0xKaishakuninPünktlich zum #39C3 habe ich mein #Hardwaretoken #Howto erweitert um
#OpenSSH #Authentifizierung.
Ich zeige wie man sich an #SSH Servern einloggen kann mittels #FIDO2 Device Bound #Passkeys à la #Yubikey, #Nitrokey, #Token2 #Thetis etc.
Damit liegt der geheime Schlüssel im Passkey-Token und kann nicht ohne weiteres ausgelesen werden.
Außerdem zeige ich noch wie man einen 2. externen OpenSSH-Server nur für die Hardwaretoken konfiguriert.
Viel Spaß am Gerät
OpenSSH-Authentifizierung mittels Hardwaretoken (FIDO2 Device Bound Passkeys à la Yubikey, Nitrokey, Token2, Thetis etc.)
Voraussetzung Seit Version 8.2.0 unterstützt OpenSSH FIDO2 basierte Schlüssel, also Passkeys. Dieser Schlüssel kann dabei bequem als sog. device bound passkey (fürderhin Passkey genannt) auf einem Hardware-Token liegen. Der geheime Schlüssel kann dann nicht vom Token exportiert werden und ist somit vor Diebstahl geschützt. Das Hardwaretoken fungiert dann quasi als Hardware Security Module und schützt den geheimen Schlüssel. Eingesetzt werden kann dafür ein beliebiges FIDO2-konformes Token, z.B. ein Yubikey 5 oder Security Key, Token2 R3 oder ein Thetis Security Key.
Boris Marinov