Купи FPGA и прошей :)

Не совсем то, но Yubikey позволяет хранить GPG-сертификат на ключе, который в свою очередь можно использовать для входа по ssh. Для работы нужен gpg-agent на хосте.

Спасибо

Но вообще странно, что такое очевидное решение редкость.

Недавно объявили об экспериментальной авторизации с аппаратного ключа https://duo.com/labs/tech-notes/u2f-key-support-in-openssh но както маловато, да и нельзя использовать на старых серверах

Так же есть это https://yubikey.me/ru/yubikey-fido/, оно поддерживает U2F, но опять же эта опция в openssh экспериментальная

Да, но U2F это двух-факторная аутентификация. Там все равно надо или пароль вводить, или ключ слать.

Древнюшее решение и оч широко используется, читай про OpenPGP Card, yubikey и всё прочее основанно на них, работает через gpg напрямую без бубна

Существуют ли решения для хранения ssh ключей аппаратно?

Yubikey или любые аналоги с возможностью использовать как смарт карту.

Генерируешь обычный GPG ключ, после чего используешь его для аутентификации по ssh (gnupg поддерживает).

Сам использую именно так, брат жив, зависимость есть.

работает через gpg напрямую без бубна

Все равно ж нужен gpg-агент на хосте, иначе не сработает. Это не напрягает, если ходишь с одной тачки. Но если тебе нужно ходить по ссш с разных машин, которыми не ты управляешь, то это геморно.

У нас в сетке керберос настроен, так что проблем с этим нет. Я могу прыгать по хостам как хочу и не вводить пароль по сто раз.

который сам прекрасно запускается автоматически, кроме того gpg можно пробрасывать каскадно вглубь твоих ssh сессий

https://wiki.gnupg.org/AgentForwarding

А, ну тогда хорошо. Связка Yubikey+GPG должна работать отлично.

У меня что-то не взлетело, когда я с этим ковырялся, а потом я перешел на др работу, где все через керберос и надобность отпала.

есть

на Хабре сегодня опубликовали статейку как раз на эту тему: https://habr.com/ru/post/487748/

https://github.com/OpenSC/OpenSC/wiki/OpenSSH-and-smart-cards-PKCS%2311

Это кустарщина, не всякий может.

Я надеялся, что есть готовые решения. А их оказывается по пальцам пересчитать

trezor + https://github.com/romanz/trezor-agent

Мало чтоли? В области хардварного шифрования хватает девайсов из которых можно выбирать, ты погугли разнообразие смарткарт, есть даже с дополнительно загружаемыми Functional Modules, java card etc, есть полностью закрытые решения под конкретные проекты, есть закрытые на открытых nitrokey, yubikey, есть для простых смертных, есть для корпораций (разного рода HSM). Ты спросил чем можно, тебе дали список простых рабочих решений, которые как раз «каждый сможет», чего тебе хочется то по итогу?

видимость безопасности

Похоже есть решение, костыльное, но удобное

KeePassXC умеет вход по YubiKey или файлу с ключом, в KeePassXC можно хранить ssh ключи которые он автоматом активирует в ssh agent

https://keepassxc.org/docs/#faq-cat-yubikey