[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: FIDO-basierte SSH-Schluessel
[Thread Prev] | [Thread Next]
- Subject: Re: FIDO-basierte SSH-Schluessel
- From: Marc Haber <mh+uugrn@xxxxxxxxxxxx>
- Date: Thu, 9 Jun 2022 22:40:37 +0200
- To: uugrn@xxxxxxxxx
On Thu, Jun 09, 2022 at 08:31:34PM -0000, Christian Weisgerber wrote: > On 2022-06-09, Marc Haber <mh+uugrn@xxxxxxxxxxxx> wrote: > > (1) mit Resident Keys > > Dabei ist der Key komplett auf dem Key gespeichert und der Key macht die > > Kryptographie wie bei einem normalen Crypto-Device, damit braucht man > > nur den Key und eventuelle Sicherheitsmaßnahmen wie eine PIN (wenn es > > das bei dem Key gibt) um die Authentifikation auslösen zu können. > > Wenn man mit ssh-keygen einen Resident Key erzeugt, wird der private > SSH-Schlüssel (= FIDO-Keyhandle) zwar auf dem Authenticator > gespeichert, aber um ihn mit ssh benutzen zu können, muss man ihn > vom Authenticator runterladen, sei es als Datei (ssh-keygen -K), > sei es direkt in den ssh-agent (ssh-add -K). Ok, das ist bei PIV anders, da wird der private SSH-Schlüssel auf dem Yubikey erzeugt, man zieht sich den öffentlichen SSH-Schlüssel mit Herstellersoftware vom Yubikey herunter und kann diesen wie einen normalen ssh-Key verwenden. Wo immer man den Yubikey einsteckt, kann man den dort abgelegten SSH-Schlüssel mit dem ssh-agent verknüpfen und diesen Nutzen, so lange die PIN eingegeben ist und der Yubikey steckt. > Ich sehe keinen Sicherheitsgewinn gegenüber einem Nonresident Key, > der auf dem Rechner liegt. Ja. Bei FIDO Nonresident Keys könnte man quasi sogar für jeden seiner Arbeitsplatzrechner einen eigenen SSH-Key haben, den man nur benutzen kann wenn man die Datei UND den FIDO-Authentikator hat. Grüße Marc -- ----------------------------------------------------------------------------- Marc Haber | "I don't trust Computers. They | Mailadresse im Header Leimen, Germany | lose things." Winona Ryder | Fon: *49 6224 1600402 Nordisch by Nature | How to make an American Quilt | Fax: *49 6224 1600421 -- Unix User Group Rhein-Neckar e.V. https://www.uugrn.org Archiv und An-/Abmeldeinformationen https://mail2.uugrn.org Veranstaltungen https://fixme.uugrn.org https://stammtisch.uugrn.org
| Re: FIDO-basierte SSH-Schluessel | Christian Weisgerber <naddy@xxxxxxxxxxxx> |