OpenSSH Certificates

Speaker:

Michael Ströder (IT-Berater) / Homepage

Scheduled time: Saturday, 12:00 , Room V4

Wir alle lieben SSH! Und wir verwenden brav Benutzerschlüssel, installiert als sogenannte »authorized keys«. Allerdings verleiten gut gemeinte Anleitungen im Internet zu einer bequemen, aber eher fragwürdigen Nutzung von Schlüsseln.

Es stellen sich folgende Fragen: Wie werden private Schlüssel sicher gespeichert? Smartcards nutzen? Wie funktioniert die Nutzung auf mehreren Clients und Gateways? Wie wird die Authentizität der öffentlichen Schlüssel gewährleistet? Wie werden obsolete Schlüssel zuverlässig wieder entfernt?

Eine Lösung sind nur kurzzeitig gültige SSH-Schlüsselzertifikate, welche einem Benutzer nach erfolgreicher Mehrfaktor-Authentifizierung ausgestellt werden. Eine solche Implementierung wird vorgestellt und erläutert, warum eine Nutzung von Smartcards nicht geeignet ist. Ferner wird dargestellt, wie man SSH-Host-Zertifikate ausstellt und nutzt, um das Problem mit client-seitigen »known hosts« sicherer zu lösen.

Website: https://ekca.stroeder.com

Desired previous knowledge: Grundkenntnisse Unix/Linux und SSH-Nutzung

Supplemental material: Slides (317 KiB)

Audio recording: