Est-il possible d'utiliser le lecteur d'empreintes digitales Touch ID pour déverrouiller ma clé SSH?
J'ai un MacBook Pro avec Touch Bar et j'ai une phrase de passe de texte traditionnelle pour ma clé SSH en ce moment.
J'ai remarqué que je n'obtenais pas de boîte de dialogue système demandant ma phrase secrète le 10.12, donc ce n'est probablement pas une chose, mais si je pouvais le faire, ce serait incroyable.
Il est maintenant possible d'utiliser Sekey , qui est un agent SSH qui permet aux utilisateurs de s'authentifier auprès des serveurs SSH UNIX / Linux à l'aide de Secure Enclave.
la source
C'est quelque peu tangentiel à ma question d'origine, mais j'ai récemment utilisé et ressemble beaucoup à Krypton , ce qui me donne quelque chose comme le déverrouillage TouchID. Cette solution stocke la clé SSH sur l'enclave sécurisée de mon téléphone, et mon ordinateur et mon téléphone négocient via Bluetooth lorsque j'utilise la clé. Je reçois une fenêtre de confirmation sur le téléphone et je réponds après l'avoir déverrouillé .
Donc! Je peux faire quelque chose qui fonctionne de la même manière, mais qui est (je pense) un peu plus sûr que de stocker la clé sur mon ordinateur portable (même avec une phrase secrète), bien mieux que de la laisser déchiffrée dans mon trousseau, et très utilisable pour démarrer.
Il fonctionne également comme un deuxième facteur U2F pour les services Web, à l'aide d'un plug-in de navigateur.
la source
Vous pouvez facilement écrire un wrapper pour traduire les appels touchid en ssh et vice versa. Traduire encore plus une correspondance possible en une séquence de plages (pensez à une peinture proche mais incomplète) - pas de magie là-bas. J'ai utilisé l'appareil photo pour ça avant quand touchid semblait être une fonction tricordeur de star trek :-)
Essayez de créer une telle application vous-même, une bonne motivation pour apprendre Swift! Apple a de bons doc autour de tous ses SDK, donc après la douleur initiale de Xcode, vous pouvez le faire en quelques jours.
Semble être une bonne idée d'utiliser l'exploit. même quand tout le monde vous parlera de milliards de risques de sécurité possibles, eh bien, possibles (comme beaucoup d'autres choses). Cependant, vous aurez besoin d'un compte de développeur (99 $ / an ...), car les applications auto-signées ne peuvent pas accéder à toutes les fonctionnalités des SDK macOS, touchID n'est (éventuellement) pas accessible sans signature.
la source