OpenSSH 8.2: Authentifizierung ohne Passwort dank U2F/FIDO
Künftig lassen sich U2F/FIDO-Schlüssel mit OpenSSH verwenden. Version 8.2 erklärt außerdem SHA-1 für veraltet.
Mit Version 8.2 aktualisiert OpenSSH sein Projekt zur sicheren Datenübertragung. Zentrale Neuerung ist, dass die Software nun mit Hardware-Token des offenen U2F-Standards (Universal Second Factor) der FIDO-Allianz umgehen kann. Es handelt sich um ein Verfahren zur Authentifizierung, bei dem der Nutzer seinen Schlüssel zum Beispiel auf einem preiswerten USB-Dongle bereithält. Ursprünglich unter anderem von Google ins Leben gerufen, betreut mittlerweile die nichtkommerzielle FIDO-Allianz den Standard.
Anwender können per ssh-keygen(1) einen Schlüssel für ihr U2F-Token erstellen, anschließend lässt er sich wie jeder andere Schlüssel in OpenSSH einsetzen. OpenSSH kommuniziert nicht direkt mit der Hardware, dies übernimmt eine Middleware-Bibliothek. Enthalten ist die Software SecurityKeyProvider=internal, mit der sich USB-Dongle verwenden lassen. OpenSSH 8.2 kann ebenfalls mit dem neueren FIDO2-Standard umgehen.
Ende für SHA-1
Hinzu kommen viele kleinere Änderungen und Bugfixes, die Nutzer in den Release Notes nachvollziehen können. Die Entwickler weisen auch darauf hin, dass das Projekt ab sofort SHA-1 als veraltet einstuft. Erst Anfang Januar 2020 demonstrierten Sicherheitsforscher einen Angriff auf den Hash-Algorithmus in der Praxis. Hinzu kommen einige Änderungen, durch die bestehende Konfigurationen nicht mehr funktionieren könnten. Eine Liste findet sich ebenfalls in den Release Notes.
OpenSSH entstammt dem OpenBSD-Projekt, kommt aber ebenfalls in anderen BSD-Systemen und Linux-Distributionen sowie Windows Server zum Einsatz. Die freie Software erscheint unter der ursprünglichen BSD-Lizenz.
FIDO2 könnte der Schlüssel zum (Authentifizierungs-) Glück sein. Denn damit wird das passwortlose Anmelden möglich.
(fo)