Каждый человек может заблуждаться, но упорствовать в заблуждении может только глупец.

Босс, подчиненному: ...

Docker продал компании Mirantis часть бизнеса, связанного с платформой Docker Enterprise
Thu, 14 Nov 2019 08:37:14 +0300

Mozilla, Fastly, Intel и Red Hat продвигают WebAssembly, как платформу для универсального применения
Wed, 13 Nov 2019 09:37:16 +0300

Chrome начнёт помечать быстрые и медленные сайты
Tue, 12 Nov 2019 07:42:46 +0300

Пакет Microsoft Defender ATP будет выпущен для Linux
Mon, 11 Nov 2019 08:19:52 +0300

В Steam для Linux появилась возможность запуска игр в изолированных контейнерах
Mon, 11 Nov 2019 07:44:03 +0300

Разработчики openSUSE проголосовали против смены имени проекта
Fri, 08 Nov 2019 18:44:23 +0300

Google представил открытый проект OpenTitan для создания заслуживающих доверия чипов
Fri, 08 Nov 2019 13:59:44 +0300

Фонд свободного ПО сертифицировал материнские платы Talos II
Fri, 08 Nov 2019 09:14:58 +0300

Python опередил Java по числу проектов на GitHub
Fri, 08 Nov 2019 07:36:55 +0300

В пакетный менеджер NPM 6.13 добавлены инструменты для финансирования разработчиков
Thu, 07 Nov 2019 13:18:06 +0300

Google открыл наработки, связанные с технологией виртуальной реальности Cardboard
Thu, 07 Nov 2019 08:56:56 +0300

Браузер Microsoft Edge позиционируется кросс-платформенным и будет поддерживать Linux
Tue, 05 Nov 2019 21:09:33 +0300

В ночных сборках Firefox появилась поддержка HTTP/3
Mon, 04 Nov 2019 09:35:49 +0300

В Chrome началось тестирование третьей редакции манифеста, несовместимой с uBlock Origin
Sun, 03 Nov 2019 10:51:24 +0300

Microsoft присоединяется к разработке OpenJDK
Sun, 03 Nov 2019 10:20:21 +0300

Новости OPENNET
Новости

В кодовую базу OpenSSH добавлена экспериментальная поддержка двухфакторной аутентификации с использованием устройств, поддерживающих протокол U2F, развиваемый альянсом FIDO. U2F позволяет создавать недорогие аппаратные токены для подтверждения физического присутствия пользователя, взаимодействие с которыми производится через USB, Bluetooth или NFC. Подобные устройства продвигаются в качестве средства для двухфакторной аутентификации на сайтах, уже поддерживаются основными браузерами и выпускаются различными производителями, включая Yubico, Feitian, Thetis и Kensington.

Для взаимодействия с устройствами, подтверждающими присутствие пользователя, в OpenSSH добавлен новый тип ключей "sk-ecdsa-sha2-nistp256@openssh.com" ("ecdsa-sk"), в котором используется алгоритм цифровой подписи ECDSA (Elliptic Curve Digital Signature Algorithm) с эллиптической кривой NIST P-256 и хэшем SHA-256. Процедуры взаимодействия с токенами вынесены в промежуточную библиотеку, которая загружается по аналогии с библиотекой для поддержки PKCS#11 и является обвязкой над библиотекой libfido2, предоставляющей средства для коммуникации с токенами поверх USB (поддерживается протоколы FIDO U2F/CTAP 1 и FIDO 2.0/CTAP 2). Подготовленная разработчиками OpenSSH промежуточная библиотека libsk-libfido2 включена в основной состав libfido2, как и HID-драйвер для OpenBSD.

Для включения U2F можно использовать свежий срез кодовой базы из репозитория OpenSSH и HEAD-ветку библиотеки libfido2, в которую уже входит необходимая для OpenSSH прослойка.

Libfido2 поддерживает работу в OpenBSD, Linux, macOS и Windows.

Для аутентификации и генерации ключа необходимо выставить переменную окружения SSH_SK_PROVIDER, указав в ней путь к libsk-libfido2.so (export SSH_SK_PROVIDER=/path/to/libsk-libfido2.so), или определить библиотеку через настойку SecurityKeyProvider, после чего запустить "ssh-keygen -t ecdsa-sk" или, если ключи уже созданы и настроены, подключиться к серверу при помощи "ssh". При запуске ssh-keygen созданная пара ключей будет сохранена в "~/.ssh/id_ecdsa_sk" и может использоваться аналогично другим ключам.

Открытый ключ (id_ecdsa_sk.pub) следует скопировать на сервер в файл authorized_keys. На стороне сервера только проверяется цифровая подпись, а взаимодействие с токенами производится на стороне клиента (на сервере не нужно устанавливать libsk-libfido2, но сервер должен поддерживать тип ключей "ecdsa-sk"). Сгенерированный закрытый ключ (id_ecdsa_sk) по сути является дескриптором ключа, образующим реальный ключ только в сочетании с секретной последовательностью, хранимой на стороне токена U2F.

В случае попадания ключа id_ecdsa_sk в руки атакующего, для прохождения аутентификации ему также потребуется получить доступ к аппаратному токену, без которого сохранённый в файле id_ecdsa_sk закрытый ключ бесполезен. Кроме того, по умолчанию при выполнении любых операций с ключами (как при генерации, так и при аутентификации) требуется локальное подтверждение физического присутствия пользователя, например, предлагается коснуться сенсора на токене, что затрудняет проведение удалённых атак на системы с подключенным токеном. В качестве ещё одного рубежа защиты на этапе запуска ssh-keygen также может быть задан пароль для доступа к файлу с ключом.

Ключ U2F может быть добавлен в ssh-agent через "ssh-add ~/.ssh/id_ecdsa_sk", но ssh-agent должен быть собран с поддержкой ключей "ecdsa-sk", должна присутствовать прослойка libsk-libfido2 и агент должен выполняться на системе, к которой подключается токен.

Новый тип ключей "ecdsa-sk" добавлен так как формат ecdsa-ключей OpenSSH отличается от формата U2F для цифровых подписей ECDSA наличием дополнительных полей.

9.1504 70.6724 0.5882 64.2009

НОВОСТИ: Docker продал компании Mirantis часть бизнеса, связанного с плат ... Thu, 14 Nov 2019 08:37:14 +0300

Компания Mirantis, предлагающая облачные решения на базе OpenStack и Kubernetes, выкупила у Docker Inc часть бизнеса, связанного с платформой Docker Enterprise (коммерческий вариант инструментария и движка Docker для предприятий, включающий также Docker Enterprise Container Engine, Docker Trusted Registry и Docker Universal Control Plane). После разделения бизнеса Docker Inc продолжит существование в форме независимой компании и сосредоточит свою деятельность вокруг каталога Docker Hub и интегрированной среды разработки микросервисов и запускаемых в контейнерах приложений Docker Desktop.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome