Доступ к ключам sshD без ввода пина
Добрый день,
Возможно ли хранение серверных ключей OpenSSH в Rutoken ECP2?
Т.е. ключа типа /etc/ssh/ssh_host_rsa_key
http://web.archive.org/web/202007310956 … eys/2495/6
https://framkant.org/2017/10/strong-aut … re-tokens/
Rutoken настраивается аналогично?
# ssh-agent -a /root/yubikey-agent
setenv SSH_AUTH_SOCK /root/yubikey-agent;
setenv SSH_AGENT_PID 10894;
echo Agent pid 10894;
# setenv SSH_AUTH_SOCK /root/yubikey-agent;
# ssh-add -s /usr/local/lib/opensc-pkcs11.so
Enter passphrase for PKCS#11:
Card added: /usr/local/lib/opensc-pkcs11.so
# ssh-add -l
2048 SHA256:qBbMpdbUeabLe4PnfjrjPbGPu8zfbkbK+ni4mXOnV24 /usr/local/lib/opensc-pkcs11.so (RSA)
# ssh-keygen -D /usr/local/lib/opensc-pkcs11.so > /etc/ssh/yubikey_host_key.pub
# echo "HostKey /etc/ssh/yubikey_host_key.pub" >> /etc/ssh/sshd_config
# echo "HostKeyAgent /root/yubikey-agent" >> /etc/ssh/sshd_config
Возможен ли доступ к нему сервера SSH без запроса пина Rutoken?
А вообще SSH агент как часто спрашивает аппаратный пин? Это настраиваемо?
Можно ли переключать режим запроса пина из командной строки, чтобы после успешного разового логина SSH далее уже включался режим запроса пина?
Количество SSH подключений косвенно учитывается внутренними счетчиками Rutoken, которые вероятно не подделать так просто?
Наверно, какие-то операции типа подписи RSA2048 и т.п.?
Смутно представляю, какие асимметричные операции выполняются во время проверки аутентификации хостов SSH, в частности проверки самого сервера (защита от MITM).
Кстати, качество генерируемого симметричного сессионного ключа как-то зависит от криптостойкости асимметричных ключей, используемых для создания сессии? Или сессионный ключ - чистый рандом?
Например, есть ли разница в качестве сессионного ключа для вариантов использования RSA2048 и RSA4096 для установки сессии? От чего зависит качество сессионного ключа? Только от его рандомности и насколько безопасно он был передан другой стороне?
Нельзя ли его частично хотя бы генерировать внутри Rutoken? Например, задействовать ГСЧ Рутокена?