opksshは、シングルサインオンテクノロジーでSSHを簡単にすることができます

OPKSSHを使用すると、OpenID ConnectなどのシングルサインオンテクノロジーでSSHを簡単に使用でき、SSHキーを手動で管理および構成する必要性を削除できます。

OPKSSH is a project that makes it easy to SSH with single sign-on (SSO) technologies like OpenID Connect (OIDC), removing the need to manually manage and configure SSH keys. It does this without adding a trusted party other than your identity provider (IdP). We are excited to announce that OPKSSH has been open-sourced under the umbrella of the OpenPubkey project. While the underlying protocol OpenPubkey became an open source Linux foundation project in 2023, OPKSSH was closed source and owned by BastionZero (now Cloudflare). Cloudflare has gifted this code to the OpenPubkey project, making it open source.

OPKSSHは、SSHキーを手動で管理および構成する必要性を削除するために、OpenID Connect（OIDC）などのシングルサインオン（SSO）テクノロジーでSSHを簡単にSSHできるようにするプロジェクトです。これは、IDプロバイダー（IDP）以外の信頼できる当事者を追加せずに行います。 OpkSSHがOpenPubkeyプロジェクトの傘下でオープンソースを受けていることを発表できることを楽しみにしています。基礎となるプロトコルOpenPubkeyは2023年にオープンソースLinux Foundationプロジェクトになりましたが、Opksshは閉鎖されたソースであり、Bastionzero（現在のCloudFlare）が所有していました。 CloudFlareは、このコードをOpenPubkeyプロジェクトに贈り、オープンソースにしています。

In this post, we describe what OPKSSH is, how it simplifies SSH management, and what OPKSSH being open source means for you.

この投稿では、OPKSSHとは何か、SSH管理をどのように単純化するか、オープンソースであることがあなたにとって何を意味するかを説明します。

Background

背景

A cornerstone of modern access control is single sign-on (SSO), where a user authenticates to an identity provider (IdP), and in response the IdP issues the user a token. The user can present this token to prove their identity, such as "Google says I am Alice". SSO is the rare security technology that both increases convenience - users only need to sign in once to get access to many different systems - and increases security.

最新のアクセス制御の基礎は、シングルサインオン（SSO）で、ユーザーがIDプロバイダー（IDP）に認証し、IDPがユーザーにトークンを発行します。ユーザーは、このトークンを提示して、「GoogleはAlice Am Alice」などのアイデンティティを証明できます。 SSOは、利便性を高める珍しいセキュリティテクノロジーです。ユーザーは、多くの異なるシステムにアクセスするためにサインインするだけで、セキュリティが増加します。

OpenID Connect

OpenID Connect (OIDC) is the main protocol used for SSO. As shown below, in OIDC the IdP, called an OpenID Provider (OP), issues the user an ID Token which contains identity claims about the user, such as "email is alice@example.com". These claims are digitally signed by the OP, so anyone who receives the ID Token can check that it really was issued by the OP.

OpenID Connect（OIDC）は、SSOに使用される主なプロトコルです。以下に示すように、OIDCでは、OpenIDプロバイダー（OP）と呼ばれるIDPで、「電子メールはalice@example.com」など、ユーザーに関するIDトークンをユーザーに発行します。これらのクレームはOPによってデジタル的に署名されているため、IDトークンを受け取った人なら誰でも、それが実際にOPによって発行されたことを確認できます。

Unfortunately, while ID Tokens do include identity claims like name, organization, and email address, they do not include the user's public key. This prevents them from being used to directly secure protocols like SSH or End-to-End Encrypted messaging.

残念ながら、IDトークンには名前、組織、電子メールアドレスなどのIDクレームが含まれていますが、ユーザーの公開キーは含まれていません。これにより、SSHやエンドツーエンドの暗号化されたメッセージングなどのプロトコルを直接固定するために使用されなくなります。

Note that throughout this post we use the term OpenID Provider (OP) rather than IdP, as OP specifies the exact type of IdP we are using, i.e., an OpenID IdP. We use Google as an example OP, but OpenID Connect works with Google, Azure, Okta, etc.

この投稿全体で、OPが使用しているIDPの正確なタイプ、つまりOpenID IDPを指定するため、IDPではなくOpenIDプロバイダー（OP）という用語を使用していることに注意してください。 Googleを例として使用していますが、OpenID ConnectはGoogle、Azure、Oktaなどで動作します。

Figure 1: Shows a user Alice signing in to Google using OpenID Connect and receiving an ID Token

図1：OpenID Connectを使用してGoogleにサインインするユーザーAliceがIDトークンを受信して​​いることを示しています

OpenPubkey

OpenPubkey, shown below, adds public keys to ID Tokens. This enables ID Tokens to be used like certificates, e.g. "Google says alice@example.com is using public key 0x123." We call an ID token that contains a public key a PK Token. The beauty of OpenPubkey is that, unlike other approaches, OpenPubkey does not require any changes to existing SSO protocols and supports any OpenID Connect compliant OP.

以下に示すOpenPubkeyは、IDトークンにパブリックキーを追加します。これにより、IDトークンは証明書のように使用できます。たとえば、「Googleはalice@example.comが公開キー0x123を使用していると言います。」公開キーを含むIDトークンをPKトークンと呼びます。 OpenPubkeyの美しさは、他のアプローチとは異なり、OpenPubkeyは既存のSSOプロトコルに変更を必要とせず、OpenID Connect Compliant Opをサポートすることです。

Figure 2: Shows a user Alice signing in to Google using OpenID Connect/OpenPubkey and then producing a PK Token

図2：OpenID Connect/OpenPubkeyを使用してGoogleにサインインするユーザーAliceがGoogleにサインインし、PKトークンを作成することを示しています

While OpenPubkey enables ID Tokens to be used as certificates, OPKSSH extends this functionality so that these ID Tokens can be used as SSH keys in the SSH protocol. This adds SSO authentication to SSH without requiring changes to the SSH protocol.

OpenPubkeyはIDトークンを証明書として使用できるようにしますが、OPKSSHはこの機能を拡張して、これらのIDトークンをSSHプロトコルのSSHキーとして使用できるようにします。これにより、SSHプロトコルの変更を必要とせずにSSHにSSO認証が追加されます。

Why this matters

なぜこれが重要なのか

OPKSSH frees users and administrators from the need to manage long-lived SSH keys, making SSH more secure and more convenient.

OPKSSHは、長命のSSHキーを管理する必要性からユーザーと管理者を解放し、SSHをより安全で便利にします。

"In many organizations - even very security-conscious organizations - there are many times more obsolete authorized keys than they have employees. Worse, authorized keys generally grant command-line shell access, which in itself is often considered privileged. We have found that in many organizations about 10% of the authorized keys grant root or administrator access. SSH keys never expire." - Challenges in Managing SSH Keys - and a Call for Solutions by Tatu Ylonen (Inventor of SSH)

「非常にセキュリティ志向の組織でさえ、多くの組織でも、従業員がいるよりも多くの廃止された鍵があります。さらに悪いことに、認定された鍵は一般にコマンドラインシェルアクセスを付与します。 - SSHキーの管理における課題 - およびTatu Ylonen（SSHの発明者）によるソリューションの呼びかけ）

In SSH, users generate a long-lived SSH public key and SSH private key. To enable a user to access a server, the user or the administrator of that server configures that server to trust that user's public key. Users must protect the file containing their SSH private key. If the user loses this file, they are locked out. If they copy their SSH private key to multiple computers or backup the key, they increase the risk that the key will be compromised. When a private key is compromised or a user no longer needs access, the user or administrator must remove that public key from any servers it currently trusts. All of these problems create headaches for users and administrators.

SSHでは、ユーザーは長寿命のSSH公開キーとSSH秘密キーを生成します。ユーザーがサーバー、ユーザー、またはそのサーバーの管理者にアクセスできるようにするには、そのサーバーを設定して、そのユーザーの公開キーを信頼します。ユーザーは、SSH秘密キーを含むファイルを保護する必要があります。ユーザーがこのファイルを失った場合、それらはロックアウトされます。 SSHの秘密鍵を複数のコンピューターにコピーしたり、キーをバックアップしたりすると、キーが侵害されるリスクが高まります。秘密鍵が侵害されたり、ユーザーがアクセスを必要としなくなった場合、ユーザーまたは管理者は、現在信頼しているサーバーからその公開キーを削除する必要があります。これらの問題はすべて、ユーザーと管理者に頭痛を引き起こします。

OPKSSH overcomes these issues:

opksshはこれらの問題を克服します：

Improved security: OPKSSH replaces long-lived SSH keys with ephemeral SSH keys that are created on-demand by OPKSSH and expire when they are no longer needed. This reduces the risk a private key is compromised, and limits the time period where an attacker can use a compromised private key. By default, these OPKSSH public keys expire every 24 hours, but the expiration

改善されたセキュリティ：OPKSSHは、長寿命のSSHキーを、OPKSSHによってオンデマンドで作成され、不要になったときに期限切れになった短命SSHキーに置き換えます。これにより、秘密鍵が侵害されるリスクが減り、攻撃者が侵害された秘密鍵を使用できる期間を制限します。デフォルトでは、これらのopksshパブリックキーは24時間ごとに期限切れになりますが、有効期限が切れます