putty cac

PuTTY CAC adalah cabang dari PuTTY, terminal Secure Shell (SSH) yang populer. PuTTY CAC menambahkan kemampuan untuk menggunakan pustaka Windows Certificate API (CAPI), Public Key Cryptography Standards (PKCS), atau Fast Identity Online (FIDO) untuk melakukan otentikasi kunci publik SSH menggunakan kunci pribadi yang terkait dengan sertifikat yang disimpan di token perangkat keras.

Putty CAC dapat digunakan dengan banyak jenis token kriptografi seperti Yubikeys dan model kartu pintar populer. 'CAC' dalam 'PuTTY CAC' mengacu pada Common Access Card, token kartu pintar yang digunakan untuk fasilitas Pemerintah AS yang merupakan salah satu pendorong awal pengembangan PuTTY CAC.

PuTTY CAC dikelola secara independen dari Pemerintah AS oleh komunitas open source.

Anda dapat mengunduh PuTTY CAC rilis terbaru di sini: https://github.com/NoMoreFood/putty-cac/releases

Kode sumber dan binari Putty CAC bebas digunakan untuk tujuan apa pun. Lisensinya dapat ditemukan di sini: https://github.com/NoMoreFood/putty-cac/blob/master/code/LICENCE

• Microsoft Windows 10 atau Lebih Baru
• Untuk dukungan CAPI, driver mini kartu pintar Windows yang sesuai harus diinstal. Ini biasanya disediakan oleh produsen kartu pintar meskipun banyak token perangkat keras umum yang didukung oleh OpenSC.
• Untuk dukungan PKCS, pustaka PKCS #11 (biasanya file DLL) diperlukan untuk berinteraksi dengan token perangkat keras. Ini biasanya disediakan oleh produsen kartu pintar meskipun banyak token perangkat keras umum yang didukung oleh OpenSC.
• Untuk dukungan FIDO, kunci FIDO didukung oleh Windows 10.

Anda dapat menemukan serangkaian instruksi dasar tentang penggunaan situs web Manajemen ID Pemerintah Amerika Serikat di bagian 'SSH Menggunakan PuTTY-CAC':

https://playbooks.idmanagement.gov/piv/engineer/ssh/

PuTTY CAC mendukung opsi baris perintah yang sama seperti PuTTY dengan beberapa opsi tambahan khusus untuk PuTTY CAC secara khusus.

Sebagai pengganti jalur file kunci PuTTY untuk utilitas PuTTY apa pun, Anda dapat menggunakan cap jempol sertifikat atau pengidentifikasi aplikasi tertentu. Misalnya:

• Hubungkan ke pengguna@host menggunakan sertifikat dengan cap jempol '716B8B58D8F2C3A7F98F3F645161B1BF9818B689' penyimpanan sertifikat pengguna:
  putty.exe user@host -i CAPI:716B8B58D8F2C3A7F98F3F645161B1BF9818B689
• Hubungkan ke pengguna@host menggunakan sertifikat dengan cap jempol 'B8B58D8F2C3A7F98F3F645161B1BF9818B689716' menggunakan perpustakaan PKCS 'PKCS.dll':
  putty.exe user@host -i PKCS:B8B58D8F2C3A7F98F3F645161B1BF9818B689716=C:PKCS.dll
• Hubungkan ke pengguna@host menggunakan kunci FIDO yang diidentifikasi oleh 'ssh:MyFidoKey' dari cache kunci PuTTY CAC FIDO:
  putty.exe user@host -i FIDO:ssh:MyFidoKey

Eksekusi PuTTY (putty.exe, pageant.exe, psftp.exe) mendukung opsi baris perintah tambahan berikut. Sebagian besar opsi ini difokuskan pada pengoperasian Kontes dan juga dapat diatur dari antarmuka penggunanya. Setelah disetel, opsi ini akan diterapkan secara otomatis ke eksekusi berikutnya kecuali jika tidak disetel secara khusus. Pengaturan yang memfilter dialog pemilihan sertifikat Kontes juga akan memengaruhi dialog pemilihan sertifikat filter di aplikasi PuTTY standar:

• Secara otomatis memuat sertifikat CAPI yang kompatibel saat startup: -autoload , -autoloadoff
• Simpan daftar kunci di antara eksekusi PuTTY: -savecertlist , -savecertlistoff
• Aktifkan cache PIN tambahan di Kontes: -forcepincache , -forcepincacheoff
• Prompt ketika operasi penandatanganan sertifikat diminta: -certauthprompting , -certauthpromptingoff
• Hanya tampilkan sertifikat tepercaya dalam dialog pemilihan sertifikat: -trustedcertsonly , -trustedcertsonlyoff
• Jangan tampilkan sertifikat yang kedaluwarsa dalam dialog pemilihan sertifikat: -ignoreexpiredcerts , -ignoreexpiredcertsoff
• Nonaktifkan semua pemfilteran dalam dialog pemilihan sertifikat: -allowanycert , -allowanycertoff

Untuk keperluan PuTTY CAC, sertifikat hanyalah cara mudah untuk mereferensikan pasangan kunci privat/publik. Jika Anda ingin menggunakan PuTTY CAC untuk masuk ke sistem Anda dengan aman dan tidak memiliki akses ke Otoritas Sertifikat (CA), sertifikat dapat ditandatangani sendiri. Sebaliknya, PuTTY CAC dapat digunakan bersama dengan server SSH terkelola untuk menerapkan autentikasi multifaktor. Hal ini dapat dilakukan dengan memastikan bahwa file Otorisasi_keys OpenSSH hanya berisi kunci publik yang terkait dengan token perangkat keras baik secara prosedural atau dengan membuat indeks dari semua sertifikat yang diterbitkan dan mencarinya melalui arahan OpenSSH seperti AuthorizedKeysCommand.

Kode spesifik yang digunakan untuk berinteraksi dengan token perangkat keras menggunakan perpustakaan kriptografi Microsoft yang pada gilirannya diatur oleh pengaturan FIPS tingkat sistem (lihat situs web Microsoft). Demikian pula, token perangkat keras yang digunakan untuk menandatangani tantangan autentikasi dijamin menggunakan algoritma yang sesuai dengan FIPS jika kunci perangkat kerasnya bersertifikat FIPS; lihat situs web produsen token perangkat keras untuk informasi lebih lanjut. Putty sendiri menggunakan enkripsi dan hashing eksklusif setelah sesi SSH dibuat yang belum menjalani evaluasi kepatuhan atau sertifikasi FIPS.

• Visual Studio 2022 dengan Pengembangan Aplikasi Desktop C++
• WiX Toolset (untuk membuat file MSI)
• Windows PowerShell (untuk membuat file MSI/ZIP/Hash)

• Jalankan 'packagerbuild.cmd' untuk membuat file build
• File solusi Visual Studio akan dibuat di bawah 'build'

• PuTTYImp digunakan untuk mengimpor kunci tetap FIDO yang ada. Ini menghubungkan libfido2 secara statis; libfido2 dan dependensi binernya disertakan dalam repositori ini. Semua executable PuTTY lainnya tidak memiliki dependensi selain yang disertakan dalam sistem operasi Windows dan SDK terkait.