist.

Resident Keys ermöglichen es aber, private Schlüssel für einen Token zu erzeugen, die sich auf einem anderen System direkt vom Token herunterladen lassen. Wie Nutzer diese Resident Keys generieren und später auf anderen Rechnern beziehen, erläutern die Entwickler ebenfalls in der Ankündigung zu OpenSSH 8.2.

SHA-1 ist veraltet

Unter Verweis auf die immer besser werdenden Angriffe auf die Hashfunktion SHA-1 bezeichnen die Entwickler diese nun auch in OpenSSH offiziell als veraltet. "In naher Zukunft wird der Public-Key-Signaturalgorithmus Schlüssel ssh-rsa standardmäßig deaktiviert", heißt es dazu in der Ankündigung. Zum Bedauern der Entwickler werde der Algorithmus jedoch immer noch breit eingesetzt. Als Alternative dazu gebe es bereits seit Längerem ECDSA, Ed25519 und auch RSA-SHA2, die alle bereits von OpenSSH unterstützt würden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 13,49€
  2. (u. a. Angebote zu Spielen, Gaming-Monitoren, PC- und Konsolen-Zubehör, Gaming-Laptops uvm.)

dusky 15. Feb 2020

Alle Keys funktionieren, da ECDSA-P256 seit U2F zwingend implementiert werden muss. Für...

thedemonhunter 14. Feb 2020

seit ich krypt.co kenne benutze ich mfa sogar gern. zb. bei github oder gmail aber auch...


Folgen Sie uns
       


Mercedes EQV Probe gefahren

Trotz hohem Stromverbrauch kommt man mit dem EQV gut durch die Republik.

Mercedes EQV Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /