Re: FIDO-basierte SSH-Schluessel

[Christian Weisgerber <naddy@xxxxxxxxxxxx>]

On 2022-06-15, Marc Haber <mh+uugrn@xxxxxxxxxxxx> wrote:

> Und das "authenticator anfassen" wird vermutlich beim Starten von
> ansible run mit > 20 Zielen ziemlich schnell ziemlich lästig.

Ja, das ist nicht praktikabel. Hat man eine Abfolge von Verbindungen
zur selben Gegenstelle, kann man ssh-Multiplexing verwenden. Bei
einer Vielzahl von Gegenstellen braucht man ein anderes Konzept.

Man kann FIDO-basierte Schlüssel mit dem Attribut "no-touch-required"
erzeugen. Die müssen in der authorized_keys nochmal markiert werden,
damit sshd sie akzeptiert. Kann man ja gegebenenfalls mit kurzer
Lebensdauer in den ssh-agent laden.

Oder man überlegt sich nochmal, wo man seine Sicherheits- und
Vertrauensgrenzen zieht. Wenn die Maschinen z.B. alle nebeneinander
im Rack sitzen und ähnliche Aufgaben erfüllen, könnten sie sich
direkt gegeneinander oder einem Bastion Host vertrauen:
HostbasedAuthentication.

> Irgendwo habe ich noch einen Nitrokey rumfliegen und es gibt
> inzwischen auch Authenticatoren auf Basis freier Hard- und Firmware.

https://solokeys.com/
Ich würde aber auf die zweite Generation warten, in die die Erfahrungen
mit der ersten eingeflossen sind und die demnächst auch allgemein
erhältlich sein soll.

Viele Authenticatoren haben NFC eingebaut, um sie mit einem Smartphone
zu koppeln. Bei den Smartphones geht aber der Trend zum eingebauten
FIDO-Authenticator, was die Perspektive eröffnet, diese Funktion
über NFC zu exportieren, also das Smartphone als Authenticator zu
verwenden. Dazu weiß ich nichts, aber vielleicht ist es eine Anregung
für andere, sich mit dem Thema zu beschäftigen.

-- 
Christian "naddy" Weisgerber                          naddy@xxxxxxxxxxxx

-- 
Unix User Group Rhein-Neckar e.V.       https://www.uugrn.org
Archiv und An-/Abmeldeinformationen     https://mail2.uugrn.org
Veranstaltungen https://fixme.uugrn.org https://stammtisch.uugrn.org