erzeugt SSH Login mit 2-Faktor-Authentifizierung FIDO Stick

Tutorial | SSH Login mit 2-Faktor-Authentifizierung FIDO Stick

von Thomas


Erstellt am 26.02.2020


SoloKey eingesteckt am Notebook

Mit der Version OpenSSH 8.2 kommt der Support für U2F/FIDO. Somit ist es möglich ein SSH Schlüsselpaar zum Login auf einem Server, mit einem Security Token abzusichern. Im Fachjargon wird das 2-Faktor-Authentifizierung (2FA) genannt. Der Vorteil ist, dass das SSH Schlüsselpaar beim Erstellungsprozess mit dem FIDO Stick verschlüsselt wird und sich auch nur mit genau dem Stick wieder verwenden lässt. Sollte ein Angreifer an den privaten Schlüssel des Paars kommen, ist dieser ohne den Token nutzlos. Der private Schlüssel lässt sich nur mit Betätigen des Security Token nutzen.

Installation OpenSSH 8.2

ssh -V

Das aktuelle Arch Linux bringt OpenSSH schon in der neusten benötigten Version mit:

OpenSSH_8.2p1, OpenSSL 1.1.1d 10 Sep 2019

Unter Ubuntu, Debian, BSD-Systeme empfehle ich folgende Installationen:

  • Github OpenSSH, in der README ist die Installation beschrieben. (Github)
  • Alternativ, mit einem Ubuntu Docker Image. (privater Blog)

Erzeugen eines Schlüsselpaars mit einem FIDO Stick

ssh-keygen -t ecdsa-sk -f ~/.ssh/id_ecdsa_sk
Generating public/private ecdsa-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_ecdsa_sk
Your public key has been saved in /home/user/.ssh/id_ecdsa_sk.pub

Verwendung des SSH-Schlüssels

Anschließend muss der Public Key auf den Server gepusht werden:

ssh-copy-id -i ~/.ssh/id_ecdsa_sk.pub user@<your-IP-or-domain>

Nun können wir das neu erzeugte Schlüsselpaar verwenden (beachtet das der Server ebenfalls Openssh Version 8.2 oder höher verwenden muss):

ssh user@<your-IP-or-domain>

Durch betätigen des Keys loggen wir uns automatisch ein.

Benutzen wir die Option -v können wir die Gegenseite kontrollieren, ob sie die gleiche Version wie wir unterstützt. Dabei müssen wir auf folgenden Zeilen achten:

debug1: Local version string SSH-2.0-OpenSSH_8.2
debug1: Remote protocol version 2.0, remote software version OpenSSH_8.2
debug1: match: OpenSSH_8.2 pat OpenSSH* compat 0x04000000

Die Authentifizierung kann wie folgt kontrolliert werden:

debug1: Offering public key: /home/user/.ssh/id_ecdsa_sk ECDSA-SK SHA256:48ymh350lq9ytm44mutgjpimbi6lbj8klkjg8z62ewb6fugtng authenticator agent
debug1: Server accepts key: /home/user/.ssh/id_ecdsa_sk ECDSA-SK SHA256:48ymh350lq9ytm44mutgjpimbi6lbj8klkjg8z62ewb6fugtng authenticator agent
debug1: Authentication succeeded (publickey).

Welche FIDO Sticks können verwendet werden?

Prinzipiell kann jeder Stick der FIDO U2F unterstützt verwendet werden. Folgende Hersteller bieten solche Sticks an:

Probleme bei der Verwendung eines Security Tokens

Wichtig zu beachten ist, dass der Private SSH Schlüssel nur mit dem FIDO Security Token verwendbar ist. Sollte der Stick abhanden kommen kann der Private Schlüssel nicht mehr genutzt werden. Meines Wissens ist es aktuell nicht möglich Recoverycodes oder ähnliches zu erstellen. Eine Lösung wäre einen zweiten FIDO Stick als Backup zu verwenden. So müssten jedoch immer beide Keys auf den zu verbindenden Server gepusht werden.