Verschlüsselung: OpenSSH schützt Fido-Schlüssel per PIN

Schlüssel für SSH lassen sich auf sogenannte Hardware-Token auslagern. Diese können in OpenSSH mit einem zweiten Faktor geschützt werden.

Artikel veröffentlicht am ,
OpenSSH baut die Fido-Unterstützung aus.
OpenSSH baut die Fido-Unterstützung aus. (Bild: Martin Wolf/Golem.de)

Die Entwickler von OpenSSH haben die Version 8.4 ihrer Programmsammlung zur sicheren Daten- und Dateiübertragung veröffentlicht. Damit baut das Team seine Unterstützung für die Standards der Fido-Allianz aus, die Techniken zur Zwei-Faktor-Authentifizierung spezifizieren, unter anderem per Hardware-Token. In der aktuellen Version 8.4 unterstützt OpenSSH nun PINs für sogenannte Resident Keys.

Stellenmarkt
  1. Systemverantwortlicher (m/w/d) Modul - Ultrasonic Parking Functions
    IAV GmbH, Berlin, Chemnitz, Gifhorn
  2. IT Field Service Agent (m/w/d) Servicecenter
    DAW SE, Enger
Detailsuche

Bei den Fido Resident Keys handelt es sich um Schlüssel, die direkt auf den sogenannten Authenticators erzeugt werden, also meist den Hardware-Token, die per USB an Rechner angeschlossen werden können. Die PIN-Funktion ist als Erweiterung unter dem Namen Credential Protection spezifiziert und wird in OpenSSH immer dann genutzt, wenn Schlüssel von den Fido-Tokens abgerufen werden.

Die Unterstützung für Fido wurde erstmals mit OpenSSH 8.2 umgesetzt, das im Februar dieses Jahres erschienen ist. Damit können Hardware-Token als zweiter Faktor für Schlüssel genutzt werden, nun können zudem Schlüssel auf den Token selbst per PIN einen zweiten Faktor nutzen. Notwendig dafür ist laut der Ankündigung die Bibliothek Libfido2 in Version 1.5.0, da ältere Versionen einige der neuen Funktionen nicht unterstützen, die OpenSSH nun aber benötigt.

Das Team hat darüber hinaus einige Änderungen an seiner Fido-Unterstützung vorgenommen und zum Beispiel die API angepasst. Darüber hinaus verhindert der SSH-Agent von OpenSSH, dass darüber Web-Challenges mit Fido-Schlüsseln signiert werden können. Damit soll aktiv verhindert werden, dass die Schlüssel über die SSH-Verbindung weitergeleitet werden und dort für Web-Authentication genutzt werden.

Golem Akademie
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    27./28.06.2022, virtuell
  2. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    29./30.06.2022, virtuell
Weitere IT-Trainings

Wie bereits schon länger warnen die OpenSSH-Betreuer auch in der aktuellen Version vor dem Ende der Unterstützung für SHA-1. Wann diese aber letztlich umgesetzt wird, ist derzeit noch nicht bekannt. Weitere Details und Neuerungen listen die Release Notes.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Überwachung: Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein
    Überwachung
    Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein

    In Rheinland-Pfalz werden Handynutzer am Steuer eines Autos automatisch erkannt. Dazu wird das System Monocam aus den Niederlanden genutzt.

  3. Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
    Love, Death + Robots 3
    Mal spannend, mal tragisch, mal gelungen, mal nicht so

    Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /