SSH Authentication with FIDO2

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

active

inactive

inactive

active

inactive

inactive

inactive

SSH (Secure Shell) is a network protocol used to securely access and manage remote systems such as servers or code repositories. It uses cryptographic key pairs for authentication, allowing passwordless logins with strong security.

With a Nitrokey, the private SSH key is generated and stored directly on the device, so it never leaves the hardware. Each login requires you to touch the Nitrokey, adding a simple physical confirmation that protects against unauthorized access. For example, when connecting to a server, GitLab, or GitHub.

Non-Discoverable Credentials

A nem felfedezhető hitelesítő azonosító az alapértelmezett hitelesítő azonosító típus, amely akkor jön létre, amikor a felhasználó regisztrálja a Nitrokey-t a FIDO2/WebAuthn-t támogató hitelesítési rendszerben. A hitelesítési rendszer tárolja a kulcskezelőt, míg a titkos kulcs biztonságosan a Nitrokeyben marad. Ez a konfiguráció nem használ tárhelyet a Nitrokey-n, és attól függ, hogy a hitelesítési rendszer adja-e meg a kulcskezelőt a bejelentkezés során. A Nitrokey FIDO2 PIN-kód ellenőrzi a Nitrokey-hez való hozzáférést, és engedélyezi a magánkulcsokkal végzett összes műveletet.

Discoverable Credentials

A felderíthető hitelesítő adatok közvetlenül a Nitrokey-n tárolódnak, beleértve a hitelesítéshez szükséges összes hitelesítő adatot és metaadatot. Ez lehetővé teszi, hogy a hitelesítő rendszer külső kulcskezelő megadása nélkül automatikusan megtalálja a hitelesítő okmányt, és lehetővé teszi a felhasználónév nélküli hitelesítést. A felderíthető hitelesítő adatokat a FIDO2 PIN-kód védi, amely engedélyezi a használatukat, és biztosítja, hogy csak az arra jogosult felhasználó férhessen hozzá. Minden egyes hitelesítő adat jellemzően néhány száz bájtnyi biztonságos tárhelyet foglal el. A hitelesítő adatok teljes száma a Nitrokey modelltől és a firmware verziójától függ, jellemzően 25 és 100 bejegyzés között van.

Generating SSH Key

  1. Insert the Nitrokey into your computer.

  2. Open a terminal and create your SSH key. Replace "your_comment" with a label to identify it (e.g., „Nitrokey GitLab”). By default, the key is created as a non-discoverable credential. In this case, a local key handle is stored in ~/.ssh/ while the private key remains on the Nitrokey. This means the key is tied to the system where it was generated, since the local key handle file is required for authentication. Use the -O resident option to create a discoverable credential. In this case, the credential is stored on the Nitrokey, making it portable and usable across different systems without copying any local files.

    Non-discoverable credential:

    ssh-keygen -t ed25519-sk -C "your_comment"

    Discoverable credential:

    ssh-keygen -t ed25519-sk -O resident -C "your_comment"

    Megjegyzés

    Discoverable credentials can later be listed and imported on another system with:

    ssh-keygen -K

  3. During key generation, you may also be asked to set a passphrase. This passphrase encrypts the local key handle stored in ~/.ssh/ (not the private key on the Nitrokey, which always stays securely inside the device). The passphrase is different from the FIDO2 device PIN. The PIN protects the physical key itself, while the passphrase protects your local SSH public key file. We recommend to use a passphrase to protect non-discoverable keys only.

  4. Amikor a fájl elérési útvonalát kéri, fogadja el az alapértelmezett opciót (~/.ssh/id_ed25519_sk), vagy válasszon egy egyéni nevet, például id_ed25519_sk_gitlab.

  5. Ha a Nitrokey villog, erősítse meg a műveletet a gomb megérintésével.

  6. Végül a következő fájlok jönnek létre. A fájlnevek eltérhetnek, ha a kulcs generálásakor egyéni nevet adott meg.

    ~/.ssh/id_ed25519_sk → a titkos kulcs fogantyúja (a Nitrokey-n biztonságosan tárolva)

    ~/.ssh/id_ed25519_sk.pub → nyilvános kulcsfájl

    img0

Adding Your Public Key

Miután az SSH-kulcspár elkészült, a nyilvános kulcsot hozzá kell adni a hozzáférni kívánt szolgáltatáshoz vagy kiszolgálóhoz.

  1. Display your public key:

    cat ~/.ssh/id_ed25519_sk.pub

    Kimeneti példa (ne használja ezt a billentyűt):

    sk-ssh-ed25519@openssh.com AAAAGnNrLXNzaC1lZDI1NTE5QG7wZW4zc2guY29tAAAAILeZl6r07HV4i1rK07OfLqD3J4IzX2q0lB6Ok0pdxoG5AAAABHNzaDo= your_comment

  2. Másolja ki a kimenetet, és adja hozzá a fiókja SSH-kulcsának beállításaihoz.

    See GitLab or GitHub for detailed steps.

    Az SSH távoli kiszolgálóhoz való hozzáférés engedélyezéséhez adja hozzá a nyilvános kulcsát az SSH-kiszolgálón lévő felhasználói fiókjának ~/.ssh/authorized_keys fájljához.