• IT-Karriere:
  • Services:

Verschlüsselung: OpenSSH schützt Fido-Schlüssel per PIN

Schlüssel für SSH lassen sich auf sogenannte Hardware-Token auslagern. Diese können in OpenSSH mit einem zweiten Faktor geschützt werden.

Artikel veröffentlicht am ,
OpenSSH baut die Fido-Unterstützung aus.
OpenSSH baut die Fido-Unterstützung aus. (Bild: Martin Wolf/Golem.de)

Die Entwickler von OpenSSH haben die Version 8.4 ihrer Programmsammlung zur sicheren Daten- und Dateiübertragung veröffentlicht. Damit baut das Team seine Unterstützung für die Standards der Fido-Allianz aus, die Techniken zur Zwei-Faktor-Authentifizierung spezifizieren, unter anderem per Hardware-Token. In der aktuellen Version 8.4 unterstützt OpenSSH nun PINs für sogenannte Resident Keys.

Stellenmarkt
  1. Bechtle AG, Hamburg
  2. Bechtle AG, Neckarsulm

Bei den Fido Resident Keys handelt es sich um Schlüssel, die direkt auf den sogenannten Authenticators erzeugt werden, also meist den Hardware-Token, die per USB an Rechner angeschlossen werden können. Die PIN-Funktion ist als Erweiterung unter dem Namen Credential Protection spezifiziert und wird in OpenSSH immer dann genutzt, wenn Schlüssel von den Fido-Tokens abgerufen werden.

Die Unterstützung für Fido wurde erstmals mit OpenSSH 8.2 umgesetzt, das im Februar dieses Jahres erschienen ist. Damit können Hardware-Token als zweiter Faktor für Schlüssel genutzt werden, nun können zudem Schlüssel auf den Token selbst per PIN einen zweiten Faktor nutzen. Notwendig dafür ist laut der Ankündigung die Bibliothek Libfido2 in Version 1.5.0, da ältere Versionen einige der neuen Funktionen nicht unterstützen, die OpenSSH nun aber benötigt.

Das Team hat darüber hinaus einige Änderungen an seiner Fido-Unterstützung vorgenommen und zum Beispiel die API angepasst. Darüber hinaus verhindert der SSH-Agent von OpenSSH, dass darüber Web-Challenges mit Fido-Schlüsseln signiert werden können. Damit soll aktiv verhindert werden, dass die Schlüssel über die SSH-Verbindung weitergeleitet werden und dort für Web-Authentication genutzt werden.

Wie bereits schon länger warnen die OpenSSH-Betreuer auch in der aktuellen Version vor dem Ende der Unterstützung für SHA-1. Wann diese aber letztlich umgesetzt wird, ist derzeit noch nicht bekannt. Weitere Details und Neuerungen listen die Release Notes.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Folgen Sie uns
       


Panasonic LUMIX DC-S5 im Hands on

Klein in der Hand, voll im Format - wir haben uns die neue Kamera von Panasonic angesehen.

Panasonic LUMIX DC-S5 im Hands on Video aufrufen
Mafia Definitive Edition im Test: Ein Remake, das wir nicht ablehnen können
Mafia Definitive Edition im Test
Ein Remake, das wir nicht ablehnen können

Familie ist für immer - nur welche soll es sein? In Mafia Definitive Edition finden wir die Antwort erneut heraus, anders und doch grandios.
Ein Test von Marc Sauter

  1. Mafia Definitive Edition angespielt Don Salieri wäre stolz
  2. Mafia Definitive Edition Ballerei beim Ausflug aufs Land
  3. Definitive Edition Das erste Mafia wird von Grund auf neu erstellt

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

Corsair K60 RGB Pro im Test: Teuer trotz Viola
Corsair K60 RGB Pro im Test
Teuer trotz Viola

Corsair verwendet in der K60 Pro RGB als erster Hersteller Cherrys neue preiswerte Viola-Switches. Anders als Cherrys günstige MY-Schalter aus den 80ern hinterlassen diese einen weitaus besseren Eindruck bei uns - der Preis der Tastatur hingegen nicht.
Ein Test von Tobias Költzsch

  1. Corsair K100 RGB im Test Das RGB-Monster mit der Lichtschranke
  2. Corsair Externes Touchdisplay ermöglicht schnelle Einstellungen
  3. Corsair One a100 im Test Ryzen-Wasserturm richtig gemacht

    •  /