Authentification SSH à l'aide de la biométrie

7

J'utilise PuTTY pour accéder à mon serveur via SSH. En raison de la complexité du mot de passe de ma clé privée, j'ai toutefois décidé d'envisager d'utiliser d'autres méthodes d'authentification, telles que la biométrie, plus spécifiquement les empreintes digitales.

J'ai cherché comment faire une telle chose, mais il semble que personne n'a jamais compris comment le faire auparavant. Puisque j'utilise Windows 7, il y a une certaine intégration entre le pilote du scanner d'empreintes digitales et Windows lui-même (Windows accepte les empreintes digitales comme méthode officielle d'authentification).

Ce que je voudrais faire, c'est déverrouiller la clé privée SSH de mon ordinateur portable en fournissant mon empreinte digitale, et la clé privée déverrouillée peut ensuite être transmise au serveur via SSH pour me connecter (comme d'habitude).

Le programme d'empreintes digitales que j'utilise me permet de sauvegarder les mots de passe des sites, mais c'est un programme abandonné d'AuthenTec. C'est également le seul programme pris en charge par mon pilote d'empreintes digitales (également d'AuthenTec).

Comment puis-je mener à bien une telle entreprise? Ou ne vaut-il simplement pas la peine?

oldmud0
la source
Vous devez modifier le serveur SSH et le client SSH pour y parvenir. Si votre appareil d'empreintes digitales ne prend en charge qu'un seul programme, il est temps d'obtenir un nouvel appareil, étant donné qu'il n'est plus pris en charge ..
Ramhound
@Ramhound Il est intégré à l'ordinateur portable. Pas moyen de simplement le remplacer.
oldmud0
Je suppose que l'ordinateur portable dispose de ports USB. Vous pouvez le remplacer si vous le souhaitez. Vous devez d'abord trouver une implémentation de SSH qui prend même en charge ce que vous voulez faire.
Ramhound
1
Je n'ai pas de lecteur externe et je n'envisage pas d'en obtenir un. Ils sont très chers et je n'ai pas d'argent à jeter. Leur intégration n'est pas meilleure et risque tout autant de devenir obsolète dans cinq ans. De plus, je ne veux pas intégrer les données d'empreintes digitales dans le protocole SSH lui-même. Je veux juste déverrouiller cette clé privée RSA / DSA avec une empreinte digitale afin de pouvoir l'utiliser pour SSH.
oldmud0
2
Ce message sur les empreintes digitales pour l'authentification est pertinent et mérite d'être lu / envisagé.
Castaglia

Réponses:

1

Cela ressemble à une expérience vraiment intéressante. Toutes les pièces sont disponibles, même si je ne connais personne qui les ait assemblées. Tout d'abord, j'utiliserais l'approche du consortium biométrique x.509 .

En fait, ce que vous allez faire est de créer une clé privée qui est cryptée à l'aide d'une clé générée à partir de votre empreinte digitale; puis en utilisant cette clé, une fois déchiffrée, comme clé privée standard x.509. Cela signifie que vous n'aurez pas besoin de modifier OpenSSH autant que de fournir une méthode personnalisée pour lui fournir la clé privée.

Malheureusement, prêt à l'emploi, OpenSSH ne prend pas en charge l'authentification x.509. Mais Roumen Petrov a corrigé cela ici .

J'ai fait les deux choses indépendamment et elles fonctionnent à merveille - je n'ai pas essayé de les coller ensemble cependant. Je suppose, comme vous le faites allusion, que cela ne vaut peut-être pas la peine.

Richard Vodden
la source