Verschlüsselung: OpenSSH schützt Fido-Schlüssel per PIN

Die Entwickler von OpenSSH haben die Version 8.4 ihrer Programmsammlung zur sicheren Daten- und Dateiübertragung veröffentlicht. Damit baut das Team seine Unterstützung für die Standards der Fido-Allianz aus, die Techniken zur Zwei-Faktor-Authentifizierung spezifizieren, unter anderem per Hardware-Token. In der aktuellen Version 8.4 unterstützt OpenSSH nun PINs für sogenannte Resident Keys.

Bei den Fido Resident Keys handelt es sich um Schlüssel, die direkt auf den sogenannten Authenticators erzeugt werden, also meist den Hardware-Token, die per USB an Rechner angeschlossen werden können. Die PIN-Funktion ist als Erweiterung unter dem Namen Credential Protection spezifiziert und wird in OpenSSH immer dann genutzt, wenn Schlüssel von den Fido-Tokens abgerufen werden.

Die Unterstützung für Fido wurde erstmals mit OpenSSH 8.2 umgesetzt, das im Februar dieses Jahres erschienen ist. Damit können Hardware-Token als zweiter Faktor für Schlüssel genutzt werden, nun können zudem Schlüssel auf den Token selbst per PIN einen zweiten Faktor nutzen. Notwendig dafür ist laut der Ankündigung die Bibliothek Libfido2 in Version 1.5.0, da ältere Versionen einige der neuen Funktionen nicht unterstützen, die OpenSSH nun aber benötigt.

Das Team hat darüber hinaus einige Änderungen an seiner Fido-Unterstützung vorgenommen und zum Beispiel die API angepasst. Darüber hinaus verhindert der SSH-Agent von OpenSSH, dass darüber Web-Challenges mit Fido-Schlüsseln signiert werden können. Damit soll aktiv verhindert werden, dass die Schlüssel über die SSH-Verbindung weitergeleitet werden und dort für Web-Authentication genutzt werden.

Wie bereits schon länger warnen die OpenSSH-Betreuer auch in der aktuellen Version vor dem Ende der Unterstützung für SHA-1. Wann diese aber letztlich umgesetzt wird, ist derzeit noch nicht bekannt. Weitere Details und Neuerungen listen die Release Notes.