Cloudflare annonce aujourd’hui l’ouverture du code d’OpenPubkey SSH (OPKSSH), un projet visant à intégrer l’authentification Single Sign-On (SSO) au protocole SSH sans modifier ce dernier. Le code est désormais disponible sous licence Apache 2.0 sur GitHub.
OPKSSH simplifie considérablement la gestion des clés SSH en remplaçant les traditionnelles clés longues durées par des clés éphémères générées à la demande à partir d’un jeton d’identité OpenID Connect enrichi par OpenPubkey. Cette approche permet aux utilisateurs de se connecter en SSH simplement en s’authentifiant auprès de leur fournisseur SSO habituel (Google, Azure, Okta, etc.), sans avoir à manipuler ou copier manuellement des clés privées.
Concrètement, OPKSSH stocke la clé publique enrichie dans l’annuaire SSH et utilise un vérificateur spécifique pour valider, sur le serveur, le jeton d’identité intégré. Aucune modification du protocole SSH n’est nécessaire : il suffit d’ajouter deux lignes de configuration au serveur pour activer le mécanisme.
Le principal intérêt de cette solution est double : renforcer la sécurité en limitant la durée de vie des clés SSH à 24 heures par défaut, mais aussi simplifier l’administration en remplaçant la gestion complexe des clés par une gestion basée sur les identités (par email, par exemple).
Cloudflare précise que cette contribution marque une étape importante pour OpenPubkey, déjà devenu projet open source sous l’égide de la Linux Foundation en 2023. Jusqu’à présent, OPKSSH était resté propriétaire depuis son développement initial par BastionZero (racheté depuis par Cloudflare). Désormais, le projet est pleinement ouvert et documenté (voir le README officiel).
Le communiqué complet est disponible sur le blog de Cloudflare.
