Kann Touch ID einen persönlichen SSH-Schlüssel entsperren?

15

Kann ich mit dem Touch ID-Fingerabdruckleser meinen SSH-Schlüssel entsperren?

Ich besitze ein MacBook Pro mit Touch Bar und habe derzeit eine herkömmliche Passphrase für meinen SSH-Schlüssel.

Mir ist aufgefallen, dass ich am 10.12 keinen Systemdialog bekomme, in dem ich nach meiner Passphrase gefragt werde. Das ist wahrscheinlich nicht der Fall, aber wenn ich das könnte, wäre es ERSTAUNLICH.

Nate
quelle

Antworten:

14

Update :

Eine Möglichkeit besteht darin, Ihren privaten SSH-Schlüssel zu macOS Keychain hinzuzufügen und anschließend TouchID für die Schlüsselbundauthentifizierung zu verwenden. Sie werden es verwenden wollen ssh-add -K ~/.ssh/[your-private-key]- unter macOS 10.12 Sierra muss die Funktion jedoch durch Bearbeiten, Bearbeiten ~/.ssh/configund Hinzufügen aktiviert werden :

Host * (asterisk for all hosts or add specific host)
   AddKeysToAgent yes
   UseKeychain yes
   IdentityFile <key> (e.g. ~/.ssh/userKey)

Für Details lesen Sie:

  1. Fügen Sie Ihren privaten Schlüssel dauerhaft zum Schlüsselbund hinzu, damit er automatisch für SSH verfügbar ist
  2. Speichern von SSH-Schlüsseln im macOS Sierra-Schlüsselbund

Original :

Gegenwärtig ist das Entsperren eines SSH-Schlüssels mit TouchID für macOS nicht möglich .

  1. Das Xcode-Projekt sudo-touchid zeigt, wie eine Befehlszeilenanwendung erstellt wird, die TouchID-fähig ist und ein Failover auf ein Kennwortdialogfeld durchführt. Es läuft auf dem 2016 MacBook Pro mit Touch Bar. Es ist jedoch sudonicht für ssh. Dies zeigt, dass die Idee technisch machbar ist.
  2. Der Prompt 2 SSH-Client unterstützt TouchID - für iOS, nicht für macOS. Dies weist darauf hin, dass vergleichbare Anwendungen möglicherweise von kommerziellen Entwicklern angeboten werden.
  3. Ein Entwickler online hat vor ein paar Monaten ein ssh touchid-Wrapper- Projekt gestartet - obwohl es sich um einen leeren Projektstub handelt. Dies weist darauf hin, dass andere möglicherweise eine ähnliche Frage stellen wie Sie.
JeremyDouglass
quelle
3
Können Sie näher erläutern, wie Sie "Touch ID für die Schlüsselbundauthentifizierung verwenden"? Wenn ich Ihren Schritten folge, werde ich nicht aufgefordert, mich überhaupt zu authentifizieren.
Dienstag,
2

Jetzt ist es möglich, Sekey zu verwenden , einen SSH-Agenten, mit dem Benutzer sich mit der Secure Enclave bei UNIX / Linux-SSH-Servern authentifizieren können.

Douglas Soares de Andrade
quelle
0

Dies ist etwas tangential zu meiner ursprünglichen Frage, aber ich habe in letzter Zeit Krypton verwendet und sehr ähnlich , was mir etwas wie das Entsperren von TouchID gibt. Diese Lösung speichert den SSH-Schlüssel in der sicheren Enklave meines Telefons, und Computer und Telefon verhandeln über Bluetooth, wenn ich den Schlüssel verwende. Ich erhalte ein Bestätigungs-Popup auf dem Telefon und antworte, nachdem ich das entsperrt habe.

So! Ich kann etwas tun, das ähnlich funktioniert, aber (glaube ich) etwas sicherer ist als das Speichern des Schlüssels auf meinem Laptop (auch mit einer Passphrase), ziemlich definitiv besser als das Entschlüsseln in meinem Schlüsselbund und sehr nützlich zum Booten.

Es funktioniert auch als zweiter U2F-Faktor für Webdienste mithilfe eines Browser-Plugins.

Nate
quelle
-2

Sie könnten leicht einen Wrapper schreiben, um berührungsempfindliche Anrufe in ssh und wieder zurück zu übersetzen. Noch weiter übersetze eine mögliche Übereinstimmung in eine Bereichssequenz (denke genau, aber unvollständige Malerei) - keine Magie da. Ich habe die Kamera vorher benutzt, als touchid wie ein Tricorder-Feature von Star Trek wirkte :-)

Versuchen Sie, eine solche App selbst zu machen, eine gute Motivation, Swift zu lernen! Apple hat gute Dokumente in all seinen SDKs, so dass Sie es nach anfänglichen Problemen mit Xcode in wenigen Tagen tun können.

Scheint eine gute Idee zu sein, das Kunststück zu benutzen. selbst wenn Ihnen jeder von Millionen möglichen Sicherheitsrisiken erzählen wird, die durchaus möglich sind (wie viele andere Dinge). Sie benötigen jedoch einen Entwickler-Account (99 $ / Jahr ...), da selbstsignierte Apps nicht auf alle Funktionen des macOS SDK zugreifen können, ist touchID (möglicherweise) nicht ohne Signierung verfügbar.

PJJ
quelle