Kryptographie: OpenSSH 8.2 unterstützt U2F-Hardware als zweiten Faktor

Das aktuelle OpenSSH 8.2 bringt erstmals Support für Fido U2F mit. Damit lässt sich für SSH künftig eine Zwei-Faktor-Authentifizierung über einen Hardware-Token einrichten. Die Entwickler bezeichnen SHA-1 außerdem als veraltet und wollen dies künftig entfernen.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin/
OpenSSH kann nun auch mit Hardware-Tokens genutzt werden, um die Schlüssel weiter abzusichern.
OpenSSH kann nun auch mit Hardware-Tokens genutzt werden, um die Schlüssel weiter abzusichern. (Bild: Martin Wolf/Golem.de)

Die Entwickler von OpenSSH haben die Version 8.2 ihrer Programmsammlung zur sicheren Daten- und Dateiübertragung veröffentlicht. Die wohl wichtigste Neuerung der neu verfügbaren Version ist die Unterstützung für die Zwei-Faktor-Authentifizierung per U2F der Fido-Alliance. U2F steht für Universal Second Factor, einem Industriestandard der Fido-Allianz, deren Anfänge bereits auf das Jahr 2009 zurückgehen.

Stellenmarkt
  1. Sachbearbeiterinnen / Sachbearbeiter Verfahrensadministration (w/m/d)
    Polizei Berlin, Berlin
  2. QA-Engineer (m/w/d)
    innus GmbH, Frankfurt
Detailsuche

Ziel der Allianz ist es, eine möglichst einfach nutzbare Form einer Zwei-Faktor-Authentifzierung anzubieten. Dabei genügt zum Anmelden nicht allein ein Passwort, sondern es kommt ein Hardware-Token als zweiter Faktor zum Einsatz, etwa in Form eines lokalen USB-Sticks. Um den Token für eine Transaktion zu aktivieren, muss der Anwender ihn teilweise sogar berühren, um seine physische Anwesenheit vor dem Rechner zu belegen.

Diese Form der Authentifzierung klappt nun auch mit OpenSSH. Das Programm generiert für die Tokens die speziellen Public-Key-Typen ecdsa-sk und ed25519-sk zusammen mit den ergänzenden Zertifikat-Typen. Erledigt wird dies durch das Hilfsprogramm zur Schlüsselerzeugung SSH-Keygen. Der Nutzer schiebt die Schlüssel dann auf den entsprechenden Token. Der folgende beispielhafte Befehl würde ein Schlüsselpaar generieren: ssh-keygen -t ecdsa-sk -f ~/.ssh/id_ecdsa_sk.

Für Angreifer soll der private Key dann ohne Zugriff auf den Hardware-Token völlig nutzlos sein, heißt es in der Ankündigung. Nach der Schlüsselerzeugung können diese wie gewohnt mit OpenSSH verwendet werden. Die einzige Einschränkung ist eben, dass für die Verwendung der Schlüssel auch der dazugehörige Hardware-Token am Rechner angeschlossen sein muss.

Golem Akademie
  1. OpenShift Installation & Administration
    9.-11. August 2021, online
  2. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
  3. Terraform mit AWS
    14./15. September 2021, online
Weitere IT-Trainings

Die SSH-Entwickler weisen darauf hin, dass Fido-Tokens ECDSA-P256 unterstützen müssten, der Hardware-Support für Ed25519 jedoch weniger verbreitet sei. Auch unterstützt demnach nicht jede Hardware die sogenannten Resident Keys oder die SSH-Keygen-Option --no-touch-required, die es ermöglicht, die Berührungsaktivierung eines Token zu umgehen.

Resident Keys für Fido

Die erwähnten Resident Keys sind ein Teil von Fido2, das OpenSSH 8.2 ebenfalls unterstützt. Gewöhnlich generiert SSH für U2F einen privaten Key für den Rechner und einen für den Token, der auf diesem verbleibt, sich also nicht vom USB-Gerät exportieren lässt. Möchte jemand den Token mit einem anderen Rechner verwenden, muss er dafür den Private Key des Rechners A auf den Rechner B kopieren, was umständlich ist.

Resident Keys ermöglichen es aber, private Schlüssel für einen Token zu erzeugen, die sich auf einem anderen System direkt vom Token herunterladen lassen. Wie Nutzer diese Resident Keys generieren und später auf anderen Rechnern beziehen, erläutern die Entwickler ebenfalls in der Ankündigung zu OpenSSH 8.2.

SHA-1 ist veraltet

Unter Verweis auf die immer besser werdenden Angriffe auf die Hashfunktion SHA-1 bezeichnen die Entwickler diese nun auch in OpenSSH offiziell als veraltet. "In naher Zukunft wird der Public-Key-Signaturalgorithmus Schlüssel ssh-rsa standardmäßig deaktiviert", heißt es dazu in der Ankündigung. Zum Bedauern der Entwickler werde der Algorithmus jedoch immer noch breit eingesetzt. Als Alternative dazu gebe es bereits seit Längerem ECDSA, Ed25519 und auch RSA-SHA2, die alle bereits von OpenSSH unterstützt würden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Gesetz tritt in Kraft
Die Uploadfilter sind da

Ab sofort haften große Plattformen für die Uploads ihrer Nutzer. Zu mehr Lizenzvereinbarungen hat das bei der Gema noch nicht geführt.
Ein Bericht von Friedhelm Greis

Gesetz tritt in Kraft: Die Uploadfilter sind da
Artikel
  1. Mercedes-Benz: Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos
    Mercedes-Benz
    Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos

    Mehr Elektroautos bei Daimler bedeuten nach Ansicht der Chefetage weniger Arbeitsplätze. Grund sei der einfachere Einbau eines Elektromotors.

  2. VW, BMW, Daimler: Jedes sechste Elektroauto ist von deutschem Hersteller
    VW, BMW, Daimler
    Jedes sechste Elektroauto ist von deutschem Hersteller

    Das Elektroauto gewinnt an Fahrt bei den deutschen Herstellern und Autokäufern. Bei Angebot und Nachfrage dominiert China.

  3. Sicherheitslücken: Zoom zahlt 85 Millionen US-Dollar an Kunden
    Sicherheitslücken
    Zoom zahlt 85 Millionen US-Dollar an Kunden

    Zoom soll Kunden mit falschen Sicherheitsversprechen in die Irre geführt und Daten mit Facebook ausgetauscht haben.

dusky 15. Feb 2020

Alle Keys funktionieren, da ECDSA-P256 seit U2F zwingend implementiert werden muss. Für...

thedemonhunter 14. Feb 2020

seit ich krypt.co kenne benutze ich mfa sogar gern. zb. bei github oder gmail aber auch...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Acer XB323UGP (WQHD, 170Hz) 580,43€ • Acer XV340CKP (UWQHD, 144 Hz) 465,78€ • Razer BlackShark V2 + Base Station V2 Chroma 94,98€ • Mega-Marken-Sparen bei MM • Saturn: 1 Produkt zahlen, 2 erhalten • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • Fallout 4 GOTY 9,99€ [Werbung]
    •  /