Andy Melnikov (nponeccop) wrote,
Andy Melnikov
nponeccop

Category:

SSH на винде c ключом в TPM

Как обычно, в интернете полно какой-то хуйни вместо инструкций.

1. Под админом tpmvscmgr.exe create /name "хуй пизда виртуальная смарткарта" /adminkey random /pin prompt /generate

Пин 8 цифр

2. Под юзером в павершелле New-SelfSignedCertificate -CertStoreLocation "Cert:\CurrentUser\My" -DnsName "моё очко" -Provider "Microsoft Base Smart Card Crypto Provider" | Export-Certificate -FilePath cert.der

4. На линуксе ssh-keygen -m pkcs8 -i -f <(openssl x509 -in cert.der -noout -pubkey -inform der) - | paste -d ' ' - <(echo моё очко) >sshkey.pub

5. sshkey.pub это "обычный" ключ для authenticated_keys

6. Cтавите https://github.com/NoMoreFood/putty-cac/releases - нужен только их pageant, пуття может быть апстримовой

7. Добавляете в него ключ кнопкой Add CAPI key

7. При коннекте к серверу, который узнаёт наш key fingerprint - это важно - открывается окно с пинкодом. Левые сервера, которым ключи, лежащие в TPM, не нужны - не открывают.

8. Пишет Authenticating with public key "CAPI:фингерпринт"

9. PROFIT!

Ключ лежит не в pageant, а в виртуальной смарткарте, заимплеменченной поверх TPM. Хез насколько это сесюрно в результате.
Tags: programming, все пидарасы а я, до чего техника дошла, сесюрити
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 2 comments