Cloudflare open sources OPKSSH to bring Single Sign-On to SSH
2025/03/28 HelpNetSecurity — OPKSSH は IdP (identity providers) との緊密な統合により、信頼できるサードパーティであっても介在をすることで、合理的かつ安全性の高い方法で SSH 認証を管理するものだ。今週に、OpenPubkey プロジェクト傘下に位置するかたちで、OPKSSH は 正式にオープンソース化された。OpenPubkey 自体は、2023 年に Linux Foundation のオープンソース・イニシアチブになったが、これまでの OPKSSH はクローズド・ソースだった。
現在は Cloudflare の一部である BastionZero により、OPKSSH のオリジナル・コードは開発/保守されてきたが、Cloudflare から OpenPubkey プロジェクトへと寄贈され、インフラ・アクセスにおけるオープンな ID ベース認証のマイルストーンとなる。
OPKSSH の利点
セキュリティの向上:OPKSSH は、長期間にわたり有効な SSH キーを、OPKSSH によりオンデマンドで作成し、不要になると期限切れになる短命 SSH キーに置き換える。それにより、秘密鍵の侵害リスクが軽減され、侵害された秘密鍵が攻撃者に悪用される期間も制限される。デフォルトでは、これらの OPKSSH 公開鍵は 24 時間ごとに期限切れになるが、その有効期限ポリシーはコンフィグ・ファイルで設定できる。
使いやすさの向上:SSH キーの作成は、OP にサインインするのと同じくらい簡単である。つまり、ユーザーは、対象となるコンピューターに SSH 秘密鍵をコピーしていなくても、OPKSSH がインストールされている任意のコンピューターから、SSH を実行できる。SSH キーを生成するユーザーは、opkssh login を実行するだけで、通常どおりに SSH を使用できる。
可視性の向上:OPKSSH は、公開鍵による認証から、ID による認証へと、SSH を移行させる。Alice が Bob に対して、サーバへのアクセスを許可したい場合、公開鍵を要求する必要はなく、OPKSSH の承認済みユーザー・ファイルに、Bob の電子メール アドレス “bob@example.com” を追加するだけで、彼はサインインできる。それにより、管理者は承認済みユーザーの、電子メール アドレスを確認できるため、アクセス権を持っている人物の追跡も遥かに簡単になる。
OpenPubkey の改善
OpenPubkey プロジェクトの初期から、OpenPubkey で SSH を使用するコードが存在していたが、そのコードはプロトタイプとしてされ、多くの重要な機能が欠けていた。そして、今回、OPKSSH により、OpenPubkey の SSH サポートはプロトタイプではなく、完全な機能になった。
OPKSSH は OpenPubkey に対して、以下の改善点を提供する:
- OpenPubkey の実稼働対応 SSH
- 自動インストール
- 洗練されたコンフィグ・ツール
OPKSSH は、Apache 2.0 ライセンスの下で提供され、GitHub で入手できる。
Cloudflare 傘下の BastionZero により開発された OPKSSH が、OpenPubkey プロジェクトに寄贈されたようです。SSH に Single Sign-On と聞いて、喜ぶ方も多いのではないかと思います。今後、どのように広まっていくのでしょうか? よろしければ、SSH で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.