Verschlüsselung: OpenSSH schützt Fido-Schlüssel per PIN

Schlüssel für SSH lassen sich auf sogenannte Hardware-Token auslagern. Diese können in OpenSSH mit einem zweiten Faktor geschützt werden.

Artikel veröffentlicht am ,
OpenSSH baut die Fido-Unterstützung aus.
OpenSSH baut die Fido-Unterstützung aus. (Bild: Martin Wolf/Golem.de)

Die Entwickler von OpenSSH haben die Version 8.4 ihrer Programmsammlung zur sicheren Daten- und Dateiübertragung veröffentlicht. Damit baut das Team seine Unterstützung für die Standards der Fido-Allianz aus, die Techniken zur Zwei-Faktor-Authentifizierung spezifizieren, unter anderem per Hardware-Token. In der aktuellen Version 8.4 unterstützt OpenSSH nun PINs für sogenannte Resident Keys.

Stellenmarkt
  1. Anwendungsexperte (w/m/d) Dokumentenmanagement
    BEITEN BURKHARDT Rechtsanwaltsgesellschaft mbH, verschiedene Standorte
  2. SAP-Produktmanagerin/SAP-Pro- duktmanager (w/m/d)
    Berliner Verkehrsbetriebe (BVG), Berlin
Detailsuche

Bei den Fido Resident Keys handelt es sich um Schlüssel, die direkt auf den sogenannten Authenticators erzeugt werden, also meist den Hardware-Token, die per USB an Rechner angeschlossen werden können. Die PIN-Funktion ist als Erweiterung unter dem Namen Credential Protection spezifiziert und wird in OpenSSH immer dann genutzt, wenn Schlüssel von den Fido-Tokens abgerufen werden.

Die Unterstützung für Fido wurde erstmals mit OpenSSH 8.2 umgesetzt, das im Februar dieses Jahres erschienen ist. Damit können Hardware-Token als zweiter Faktor für Schlüssel genutzt werden, nun können zudem Schlüssel auf den Token selbst per PIN einen zweiten Faktor nutzen. Notwendig dafür ist laut der Ankündigung die Bibliothek Libfido2 in Version 1.5.0, da ältere Versionen einige der neuen Funktionen nicht unterstützen, die OpenSSH nun aber benötigt.

Das Team hat darüber hinaus einige Änderungen an seiner Fido-Unterstützung vorgenommen und zum Beispiel die API angepasst. Darüber hinaus verhindert der SSH-Agent von OpenSSH, dass darüber Web-Challenges mit Fido-Schlüsseln signiert werden können. Damit soll aktiv verhindert werden, dass die Schlüssel über die SSH-Verbindung weitergeleitet werden und dort für Web-Authentication genutzt werden.

Golem Akademie
  1. Advanced Python - Fortgeschrittene Programmierthemen
    16./17. September 2021, online
  2. C++ 20: Concepts - Ranges - Coroutinen - Module
    4.-8. Oktober 2021, online
Weitere IT-Trainings

Wie bereits schon länger warnen die OpenSSH-Betreuer auch in der aktuellen Version vor dem Ende der Unterstützung für SHA-1. Wann diese aber letztlich umgesetzt wird, ist derzeit noch nicht bekannt. Weitere Details und Neuerungen listen die Release Notes.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sea of Thieves
Rund zehn Stunden Abenteuer unter der Piratenflagge

Die solo spielbare Kampagne Sea of Thieves: A Pirate's Life schickt Freibeuter in den Fluch der Karibik mit Jack Sparrow und Davy Jones.
Von Peter Steinlechner

Sea of Thieves: Rund zehn Stunden Abenteuer unter der Piratenflagge
Artikel
  1. PC-Hardware: Grafikkarten werden günstiger und besser verfügbar
    PC-Hardware
    Grafikkarten werden günstiger und besser verfügbar

    Die Preise für Grafikkarten sind zuletzt gesunken, es gibt mehr Pixelbeschleuniger auf Lager. Das hat mehrere Gründe.

  2. Prime Day 2021 bei Amazon - das sind die Highlights
     
    Prime Day 2021 bei Amazon - das sind die Highlights

    Lange haben wir gewartet, jetzt ist es so weit: Der Prime Day 2021 ist gestartet und bietet millionenfache Angebote aus allen Kategorien.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Razer Blade 14 im Test: Der dreifach einzigartige Ryzen-Laptop
    Razer Blade 14 im Test
    Der dreifach einzigartige Ryzen-Laptop

    Kompakter und flotter: Das Razer Blade 14 soll die Stärken des Urmodells mit der Performance aktueller Hardware vereinen - mit Erfolg.
    Ein Test von Marc Sauter

Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Creative SB Z 69,99€ • SanDisk microSDXC 400 GB 39€ • Battlefield 4 Premium PC Code 7,49€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals [Werbung]
    •  /