Тема от nikita-r

  • nikita-r
  • Посетитель
  • Неактивен

Рутокен MFA для OpenSSH

Здравствуйте.

Я хочу использовать Рутокен MFA для хранения ключей OpenSSH. Установлен OpenSSH 8.9p1.

В статье https://dev.rutoken.ru/pages/viewpage.a … =150241427 предлагается генерировать ecdsa-sk, а на стороне сервера включить и ecdsa-sk, и ed25519-sk, что подразумевает поддержку последнего.

ssh-keygen смог сгенерировать resident ключ ecdsa-sk. При попытке генерировать ed25519-sk выдаётся ошибка "Key enrollment failed: requested feature not supported" (FIDO_ERR_UNSUPPORTED_ALGORITHM).

Не смог найти технического описания токена и документации по нему, поэтому хочу узнать, поддерживает ли на данный момент Рутокен MFA ключи ed25519-sk? Если нет, то когда появится поддержка?

FYI, аналогичные токены Yubikey имеют поддержку ED25519 в последних прошивках.

Ответ от Павел Анфимов

  • Павел Анфимов
  • Администратор
  • Неактивен

Re: Рутокен MFA для OpenSSH

nikita-r, добрый день!

Рутокен MFA на текущий момент не поддерживает ED25519. Ваш запрос передал разработчикам.
Поделитесь, пожалуйста, почему вам важно использование именно ED25519?

Ответ от nikita-r

  • nikita-r
  • Посетитель
  • Неактивен

Re: Рутокен MFA для OpenSSH

Хотелось бы иметь возможность использовать современный стандарт, лишённый недостатков и сомнительной репутации ECDSA. ED25519 уже получил широкое применение в разных областях, в этом году его включили в стандарты FIPS.

Наличие поддержки ED25519 в Рутокен MFA сделает его отличной альтернативой токенам Yubikey.

Ответ от Ivan K. (2024-02-19 03:39:52 отредактировано Ivan K.)

  • Ivan K.
  • Посетитель
  • Неактивен

Re: Рутокен MFA для OpenSSH

Поддержу тему, Рутокен с физической или сенсорной кнопкой, ed25519/x25519/RSA4096/FIDO2/AES256, возможно отдельно age, "OpenPGP Card", API для TOTP будет являться значимой альтернативой Yubikey.

Кривая 25519 была выбрана общественным стандартом для EdDSA ключ 256 bit, подпись 512 bit.

Curve25519 алгоритмы cv\x25519(шифрование, ECDH), ed25519(подпись, аутентификация) активно используются как альтернатива RSA4096 в IT инфраструктуре и при разработке ПО: ssh, git, openpgp, age+sops

Поддержка этих аглоритмов была добавлена в PKCS#11 начиная с версии 3.0 от 2020 года.
https://www.oasis-open.org/news/announc … fications/

Пример SSH+FIDO2+ed25519 на Yubikey
https://developers.yubico.com/SSH/Secur … FIDO2.html

age:
Описание формата
https://github.com/C2SP/C2SP/blob/main/age.md

age позволяет использовать ключевую пару ed25519, хотя самостоятельная поддержка этого формата была бы к месту.

Утилита для конвертации ключевой пары из ed25519 в Curve25519 для age.
https://github.com/Mic92/ssh-to-age/blob/main/README.md

Пример использования ключевой пары от кривой secp256r1 на Yubikey c age.
https://github.com/str4d/age-plugin-yubikey