OPKSSH erleichtert SSH mit Single-Sign-On-Technologien

OPKSSH erleichtert SSH mit Single-Sign-On-Technologien wie OpenID Connect, wodurch SSH-Tasten manuell verwaltet und konfiguriert werden müssen.

OPKSSH is a project that makes it easy to SSH with single sign-on (SSO) technologies like OpenID Connect (OIDC), removing the need to manually manage and configure SSH keys. It does this without adding a trusted party other than your identity provider (IdP). We are excited to announce that OPKSSH has been open-sourced under the umbrella of the OpenPubkey project. While the underlying protocol OpenPubkey became an open source Linux foundation project in 2023, OPKSSH was closed source and owned by BastionZero (now Cloudflare). Cloudflare has gifted this code to the OpenPubkey project, making it open source.

OPKSSH ist ein Projekt, das es mit Single-Sign-SSO (SSO) -Technologien wie OpenID Connect (OIDC) einfach zu SSH (OIDC) erleichtert. Dies geschieht, ohne eine andere vertrauenswürdige Partei als Ihren Identitätsanbieter (IDP) hinzuzufügen. Wir freuen uns, Ihnen mitteilen zu können, dass OPKSSH unter dem Dach des OpenPubkey-Projekts Open-Souring wurde. Während das zugrunde liegende Protokoll OpenPubkey im Jahr 2023 zum Open Source Linux Foundation -Projekt wurde, war OPKSSH geschlossen und gehörte BastionZero (jetzt Cloudflare). CloudFlare hat diesen Code an das OpenPubkey -Projekt geschenkt, wodurch es Open Source ist.

In this post, we describe what OPKSSH is, how it simplifies SSH management, and what OPKSSH being open source means for you.

In diesem Beitrag beschreiben wir, was Opkssh ist, wie es das SSH -Management vereinfacht und was OpkSsh ist, dass Open Source für Sie bedeutet.

Background

Hintergrund

A cornerstone of modern access control is single sign-on (SSO), where a user authenticates to an identity provider (IdP), and in response the IdP issues the user a token. The user can present this token to prove their identity, such as "Google says I am Alice". SSO is the rare security technology that both increases convenience - users only need to sign in once to get access to many different systems - and increases security.

Ein Eckpfeiler der modernen Zugriffskontrolle ist Single Sign-On (SSO), bei dem ein Benutzer einen IDP (IDP) mit Identitätsanbieter (IDP) authentifiziert und der IDP den Benutzer ein Token ausgibt. Der Benutzer kann dieses Token präsentieren, um seine Identität zu beweisen, wie "Google sagt, ich bin Alice". SSO ist die seltene Sicherheitstechnologie, die die Bequemlichkeit erhöht - Benutzer müssen sich nur anmelden, um Zugriff auf viele verschiedene Systeme zu erhalten - und die Sicherheit zu erhöhen.

OpenID Connect

OpenID Connect (OIDC) is the main protocol used for SSO. As shown below, in OIDC the IdP, called an OpenID Provider (OP), issues the user an ID Token which contains identity claims about the user, such as "email is alice@example.com". These claims are digitally signed by the OP, so anyone who receives the ID Token can check that it really was issued by the OP.

OpenID Connect (OIDC) ist das Hauptprotokoll für SSO. Wie unten gezeigt, gibt in OIDC den IDP, der als OpenID -Anbieter (OP) bezeichnet wird, dem Benutzer ein ID -Token aus, das Identitätsansprüche über den Benutzer enthält, z. B. "E -Mail ist alice@example.com". Diese Behauptungen werden vom OP digital unterzeichnet, sodass jeder, der den ID -Token erhält, überprüfen kann, dass es wirklich vom OP ausgestellt wurde.

Unfortunately, while ID Tokens do include identity claims like name, organization, and email address, they do not include the user's public key. This prevents them from being used to directly secure protocols like SSH or End-to-End Encrypted messaging.

Während ID -Token Identitätsansprüche wie Name, Organisation und E -Mail -Adresse enthalten, enthalten sie leider den öffentlichen Schlüssel des Benutzers nicht. Dies verhindert, dass sie verwendet werden, um Protokolle wie SSH oder End-to-End-Verschlüsselung direkt zu sichern.

Note that throughout this post we use the term OpenID Provider (OP) rather than IdP, as OP specifies the exact type of IdP we are using, i.e., an OpenID IdP. We use Google as an example OP, but OpenID Connect works with Google, Azure, Okta, etc.

Beachten Sie, dass wir in diesem Beitrag den Begriff OpenID -Anbieter (OP) anstelle von IDP verwenden, da OP den genauen Typ von IDP angibt, den wir verwenden, dh ein OpenID -IDP. Wir verwenden Google als Beispiel OP, aber OpenID Connect funktioniert mit Google, Azure, Okta usw.

Figure 1: Shows a user Alice signing in to Google using OpenID Connect and receiving an ID Token

Abbildung 1: Zeigt eine Benutzer, die Alice mit OpenID Connect bei Google anmeldet und ein ID -Token empfängt

OpenPubkey

OpenPubkey, shown below, adds public keys to ID Tokens. This enables ID Tokens to be used like certificates, e.g. "Google says alice@example.com is using public key 0x123." We call an ID token that contains a public key a PK Token. The beauty of OpenPubkey is that, unlike other approaches, OpenPubkey does not require any changes to existing SSO protocols and supports any OpenID Connect compliant OP.

OpenPubkey, das unten gezeigt ist, fügt ID -Token öffentliche Schlüssel hinzu. Auf diese Weise können ID -Token wie Zertifikate verwendet werden, z. B. "Google sagt alice@example.com, verwendet den öffentlichen Schlüssel 0x123." Wir nennen einen ID -Token, der einen öffentlichen Schlüssel ein PK -Token enthält. Das Schöne von OpenPubkey ist, dass OpenPubkey im Gegensatz zu anderen Ansätzen keine Änderungen an vorhandenen SSO -Protokollen erfordert und jegliche OpenID -Konnektions -konforme OP unterstützt.

Figure 2: Shows a user Alice signing in to Google using OpenID Connect/OpenPubkey and then producing a PK Token

Abbildung 2: Zeigt eine Benutzer, die Alice bei Google mit OpenID Connect/OpenPubkey anmeldet und dann einen PK -Token erzeugt

While OpenPubkey enables ID Tokens to be used as certificates, OPKSSH extends this functionality so that these ID Tokens can be used as SSH keys in the SSH protocol. This adds SSO authentication to SSH without requiring changes to the SSH protocol.

Während OpenPubkey ID -Token als Zertifikate ermöglicht, erweitert OPKSSH diese Funktionalität so, dass diese ID -Token als SSH -Tasten im SSH -Protokoll verwendet werden können. Dies fügt SSH SSH zu SSO -Authentifizierung hinzu, ohne Änderungen am SSH -Protokoll zu erfordern.

Why this matters

Warum ist das wichtig

OPKSSH frees users and administrators from the need to manage long-lived SSH keys, making SSH more secure and more convenient.

Opkssh befreit Benutzer und Administratoren von der Notwendigkeit, langlebige SSH-Tasten zu verwalten, wodurch SSH sicherer und bequemer wird.

"In many organizations - even very security-conscious organizations - there are many times more obsolete authorized keys than they have employees. Worse, authorized keys generally grant command-line shell access, which in itself is often considered privileged. We have found that in many organizations about 10% of the authorized keys grant root or administrator access. SSH keys never expire." - Challenges in Managing SSH Keys - and a Call for Solutions by Tatu Ylonen (Inventor of SSH)

"In vielen Organisationen - sogar sehr sicherheitsbewussten Organisationen - gibt es um ein Vielfaches veraltete autorisierte Schlüssel als Mitarbeiter. Schlimmer noch, autorisierte Schlüssel, die im Allgemeinen Befehlszeilen -Shell -Zugriff aufweisen, die an sich häufig als privilegiert angesehen werden. Wir haben festgestellt, dass in vielen Organisationen etwa 10% der autorisierten Schlüsseln den Wurzel- oder den Administratorzugriff. SSH -Schlüssel limig." - Herausforderungen bei der Verwaltung von SSH -Schlüsseln - und einen Aufruf zur Lösungen von Tatu Ylonen (Erfinder von SSH)

In SSH, users generate a long-lived SSH public key and SSH private key. To enable a user to access a server, the user or the administrator of that server configures that server to trust that user's public key. Users must protect the file containing their SSH private key. If the user loses this file, they are locked out. If they copy their SSH private key to multiple computers or backup the key, they increase the risk that the key will be compromised. When a private key is compromised or a user no longer needs access, the user or administrator must remove that public key from any servers it currently trusts. All of these problems create headaches for users and administrators.

In SSH generieren Benutzer einen langlebigen SSH-öffentlichen Schlüssel und einen privaten SSH-Schlüssel. Damit ein Benutzer auf einen Server zugreifen kann, konfiguriert der Benutzer oder der Administrator dieses Servers diesen Server, um dem öffentlichen Schlüssel dieses Benutzers zu vertrauen. Benutzer müssen die Datei mit dem privaten SSH -Schlüssel schützen. Wenn der Benutzer diese Datei verliert, sind er gesperrt. Wenn sie ihren privaten SSH -Schlüssel auf mehrere Computer kopieren oder den Schlüssel sichern, erhöhen sie das Risiko, dass der Schlüssel kompromittiert wird. Wenn ein privater Schlüssel kompromittiert wird oder ein Benutzer keinen Zugriff mehr benötigt, muss der Benutzer oder Administrator diesen öffentlichen Schlüssel von Servern, dem er derzeit vertraut, entfernen. All diese Probleme erzeugen Kopfschmerzen für Benutzer und Administratoren.

OPKSSH overcomes these issues:

Opkssh überwindet diese Probleme:

Improved security: OPKSSH replaces long-lived SSH keys with ephemeral SSH keys that are created on-demand by OPKSSH and expire when they are no longer needed. This reduces the risk a private key is compromised, and limits the time period where an attacker can use a compromised private key. By default, these OPKSSH public keys expire every 24 hours, but the expiration

Verbesserte Sicherheit: OPKSSH ersetzt langlebige SSH-Tasten durch kurzlebige SSH-Tasten, die von Opkssh on-Demand erzeugt werden und verfallen, wenn sie nicht mehr benötigt werden. Dies verringert das Risiko, dass ein privater Schlüssel beeinträchtigt wird, und begrenzt den Zeitraum, in dem ein Angreifer einen gefährdeten privaten Schlüssel verwenden kann. Standardmäßig sind diese opkssh -öffentlichen Schlüssel alle 24 Stunden ab, aber der Ablauf