upstream: implement loading resident keys in ssh-add

"ssh-add -O" will load resident keys from a FIDO2 token and add them
to a ssh-agent.

feedback and ok markus@

OpenBSD-Commit-ID: 608104ae957a7d65cb84e0a3a26c8f60e0df3290

upstream: implement loading of resident keys in ssh-sk-helper

feedback and ok markus@

OpenBSD-Commit-ID: b273c23769ea182c55c4a7b8f9cbd9181722011a

upstream: resident keys support in SK API

Adds a sk_load_resident_keys() function to the security key
API that accepts a security key provider and a PIN and returns
a list of keys.

Implement support for this in the usbhid middleware.

feedback and ok markus@

OpenBSD-Commit-ID: 67e984e4e87f4999ce447a6178c4249a9174eff0

upstream: Factor out parsing of struct sk_enroll_response

We'll reuse this for extracting resident keys from a device.

feedback and ok markus@

OpenBSD-Commit-ID: 9bc1efd9c6897eac4df0983746cf6578c1542273

upstream: basic support for generating FIDO2 resident keys

"ssh-keygen -t ecdsa-sk|ed25519-sk -x resident" will generate a
device-resident key.

feedback and ok markus@

OpenBSD-Commit-ID: 8e1b3c56a4b11d85047bd6c6c705b7eef4d58431

upstream: remove single-letter flags for moduli options

Move all moduli generation options to live under the -O flag.

Frees up seven single-letter flags.

NB. this change break existing ssh-keygen commandline syntax for moduli-
related operations. Very few people use these fortunately.

feedback and ok markus@

OpenBSD-Commit-ID: d498f3eaf28128484826a4fcb343612764927935

upstream: prepare for use of ssh-keygen -O flag beyond certs

Move list of available certificate options in ssh-keygen.1 to the
CERTIFICATES section.

Collect options specified by -O but delay parsing/validation of
certificate options until we're sure that we're acting as a CA.

ok markus@

OpenBSD-Commit-ID: 33e6bcc29cfca43606f6fa09bd84b955ee3a4106

upstream: sort -Y internally in the options list, as is already

done in synopsis;

OpenBSD-Commit-ID: 86d033c5764404057616690d7be992e445b42274

upstream: in the options list, sort -Y and -y;

OpenBSD-Commit-ID: 24c2e6a3aeab6e050a0271ffc73fdff91c10dcaa

upstream: Replace the term "security key" with "(FIDO)

authenticator".

The polysemous use of "key" was too confusing.  Input from markus@.
ok jmc@

OpenBSD-Commit-ID: 12eea973a44c8232af89f86e4269d71ae900ca8f

upstream: unit tests for ForwardAgent=/path; from Eric Chiang

OpenBSD-Regress-ID: 24f693f78290b2c17725dab2c614dffe4a88c8da

upstream: test security key host keys in addition to user keys

OpenBSD-Regress-ID: 9fb45326106669a27e4bf150575c321806e275b1

upstream: Allow forwarding a different agent socket to the path

specified by $SSH_AUTH_SOCK, by extending the existing ForwardAgent option to
accepting an explicit path or the name of an environment variable in addition
to yes/no.

Patch by Eric Chiang, manpage by me; ok markus@

OpenBSD-Commit-ID: 98f2ed80bf34ea54d8b2ddd19ac14ebbf40e9265

upstream: SSH U2F keys can now be used as host keys. Fix a garden

path sentence. ok markus@

OpenBSD-Commit-ID: 67d7971ca1a020acd6c151426c54bd29d784bd6b

upstream: Move always unsupported keywords to be grouped with the other

ones. Move oSecurityProvider to match the order in the OpCodes enum. Patch
from openbsd@academicsolutions.ch, ok djm@

OpenBSD-Commit-ID: 061e4505861ec1e02ba3a63e3d1b3be3cad458ec

upstream: Remove obsolete opcodes from the configuation enum.

Patch from openbsd@academicsolutions.ch, ok djm@

OpenBSD-Commit-ID: 395c202228872ce8d9044cc08552ac969f51e01b

upstream: Remove now-obsolete config options from example in

comment.  Patch from openbsd@academicsolutions.ch, ok djm@

OpenBSD-Commit-ID: 35862beb0927b1cb0af476ec23cc07f6e3006101

upstream: Document that security key-hosted keys can act as host

keys.

Update the list of default host key algorithms in ssh_config.5 and
sshd_config.5.  Copy the description of the SecurityKeyProvider
option to sshd_config.5.

ok jmc@

OpenBSD-Commit-ID: edadf3566ab5e94582df4377fee3b8b702c7eca0

upstream: "Forward security" -> "Forward secrecy" since that's the

correct term. Add "MAC" since we use that acronym in other man pages.  ok
naddy@

OpenBSD-Commit-ID: c35529e511788586725fb63bda3459e10738c5f5

upstream: cut obsolete lists of crypto algorithms from outline of

how SSH works ok markus@ jmc@

OpenBSD-Commit-ID: 8e34973f232ab48c4d4f5d07df48d501708b9160

upstream: strdup may return NULL if memory allocation fails. Use

the safer xstrdup which fatals on allocation failures.

ok markus@

OpenBSD-Commit-ID: 8b608d387120630753cbcb8110e0b019c0c9a0d0

upstream: sort sk-* methods behind their plain key methods cousins

for now

OpenBSD-Commit-ID: c97e22c2b28c0d12ee389b8b4ef5f2ada7908828

Mac OS X has PAM too.

Show portable tarball pattern in example.

OpenSSL is now optional.

upstream: adapt to ssh-sk-client change

OpenBSD-Regress-ID: 40481999a5928d635ab2e5b029e8239c112005ea

upstream: it's no longer possible to disable privilege separation

in sshd, so don't double the tests' work by trying both off/on

OpenBSD-Regress-ID: d366665466dbd09e9b707305da884be3e7619c68

upstream: don't treat HostKeyAgent=none as a path either; avoids

spurious warnings from the cfgparse regress test

OpenBSD-Commit-ID: ba49ea7a5c92b8a16cb9c2e975dbb163853afc54

upstream: do not attempt to find an absolute path for sshd_config

SecurityKeyProvider=internal - unbreaks cfgparse regress test

OpenBSD-Commit-ID: d2ddcf525c0dc3c8339522360c10b3c70f1fd641

upstream: allow ssh-keyscan to find security key hostkeys

OpenBSD-Commit-ID: 1fe822a7f714df19a7e7184e3a3bbfbf546811d3

upstream: allow security keys to act as host keys as well as user

keys.

Previously we didn't do this because we didn't want to expose
the attack surface presented by USB and FIDO protocol handling,
but now that this is insulated behind ssh-sk-helper there is
less risk.

ok markus@

OpenBSD-Commit-ID: 77b068dd133b8d87e0f010987bd5131e640ee64c

Allow clock_nanosleep_time64 in seccomp sandbox.

Needed on Linux ARM.  bz#3100, patch from jjelen@redhat.com.

Put SK ECDSA bits inside ifdef OPENSSL_HAS_ECC.

Fixes build when linking against OpenSSLs built with no-ec.

remove a bunch of ENABLE_SK #ifdefs

The ssh-sk-helper client API gives us a nice place to disable
security key support when it is wasn't enabled at compile time,
so we don't need to check everywere.

Also, verification of security key signatures can remain enabled
all the time - it has no additional dependencies. So sshd can
accept security key pubkeys in authorized_keys, etc regardless of
the host's support for dlopen, etc.

ssh-sk-client.c needs includes.h

only link ssh-sk-helper against libfido2

adapt Makefile to ssh-sk-client everywhere

fixup

upstream: actually commit the ssh-sk-helper client code; ok markus

OpenBSD-Commit-ID: fd2ea776a5bbbf4d452989d3c3054cf25a5e0589

upstream: perform security key enrollment via ssh-sk-helper too.

This means that ssh-keygen no longer needs to link against ssh-sk-helper, and
only ssh-sk-helper needs libfido2 and /dev/uhid* access;

feedback & ok markus@

OpenBSD-Commit-ID: 9464233fab95708d2ff059f8bee29c0d1f270800

upstream: allow sshbuf_put_stringb(buf, NULL); ok markus@

OpenBSD-Commit-ID: 91482c1ada9adb283165d48dafbb88ae91c657bd

upstream: use ssh-sk-helper for all security key signing operations

This extracts and refactors the client interface for ssh-sk-helper
from ssh-agent and generalises it for use by the other programs.
This means that most OpenSSH tools no longer need to link against
libfido2 or directly interact with /dev/uhid*

requested by, feedback and ok markus@

OpenBSD-Commit-ID: 1abcd3aea9a7460eccfbf8ca154cdfa62f1dc93f

upstream: add a note about the 'extensions' field in the signed

object

OpenBSD-Commit-ID: 67c01e0565b258e0818c1ccfe1f1aeaf9a0d4c7b

upstream: some more corrections for documentation problems spotted

by Ron Frederick

document certifiate private key format
correct flags type for sk-ssh-ed25519@openssh.com keys

OpenBSD-Commit-ID: fc4e9a1ed7f9f7f9dd83e2e2c59327912e933e74

upstream: loading security keys into ssh-agent used the extension

constraint "sk-provider@openssh.com", not "sk@openssh.com"; spotted by Ron
Frederick

OpenBSD-Commit-ID: dbfba09edbe023abadd5f59c1492df9073b0e51d

upstream: add security key types to list of keys allowed to act as

CAs; spotted by Ron Frederick

OpenBSD-Commit-ID: 9bb0dfff927b4f7aa70679f983f84c69d45656c3

upstream: when acting as a CA and using a security key as the CA

key, remind the user to touch they key to authorise the signature.

OpenBSD-Commit-ID: fe58733edd367362f9766b526a8b56827cc439c1

upstream: chop some unnecessary and confusing verbiage from the

security key protocol description; feedback from Ron Frederick

OpenBSD-Commit-ID: 048c9483027fbf9c995e5a51b3ac502989085a42

upstream: fix setting of $SSH_ASKPASS_PROMPT - it shouldn't be set

when asking passphrases, only when confirming the use of a key (i.e. for
ssh-agent keys added with "ssh-add -c keyfile")

OpenBSD-Commit-ID: 6643c82960d9427d5972eb702c917b3b838ecf89

upstream: bring the __func__

OpenBSD-Commit-ID: 71a3a45b0fe1b8f680ff95cf264aa81f7abbff67

upstream: tweak the Nd lines for a bit of consistency; ok markus

OpenBSD-Commit-ID: 876651bdde06bc1e72dd4bd7ad599f42a6ce5a16

Check if memmem is declared in system headers.

If the system (or one of the dependencies) implements memmem but does
not define the header, we would not declare it either resulting in
compiler warnings.  Check for declaration explicitly.  bz#3102.

Sort depends.

Sort .depend when rebuilding.

This makes diffs more stable between makedepend implementations.

Update depend to include sk files.

Describe how to build libcrypto as PIC.

While there, move the OpenSSL 1.1.0g caveat closer to the other version
information.

Recommend running LibreSSL or OpenSSL self-tests.

Wrap ECC specific bits in ifdef.

Fixes tests when built against an OpenSSL configured with no-ec.

Wrap sha2.h include in ifdef.

Fixes build --without-openssl on at least Fedora.

compile sk-dummy.so with no-PIE version of LDFLAGS

This lets it pick up the -L path to libcrypto for example.

includes.h for sk-dummy.c, dummy

(yet) another x-platform fix for sk-dummy.so

Check for -fPIC support from compiler

Compile libopenbsd-compat -fPIC

Don't mix -fPIE and -fPIC when compiling

needs includes.h for WITH_OPENSSL

another attempt at sk-dummy.so working x-platform

include a fatal() implementation to satisfy libopenbsd-compat

clean up .lo and .so files

.gitignore .lo and .so files

upstream: lots of dependencies go away here with ed25519 no longer

needing the ssh_digest API.

OpenBSD-Regress-ID: 785847ec78cb580d141e29abce351a436d6b5d49

upstream: perform hashing directly in crypto_hash_sha512() using

libcrypto or libc SHA512 functions rather than calling ssh_digest_memory();
avoids many dependencies on ssh code that complicate standalone use of
ed25519, as we want to do in sk-dummy.so

OpenBSD-Commit-ID: 5a3c37593d3ba7add037b587cec44aaea088496d

upstream: improve the text for -A a little; input from naddy and

djm

OpenBSD-Commit-ID: f9cdfb1d6dbb9887c4bf3bb25f9c7a94294c988d

upstream: reshuffle the text to read better; input from naddy,

djmc, and dtucker

OpenBSD-Commit-ID: a0b2aca2b67614dda3d6618ea097bf0610c35013

$< doesn't work as` I thought; explicily list objs

upstream: tweak wording

OpenBSD-Commit-ID: bd002ca1599b71331faca735ff5f6de29e32222e

missing .SUFFIXES line makes make sad

(hopefully) fix out of tree builds of sk-dummy.so

upstream: remove stray semicolon after closing brace of function;

from Michael Forney

OpenBSD-Commit-ID: fda95acb799bb160d15e205ee126117cf33da3a7

upstream: Revert previous commit. The channels code still uses int

in many places for channel ids so the INT_MAX check still makes sense.

OpenBSD-Commit-ID: 532e4b644791b826956c3c61d6ac6da39bac84bf

wire sk-dummy.so into test suite

upstream: use error()+_exit() instead of fatal() to avoid running

cleanup handlers in child process; spotted via weird regress failures in
portable

OpenBSD-Commit-ID: 6902a9bb3987c7d347774444f7979b8a9ba7f412

upstream: Make channel_id u_int32_t and remove unnecessary check

and cast that were left over from the type conversion.  Noted by
t-hashida@amiya.co.jp in bz#3098, ok markus@ djm@

OpenBSD-Commit-ID: 3ad105b6a905284e780b1fd7ff118e1c346e90b5

upstream: test FIDO2/U2F key types; ok markus@

OpenBSD-Regress-ID: 367e06d5a260407619b4b113ea0bd7004a435474

upstream: add dummy security key middleware based on work by

markus@

This will allow us to test U2F/FIDO2 support in OpenSSH without
requiring real hardware.

ok markus@

OpenBSD-Regress-ID: 88b309464b8850c320cf7513f26d97ee1fdf9aae

upstream: tweak previous;

OpenBSD-Commit-ID: a4c097364c75da320f1b291568db830fb1ee4883

upstream: more debugging; behind DEBUG_SK

OpenBSD-Commit-ID: a978896227118557505999ddefc1f4c839818b60

unbreak fuzzers for recent security key changes

upstream: unbreak tests for recent security key changes

OpenBSD-Regress-ID: 2cdf2fcae9962ca4d711338f3ceec3c1391bdf95

upstream: unbreak after security key support landed

OpenBSD-Regress-ID: 3ab578b0dbeb2aa6d9969b54a9c1bad329c0dcba

upstream: Remove workaround for broken 'openssl rsa -text' output

that was fixed in libcrypto/rsa/rsa_ameth.c r1.24.

ok dtucker inoguchi

OpenBSD-Regress-ID: c260edfac177daa8fcce90141587cf04a95c4f5f

upstream: redundant test

OpenBSD-Commit-ID: 38fa7806c528a590d91ae560e67bd8b246c2d7a3

upstream: document the "no-touch-required" certificate extension;

ok markus, feedback deraadt

OpenBSD-Commit-ID: 47640122b13f825e9c404ea99803b2372246579d

upstream: Print a key touch reminder when generating a security

key. Most keys require a touch to authorize the operation.

OpenBSD-Commit-ID: 7fe8b23edbf33e1bb81741b9f25e9a63be5f6b68

upstream: allow "ssh-keygen -x no-touch-required" when generating a

security key keypair to request one that does not require a touch for each
authentication attempt. The default remains to require touch.

feedback deraadt; ok markus@

OpenBSD-Commit-ID: 887e7084b2e89c0c62d1598ac378aad8e434bcbd

upstream: add a "no-touch-required" option for authorized_keys and

a similar extension for certificates. This option disables the default
requirement that security key signatures attest that the user touched their
key to authorize them.

feedback deraadt, ok markus

OpenBSD-Commit-ID: f1fb56151ba68d55d554d0f6d3d4dba0cf1a452e

upstream: Add a sshd_config PubkeyAuthOptions directive

This directive has a single valid option "no-touch-required" that
causes sshd to skip checking whether user presence was tested before
a security key signature was made (usually by the user touching the
key).

ok markus@

OpenBSD-Commit-ID: 46e434a49802d4ed82bc0aa38cb985c198c407de

upstream: Add new structure for signature options

This is populated during signature verification with additional fields
that are present in and covered by the signature. At the moment, it is
only used to record security key-specific options, especially the flags
field.

with and ok markus@

OpenBSD-Commit-ID: 338a1f0e04904008836130bedb9ece4faafd4e49

upstream: memleak in error path

OpenBSD-Commit-ID: 93488431bf02dde85a854429362695d2d43d9112

upstream: Wait for FD to be readable or writeable during a nonblocking

connect, not just readable.  Prevents a timeout when the server doesn't
immediately send a banner (eg multiplexers like sslh) but is also slightly
quicker for other connections since, unlike ssh1, ssh2 doesn't specify
that the client should parse the server banner before sending its own.
Patch from mnissler@chromium.org, ok djm@

OpenBSD-Commit-ID: aba9cd8480d1d9dd31d0ca0422ea155c26c5df1d

Include openssl compat header.

Fixes warning for ECDSA_SIG_set0 on OpenSSL versions prior to 1.1.

upstream: adjust on-wire signature encoding for ecdsa-sk keys to

better match ec25519-sk keys. Discussed with markus@ and Sebastian Kinne

NB. if you are depending on security keys (already?) then make sure you
update both your clients and servers.

OpenBSD-Commit-ID: 53d88d8211f0dd02a7954d3af72017b1a79c0679

upstream: a little more information from the monitor when signature

verification fails.

OpenBSD-Commit-ID: e6a30071e0518cac512f9e10be3dc3500e2003f3

upstream: revert previous: naddy pointed out what's meant to

happen. rethink needed...

OpenBSD-Commit-ID: fb0fede8123ea7f725fd65e00d49241c40bd3421

upstream: -c and -s do not make sense with -k; reshuffle -k into

the main synopsis/usage; ok djm

OpenBSD-Commit-ID: f881ba253da015398ae8758d973e3390754869bc

upstream: document '$' environment variable expansion for

SecurityKeyProvider; ok djm@

OpenBSD-Commit-ID: 76db507ebd336a573e1cd4146cc40019332c5799