[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: FIDO-basierte SSH-Schluessel


On Thu, Jun 09, 2022 at 08:31:34PM -0000, Christian Weisgerber wrote:
> On 2022-06-09, Marc Haber <mh+uugrn@xxxxxxxxxxxx> wrote:
> > (1) mit Resident Keys
> > Dabei ist der Key komplett auf dem Key gespeichert und der Key macht die
> > Kryptographie wie bei einem normalen Crypto-Device, damit braucht man
> > nur den Key und eventuelle Sicherheitsmaßnahmen wie eine PIN (wenn es
> > das bei dem Key gibt) um die Authentifikation auslösen zu können.
> 
> Wenn man mit ssh-keygen einen Resident Key erzeugt, wird der private
> SSH-Schlüssel (= FIDO-Keyhandle) zwar auf dem Authenticator
> gespeichert, aber um ihn mit ssh benutzen zu können, muss man ihn
> vom Authenticator runterladen, sei es als Datei (ssh-keygen -K),
> sei es direkt in den ssh-agent (ssh-add -K).

Ok, das ist bei PIV anders, da wird der private SSH-Schlüssel auf dem
Yubikey erzeugt, man zieht sich den öffentlichen SSH-Schlüssel mit
Herstellersoftware vom Yubikey herunter und kann diesen wie einen
normalen ssh-Key verwenden. Wo immer man den Yubikey einsteckt, kann man
den dort abgelegten SSH-Schlüssel mit dem ssh-agent verknüpfen und
diesen Nutzen, so lange die PIN eingegeben ist und der Yubikey steckt.

> Ich sehe keinen Sicherheitsgewinn gegenüber einem Nonresident Key,
> der auf dem Rechner liegt.

Ja. Bei FIDO Nonresident Keys könnte man quasi sogar für jeden seiner
Arbeitsplatzrechner einen eigenen SSH-Key haben, den man nur benutzen
kann wenn man die Datei UND den FIDO-Authentikator hat.

Grüße
Marc

-- 
-----------------------------------------------------------------------------
Marc Haber         | "I don't trust Computers. They | Mailadresse im Header
Leimen, Germany    |  lose things."    Winona Ryder | Fon: *49 6224 1600402
Nordisch by Nature |  How to make an American Quilt | Fax: *49 6224 1600421

-- 
Unix User Group Rhein-Neckar e.V.       https://www.uugrn.org
Archiv und An-/Abmeldeinformationen     https://mail2.uugrn.org
Veranstaltungen https://fixme.uugrn.org https://stammtisch.uugrn.org

References:
Re: FIDO-basierte SSH-SchluesselChristian Weisgerber <naddy@xxxxxxxxxxxx>