OpksSh facilite la SSH avec des technologies de connexion unique

OPSSSSh facilite SSH avec des technologies de connexion unique comme OpenID Connect, supprimant ainsi la nécessité de gérer et de configurer manuellement les touches SSH.

OPKSSH is a project that makes it easy to SSH with single sign-on (SSO) technologies like OpenID Connect (OIDC), removing the need to manually manage and configure SSH keys. It does this without adding a trusted party other than your identity provider (IdP). We are excited to announce that OPKSSH has been open-sourced under the umbrella of the OpenPubkey project. While the underlying protocol OpenPubkey became an open source Linux foundation project in 2023, OPKSSH was closed source and owned by BastionZero (now Cloudflare). Cloudflare has gifted this code to the OpenPubkey project, making it open source.

OPSSSH est un projet qui facilite la SSH avec les technologies de connexion unique (SSO) comme OpenID Connect (OIDC), en supprimant la nécessité de gérer et de configurer manuellement les clés SSH. Il le fait sans ajouter une partie de confiance autre que votre fournisseur d'identité (IDP). Nous sommes ravis d'annoncer qu'Opkssh a été open source sous l'égide du projet OpenPubkey. Alors que le protocole sous-jacent OpenPubkey est devenu un projet de fondation Linux open source en 2023, Opkssh a été fermé à source et détenue par Bastionzero (maintenant CloudFlare). CloudFlare a offert ce code au projet OpenPubKey, ce qui le rend open source.

In this post, we describe what OPKSSH is, how it simplifies SSH management, and what OPKSSH being open source means for you.

Dans cet article, nous décrivons ce qu'est l'OPSSSS, comment il simplifie la gestion SSH et ce que signifie être open source pour vous.

Background

Arrière-plan

A cornerstone of modern access control is single sign-on (SSO), where a user authenticates to an identity provider (IdP), and in response the IdP issues the user a token. The user can present this token to prove their identity, such as "Google says I am Alice". SSO is the rare security technology that both increases convenience - users only need to sign in once to get access to many different systems - and increases security.

Une pierre angulaire du contrôle d'accès moderne est une connexion unique (SSO), où un utilisateur s'authentifie à un fournisseur d'identité (IDP), et en réponse, l'IDP émet l'utilisateur un jeton. L'utilisateur peut présenter ce jeton pour prouver son identité, comme "Google dit que je suis Alice". SSO est la technologie de sécurité rare qui augmente la commodité - les utilisateurs n'ont besoin de se connecter qu'une seule fois pour accéder à de nombreux systèmes différents - et augmente la sécurité.

OpenID Connect

OpenID Connect (OIDC) is the main protocol used for SSO. As shown below, in OIDC the IdP, called an OpenID Provider (OP), issues the user an ID Token which contains identity claims about the user, such as "email is alice@example.com". These claims are digitally signed by the OP, so anyone who receives the ID Token can check that it really was issued by the OP.

OpenID Connect (OIDC) est le protocole principal utilisé pour SSO. Comme indiqué ci-dessous, dans OIDC, l'IDP, appelé un fournisseur OpenID (OP), émet l'utilisateur un jeton ID qui contient des affirmations d'identité sur l'utilisateur, telles que "Email est Alice@example.com". Ces réclamations sont signées numériquement par l'OP, de sorte que toute personne qui reçoit le jeton ID peut vérifier qu'elle a vraiment été émise par l'OP.

Unfortunately, while ID Tokens do include identity claims like name, organization, and email address, they do not include the user's public key. This prevents them from being used to directly secure protocols like SSH or End-to-End Encrypted messaging.

Malheureusement, bien que les jetons ID incluent des réclamations d'identité comme le nom, l'organisation et l'adresse e-mail, ils n'incluent pas la clé publique de l'utilisateur. Cela les empêche d'être utilisés pour sécuriser directement des protocoles comme SSH ou la messagerie cryptée de bout en bout.

Note that throughout this post we use the term OpenID Provider (OP) rather than IdP, as OP specifies the exact type of IdP we are using, i.e., an OpenID IdP. We use Google as an example OP, but OpenID Connect works with Google, Azure, Okta, etc.

Notez que tout au long de cet article, nous utilisons le terme fournisseur OpenID (OP) plutôt que IDP, car OP spécifie le type exact d'IDP que nous utilisons, c'est-à-dire un IDP OpenID. Nous utilisons Google comme exemple OP, mais OpenID Connect fonctionne avec Google, Azure, Okta, etc.

Figure 1: Shows a user Alice signing in to Google using OpenID Connect and receiving an ID Token

Figure 1: montre un utilisateur Alice qui se connecte à Google à l'aide d'OpenId Connect et de recevoir un jeton ID

OpenPubkey

OpenPubkey, shown below, adds public keys to ID Tokens. This enables ID Tokens to be used like certificates, e.g. "Google says alice@example.com is using public key 0x123." We call an ID token that contains a public key a PK Token. The beauty of OpenPubkey is that, unlike other approaches, OpenPubkey does not require any changes to existing SSO protocols and supports any OpenID Connect compliant OP.

OpenPubKey, illustré ci-dessous, ajoute des clés publiques aux jetons ID. Cela permet aux jetons d'identification d'être utilisés comme des certificats, par exemple "Google dit qu'Alice@example.com utilise la clé publique 0x123". Nous appelons un jeton ID qui contient une clé publique un jeton PK. La beauté d'OpenPubkey est que, contrairement à d'autres approches, OpenPubkey ne nécessite aucune modification des protocoles SSO existants et prend en charge tout OP conforme à la connexion OpenID.

Figure 2: Shows a user Alice signing in to Google using OpenID Connect/OpenPubkey and then producing a PK Token

Figure 2: montre un utilisateur Alice se connectant à Google à l'aide d'OpenId Connect / OpenPubkey, puis de produire un jeton PK

While OpenPubkey enables ID Tokens to be used as certificates, OPKSSH extends this functionality so that these ID Tokens can be used as SSH keys in the SSH protocol. This adds SSO authentication to SSH without requiring changes to the SSH protocol.

Alors que OpenPubKey permet aux jetons ID d'être utilisés comme certificats, OPKSSH étend cette fonctionnalité afin que ces jetons ID puissent être utilisés comme clés SSH dans le protocole SSH. Cela ajoute une authentification SSO à SSH sans nécessiter de modifications au protocole SSH.

Why this matters

Pourquoi cela compte

OPKSSH frees users and administrators from the need to manage long-lived SSH keys, making SSH more secure and more convenient.

OPKSSH libère les utilisateurs et les administrateurs de la nécessité de gérer les clés SSH à longue durée de vie, ce qui rend SSH plus sécurisé et plus pratique.

"In many organizations - even very security-conscious organizations - there are many times more obsolete authorized keys than they have employees. Worse, authorized keys generally grant command-line shell access, which in itself is often considered privileged. We have found that in many organizations about 10% of the authorized keys grant root or administrator access. SSH keys never expire." - Challenges in Managing SSH Keys - and a Call for Solutions by Tatu Ylonen (Inventor of SSH)

"Dans de nombreuses organisations - même des organisations très soucieuses de la sécurité - il y a beaucoup plus de clés autorisées plus obsolètes qu'elles ont des employés. Pire, les clés autorisées accordent généralement un accès à la ligne de commande, qui en soi est souvent considéré comme privilégié. Nous avons constaté que dans de nombreuses organisations, environ 10% des clés autorisées accordent une racine ou un accès administrateur. - Défis dans la gestion des clés SSH - et un appel à des solutions de Tatu Ylonen (inventeur de SSH)

In SSH, users generate a long-lived SSH public key and SSH private key. To enable a user to access a server, the user or the administrator of that server configures that server to trust that user's public key. Users must protect the file containing their SSH private key. If the user loses this file, they are locked out. If they copy their SSH private key to multiple computers or backup the key, they increase the risk that the key will be compromised. When a private key is compromised or a user no longer needs access, the user or administrator must remove that public key from any servers it currently trusts. All of these problems create headaches for users and administrators.

Dans SSH, les utilisateurs génèrent une clé publique SSH à longue durée de vie et une clé privée SSH. Pour permettre à un utilisateur d'accéder à un serveur, l'utilisateur ou l'administrateur de ce serveur configure ce serveur pour faire confiance à la clé publique de cet utilisateur. Les utilisateurs doivent protéger le fichier contenant leur clé privée SSH. Si l'utilisateur perd ce fichier, il est verrouillé. S'ils copient leur clé privée SSH à plusieurs ordinateurs ou sauvegarde la clé, ils augmentent le risque que la clé soit compromise. Lorsqu'une clé privée est compromise ou qu'un utilisateur n'a plus besoin d'accès, l'utilisateur ou l'administrateur doit supprimer cette clé publique de tous les serveurs auxquels il a actuellement confiance. Tous ces problèmes créent des maux de tête pour les utilisateurs et les administrateurs.

OPKSSH overcomes these issues:

Opkssh surmonte ces problèmes:

Improved security: OPKSSH replaces long-lived SSH keys with ephemeral SSH keys that are created on-demand by OPKSSH and expire when they are no longer needed. This reduces the risk a private key is compromised, and limits the time period where an attacker can use a compromised private key. By default, these OPKSSH public keys expire every 24 hours, but the expiration

Sécurité améliorée: OPKSSH remplace les clés SSH à longue durée de vie par des clés SSH éphémères qui sont créées à la demande par OPKSSH et expirent lorsqu'elles ne sont plus nécessaires. Cela réduit le risque qu'une clé privée est compromise et limite la période où un attaquant peut utiliser une clé privée compromise. Par défaut, ces clés publiques OPSSSH expirent toutes les 24 heures, mais l'expiration