Como usar o YubiKeys com chaves SSH na verificação em duas etapas?

2

Eu posso configurar o par de chaves SSH sem o Fido U2F como descrito Agente SSH trabalhando em muitos servidores sem redigitar? Alguma bandeira? no tópico. A verificação em duas etapas seria muito boa: a senha para a chave privada e a verificação do Fido U2F também. Não tenho certeza se precisamos aqui também do servidor Fido / YubiKey, conforme instruído no tópico Login do Yubico Linux . Minha motivação é que eu esqueço tantas vezes minhas senhas que são muito longas se usadas em verificações em uma única etapa. A verificação em uma etapa também é fraca, embora a senha seja longa e difícil. Portanto, eu gostaria de ter a verificação em duas etapas no meu Debian com chaves, porque acho que as chaves podem melhorar muito a segurança.

Bilhete enviado para a equipe da YubiKey 22 de fevereiro de 2017

Dear Sir/Madam, 

We are thinking how to get 2-step verification with your key and keys in the following thread. Improvements are needed in FIDO U2F and OpenSSH parts. I am thinking how we can push the thing forward with You. Please, say what we can do because the feature request is rather blocked at the moment. 

Ticket in OpenSSH part: https://bugzilla.mindrot.org/show_bug.cgi?id=2319
Thread about the feature request: http://unix.stackexchange.com/q/346771/16920

Best regards, 
Leo

OS: Debian 8.7
Hardware: Asus Zenbook UX303UB
Ingressos: # 2319 (Jakuje)
Tecla Fido U2F: YubiKey 4

    
por Léo Léopold Hertz 준영 22.02.2017 / 10:53

2 respostas

4

Você não pode usar o U2F com o SSH. Houve uma tentativa de implementar isso há dois anos, quando a U2F era algo novo e chique, mas desde então eu nunca ouvi falar sobre isso e não há progresso nisso.

Se você realmente quiser, pode corrigir seu OpenSSH com o patch anexado a esse bug upstream , mas note que pode ter alguns problemas, mesmo que tenha sido revisado por várias pessoas.

    
por 22.02.2017 / 12:11
0

Projeto de desenvolvimento semelhante sobre o caso que suporta o desbloqueio do YubiKey DB para o KeePassX com o YubiKeys. Eu acho que o projeto deve ser concluído antes de pensar em apoiar o suporte para SSH, porque deve ser mais fácil para uma aplicação independente e muita força de trabalho lá.

    
por 14.04.2017 / 08:06