Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

OpenSSH 8.2 heeft ondersteuning voor hardwarematige authenticatie via FIDO U2F

De release van versie 8.2 voegt ondersteuning voor FIDO U2F-hardwareauthenticators toe, waarmee bijvoorbeeld usb-sleutels op basis van de FIDO-standaard te gebruiken zijn voor tweetrapsauthenticatie.

Volgens de releasenotes van OpenSSH 8.2 kunnen de netwerktools dankzij de ondersteuning gebruikt worden in combinatie met relatief goedkope 2fa-hardware die gebruikt kan worden voor website-authenticatie. U2F staat voor Universal 2nd Factor en is een open standaard die wordt beheerd door de FIDO Alliance. OpenSSH ondersteunt FIDO-apparaten met nieuwe public key-types 'ecdsa-sk' en 'ed25519-sk', samen met corresponderende certificaattypes, staat in de releasenotes.

Wat beveiliging betreft accepteert OpenSSH het op sha1 gebaseerde 'ssh-rsa'-algoritme niet meer. Bij het berekenen van een via ssh-keygen aangemaakt certificaat wordt standaard het rsa-sha2-512-algoritme gebruikt. Sha1 is verouderd en vatbaar voor collission-aanvallen. Gebruik wordt daarom afgeraden.

Ook al maakt het certificaatformaat van OpenSSH uitbuiting van chosen-prefix collisions lastig, toch is sha1 volgens de ontwikkelaars een aantoonbaar gebrekkig algoritme en zijn verbeteringen van aanvallen zeer waarschijnlijk.

Door Olaf van Miltenburg

Nieuwscoördinator

14-02-2020 • 16:51

23 Linkedin

Submitter: vDorst

Reacties (23)

Wijzig sortering
Zal dit betekenen dat ik geen OpenGPG meer nodig heb? En dus "native" op elke PC mn Yubikey kan inserten en kan SSH'en?
Als je een Yubikey hebt met FIDO2 (vanaf Yubikey 5 volgens mij), dan komt dat daarop neer ongeveer, maar je moet wel een security key library geïnstalleerd hebben nog (bijvoorbeeld die van Yubico).
Instructies hier: https://lists.mindrot.org...2019-November/037999.html

Conceptueel gezien komt het overeen met wat al mogelijk was met de OpenPGP applet die ook al op oudere Yubikeys zit (met GnuPG SSH agent).

Volgens mij gaat het niet zo "plug&play" makkelijk worden als nu met Chrome en WebUSB al mogelijk is met alle tricks in de browser meegeleverd.

[Reactie gewijzigd door gertvdijk op 14 februari 2020 17:13]

Je kan gewoon de RSA keys blijven gebruiken op tokens/smartcards. De hashes in de authenticatie zijn niet afhankelijk van het key type op disk ofzo, maar je hebt gelijk dat je token wel zo'n signature moet kunnen zetten. Het is dus afhankelijk wat de combinatie van SSH client + PKCS#11 middleware + hardware token kan met een RSA key. Als ergens in die chain alleen maar SHA1 zit, dan gaat het niet werken.
Op zich moet het ook wel mogelijk zijn om rsa-sha2-512 met een smartcard te doen, voor zover ik weet doet de smartcard alleen het RSA gedeelte en niet de hash die er overheen komt. Weer iets om uit te zoeken de komende tijd.
Juist wel. De token doet het werk door die hash te ondertekenen met de sleutel die hij heeft.

Als je nu RSA keys op disk hebt staan, heb je niks te vrezen. Een nieuwe SSH client kan gewoon SHA2 sigs maken in de authenticatie. Uit de RFC:
Since RSA keys are not dependent on the choice of hash function, the
new public key algorithms reuse the "ssh-rsa" public key format as
defined in [RFC4253]:

string "ssh-rsa"
mpint e
mpint n

All aspects of the "ssh-rsa" format are kept, including the encoded
string "ssh-rsa". This allows existing RSA keys to be used with the
new public key algorithms, without requiring re-encoding or affecting
already trusted key fingerprints.

[Reactie gewijzigd door gertvdijk op 15 februari 2020 01:14]

MacOS gebruikt wel degelijk OpenSSH, echter gebruikt OpenSSH op MacOS niet OpenSSL maar LibreSSL als TLS/crypto library.
Volgens mij is LibreSSH een niet bestaand product/project.

[Reactie gewijzigd door Timdebruijn op 14 februari 2020 23:08]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True