Aquí hay excelentes noticias para los administradores de sistemas. Ahora puede usar una clave de seguridad física como autenticación de dos factores basada en hardware para iniciar sesión de forma segura en un sistema remoto a través del protocolo SSH.
OpenSSH, una de las implementaciones de código abierto más utilizadas del protocolo Secure Shell (SSH), anunció ayer la versión 8.2 del software que incluye principalmente dos nuevas mejoras de seguridad significativas.
Primero, OpenSSH 8.2 agregó soporte para autenticadores de hardware FIDO / U2F, y segundo, ha desaprobado el algoritmo de firma de clave pública SSH-RSA y planeó deshabilitarlo de forma predeterminada en las futuras versiones del software.
Los dispositivos de seguridad de hardware basados en el protocolo FIDO (Fast Identity Online) son mecanismos más fuertes e infalibles para la autenticación porque permiten la criptografía de clave pública para proteger contra malware avanzado, phishing y ataques de intermediarios.
«En OpenSSH, los dispositivos FIDO son compatibles con los nuevos tipos de claves públicas ‘ecdsa-sk’ y ‘ed25519-en’, junto con los tipos de certificados correspondientes», dice la nota de lanzamiento de OpenSSH 8.2.
«Los tokens FIDO se conectan más comúnmente a través de USB, pero se pueden conectar a través de otros medios, como Bluetooth o NFC. En OpenSSH, la comunicación con el token se administra a través de una biblioteca de software intermedio».
El equipo de OpenSSH introdujo por primera vez la compatibilidad con U2F/FIDO como característica experimental en noviembre de 2019, que se basaba en el mismo middleware para libfido2 de Yubico que es capaz de comunicarse con cualquier token USB HID U2F o FIDO2 estándar.
Una clave de seguridad física agrega una capa adicional de autenticación a una cuenta además de su contraseña, y los usuarios pueden iniciar sesión rápidamente en sus cuentas de forma segura simplemente insertando la clave de seguridad USB y presionando un botón.
Eso significa que, incluso si los atacantes logran infectar su computadora o de alguna manera robar su contraseña SSH, no podrán acceder al sistema remoto a través de SSH sin presentar la clave de seguridad física.
Además de esto, el anuncio de desaprobar el algoritmo de firma de clave pública SSH-RSA también es importante porque el algoritmo hash SHA-1 es lento y potencialmente inseguro y se puede descifrar fácilmente con menos recursos que nunca.
«Desafortunadamente, este algoritmo todavía se usa ampliamente a pesar de la existencia de mejores alternativas, siendo el único algoritmo de firma de clave pública restante especificado por los SSH RFC originales».
«Una versión futura de OpenSSH habilitará UpdateHostKeys de forma predeterminada para permitir que el cliente migre automáticamente a mejores algoritmos. Los usuarios pueden considerar habilitar esta opción manualmente».
Si no lo sabe, OpenSSH el año pasado también introdujo otra característica de seguridad que cifra las claves privadas antes de almacenarlas en la memoria del sistema, protegiéndola contra casi todos los tipos de ataques de canal lateral.
Puede encontrar más información sobre la última versión y una guía sobre cómo generar claves de seguridad de hardware con OpenSSH en las notas de la versión.
