Verschlüsselung: OpenSSH schützt Fido-Schlüssel per PIN

Schlüssel für SSH lassen sich auf sogenannte Hardware-Token auslagern. Diese können in OpenSSH mit einem zweiten Faktor geschützt werden.

Artikel veröffentlicht am ,
OpenSSH baut die Fido-Unterstützung aus.
OpenSSH baut die Fido-Unterstützung aus. (Bild: Martin Wolf/Golem.de)

Die Entwickler von OpenSSH haben die Version 8.4 ihrer Programmsammlung zur sicheren Daten- und Dateiübertragung veröffentlicht. Damit baut das Team seine Unterstützung für die Standards der Fido-Allianz aus, die Techniken zur Zwei-Faktor-Authentifizierung spezifizieren, unter anderem per Hardware-Token. In der aktuellen Version 8.4 unterstützt OpenSSH nun PINs für sogenannte Resident Keys.

Stellenmarkt
  1. Full Stack Web- und App-Entwickler (m/w/d)
    ALLGUTH GmbH, Gräfelfing bei München
  2. IT-Systemarchitekt (m/w/d)
    Bayerisches Staatsministerium der Justiz (StMJ), München
Detailsuche

Bei den Fido Resident Keys handelt es sich um Schlüssel, die direkt auf den sogenannten Authenticators erzeugt werden, also meist den Hardware-Token, die per USB an Rechner angeschlossen werden können. Die PIN-Funktion ist als Erweiterung unter dem Namen Credential Protection spezifiziert und wird in OpenSSH immer dann genutzt, wenn Schlüssel von den Fido-Tokens abgerufen werden.

Die Unterstützung für Fido wurde erstmals mit OpenSSH 8.2 umgesetzt, das im Februar dieses Jahres erschienen ist. Damit können Hardware-Token als zweiter Faktor für Schlüssel genutzt werden, nun können zudem Schlüssel auf den Token selbst per PIN einen zweiten Faktor nutzen. Notwendig dafür ist laut der Ankündigung die Bibliothek Libfido2 in Version 1.5.0, da ältere Versionen einige der neuen Funktionen nicht unterstützen, die OpenSSH nun aber benötigt.

Das Team hat darüber hinaus einige Änderungen an seiner Fido-Unterstützung vorgenommen und zum Beispiel die API angepasst. Darüber hinaus verhindert der SSH-Agent von OpenSSH, dass darüber Web-Challenges mit Fido-Schlüsseln signiert werden können. Damit soll aktiv verhindert werden, dass die Schlüssel über die SSH-Verbindung weitergeleitet werden und dort für Web-Authentication genutzt werden.

Golem Akademie
  1. Advanced Python - Fortgeschrittene Programmierthemen
    27.-28. Januar 2022, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26.-28. Oktober 2021, online
  3. Data Engineering mit Apache Spark
    27.-28. September 2021, online
Weitere IT-Trainings

Wie bereits schon länger warnen die OpenSSH-Betreuer auch in der aktuellen Version vor dem Ende der Unterstützung für SHA-1. Wann diese aber letztlich umgesetzt wird, ist derzeit noch nicht bekannt. Weitere Details und Neuerungen listen die Release Notes.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Akkutechnik
Lithiumknappheit führt zu Rekordpreisen

Preise steigen in einem Jahr von Rekordtief auf Rekordhoch. Das Angebot hält mit unerwartet hoher Nachfrage nach Lithium-Ionen-Akkus nicht mit.
Eine Analyse von Frank Wunderlich-Pfeiffer

Akkutechnik: Lithiumknappheit führt zu Rekordpreisen
Artikel
  1. Telekom: Firmen wollen private 5G-Netze gar nicht selbst betreiben
    Telekom
    Firmen wollen private 5G-Netze "gar nicht selbst betreiben"

    Laut Telekom wollen die Firmen in Deutschland ihre über 110 5G-Campusnetze nicht selbst führen. Doch es gibt auch andere Darstellungen.

  2. Smartphone-App: Digitaler Führerschein leidet unter enormen Schwierigkeiten
    Smartphone-App
    Digitaler Führerschein leidet unter enormen Schwierigkeiten

    Mit dem großen Andrang habe das Kraftfahrt-Bundesamt nicht gerechnet. Nun ist die App kaputt. Ein Update soll es richten.

  3. Blizzard: Reger Handel mit Gegenständen aus Diablo 2 Resurrected
    Blizzard
    Reger Handel mit Gegenständen aus Diablo 2 Resurrected

    Besonders mächtige Ausrüstung aus Diablo 2 Resurrected wird auf Auktionsbörsen gehandelt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 7 Tage Samsung-Angebote bei Amazon (u. a. SSDs, Monitore, TVs) • Samsung G5 32" Curved WQHD 144Hz 265€ • Räumungsverkauf bei MediaMarkt • Nur noch heute: Black Week bei NBB • Acer Nitro 23,8" FHD 165Hz 184,90€ • Alternate (u. a. Cooler Master Gaming-Headset 59,90€) [Werbung]
    •  /