درحال‌حاضر OpenSSH از کلیدهای امنیتی FIDO U2F برای احراز هویت دومرحله‌ای پشتیبانی می‌کند

درحال حاضر مدیران سیستم می‌توانند از یک کلید امنیتی فیزیکی به‌عنوان احراز هویت دومرحله‌ای (U2F) مبتنی‌بر سخت‌افزار برای ورود امن به یک سیستم راه دور از طریق پروتکل SSH استفاده کنند. OpenSSH، یکی از پرکاربردترین پیاده‌سازی‌های متن‌باز پروتکل SSH است که به‌تازگی نسخه‌ی ۸٫۲ این نرم‌افزار منتشر شد که دارای دو پیشرفت امنیتی مهم است. در ابتدا، OpenSSH نسخه‌ی ۸٫۲ پشتیبانی از احراز هویت سخت‌افزاری FIDO/U2F را اضافه کرده است و پس از آن الگوریتم امضای کلید عمومی SSH-RSA را رد کرده و تصمیم گرفته است تا آن را به‌طور پیش‌فرض در نسخه‌های بعدی این نرم‌افزار غیرفعال کند.

دستگاه‌های امنیتی سخت‌افزاری مبتنی‌بر پروتکل FIDO سازوکارهای قوی‌تری برای احراز هویت هستند، زیرا امکان رمزنگاری کلید عمومی را برای محافظت در برابر بدافزار پیشرفته، حملات فیشینگ و مرد میانی فراهم می‌کنند. در OpenSSH، دستگاه‌های FIDO توسط انواع کلیدهای عمومی جدید ecdsa-sk و ed25519-sk و انواع گواهی‌نامه‌های مربوطه پشتیبانی می‌شوند.

توکن‌های FIDO معمولاً از طریق USB وصل می‌شوند، اما ممکن است از طریق بلوتوث یا NFC نیز وصل شوند. در OpenSSH، ارتباط با این توکن از طریق یک کتابخانه‌ی میان‌افزار مدیریت می‌شود. گروه OpenSSH ابتدا پشتیبانی از U2F/FIDO را به‌عنوان یک ویژگی آزمایشی در ماه نوامبر معرفی کرد که به همان میان‌افزار Yubico libfido2 متکی است.

یک کلید امنیتی فیزیکی، لایه‌ی احراز هویت مضاعفی را به یک حساب اضافه می‌کند و کاربران می‌توانند به‌سرعت و به طور امن تنها با درج کلید امنیتی USB و فشار دادن یک کلید وارد حساب‌های خود شوند. این به این معناست که حتی درصورتی‌که مهاجمان موفق به آلوده کردن رایانه یا سرقت گذرواژه‌ی SSH شوند، قادر نخواهند بود که بدون ارائه‌ی کلید امنیتی فیزیکی به سیستم راه دور دسترسی پیدا کنند.

علاوه‌برآن، رد الگوریتم امضای کلید عمومی SSH-RSA نیز قابل توجه است، زیرا الگوریتم درهم‌سازی SHA-1 کند و ناامن است و ممکن است با به کار بردن منابع کمتر نسبت به گذشته به‌سادگی مختل شود. متأسفانه این الگوریتم علی‌رغم وجود جایگزین‌های بهتر هنوز به‌طور گسترده استفاده می‌شود و تنها الگوریتم امضای کلید عمومی است که توسط SSH RFC اصلی مشخص شده است.

نسخه‌ی بعدی OpenSSH به‌طور پیش‌فرض UpdateHostKeys را فعال می‌کند تا به مشتریان اجازه دهد که به‌طور خودکار سراغ الگوریتم‌های بهتر بروند. کاربران ممکن است این گزینه را به‌صورت دستی فعال کنند. OpenSSH همچنین در سال گذشته ویژگی امنیتی دیگری را معرفی کرد که کلیدهای خصوصی را قبل از ذخیره‌ی آن‌ها در حافظه‌ی سیستم رمزنگاری می‌کند و آن را در برابر همه‌ی انواع حملات جانبی محافظت می‌کند.

منبع

پست‌های مشابه

Leave a Comment