Re: FIDO-basierte SSH-Schluessel (was: Reboot shell.uugrn.org am 08. Mai)

[Christian Weisgerber <naddy@xxxxxxxxxxxx>]

On 2022-06-07, Marc Haber <mh+uugrn@xxxxxxxxxxxx> wrote:

> Magst Du über ssh mit FIDO mal einen Vortrag halten?

Nee, das ist auch nicht nötig.

> Ich verwende aktuell einen Yubikey im PIV-Modus für meinen ssh-Login.
> was für einen Vorteil habe ich wenn ich auf FIDO umstelle? Wie geht das?

Für die Leute, die sowas noch nicht haben, ist FIDO einfacher und
billiger:
- Am FIDO-Gerät ist nichts zu konfigurieren.
- Die Unterstützung ist in OpenSSH selbst integriert und man braucht
  keine zusätzliche Middleware für PC/SC oder Wasweißich einzubinden.
- FIDO-Geräte sind preisgünstig: ein (blauer) Yubico Security Key
  kostet nur etwas mehr als die Hälfte von einem (schwarzen) YubiKey.

Wenn du die FIDO-Unterstützung von deinem YubiKey nicht verkonfiguriert
hast, dann erzeugst du einfach einen Schlüssel

$ ssh-keygen -t ecdsa-sk        # auch ed25519-sk ab Firmware 5.2.3

Den privaten und öffentlichen SSH-Schlüssel benutzt du wie andere
SSH-Schlüssel auch. Sinnvollerweise lädt man sich auf seinem
Arbeitsplatz den privaten Schlüssel in den ssh-agent. Wobei der
private Schlüssel eben nur im Zusammenspiel mit dem angesteckten
YubiKey und Anwesenheitsbestätigung (YubiKey anfassen, wenn er
blinkt) funktioniert.

-- 
Christian "naddy" Weisgerber                          naddy@xxxxxxxxxxxx

-- 
Unix User Group Rhein-Neckar e.V.       https://www.uugrn.org
Archiv und An-/Abmeldeinformationen     https://mail2.uugrn.org
Veranstaltungen https://fixme.uugrn.org https://stammtisch.uugrn.org