BastionZero เปิดแนวทางใช้งาน OpenPubkey เพิ่มเติมจากการใช้เซ็นไฟล์ มาสู่การล็อกอิน Secure Shell เปิดทางให้สามารถล็อกอิน Secure Shell โดยไม่ต้องฝังกุญแจสาธารณะเอาไว้ในเซิร์ฟเวอร์ซึ่งไม่มีวันหมดอายุและเสี่ยงต่อเหตุการณ์กุญแจรั่วไหล

โครงการ OpenPubkey SSH แยกเป็นสองส่วน ส่วนแรกคือการสร้างใบรับรอง SSH ที่ฝัง PK Token ที่ได้จากการล็อกอินแบบ OpenID Connect เข้าไปด้วย ส่วนฝั่งเซิร์ฟเวอร์มีโปรแกรมตรวจสอบใบรับรองโดยอาศัย PK Token เช่นกัน

OpenSSH นั้นรองรับการตรวจสอบใบรับรองโดยอาศัยผู้ออกใบรับรอง (certification authority - CA) อยู่แล้ว ที่ผ่านมาองค์กรขนาดใหญ่อาจจะอาศัยการตั้ง CA เพื่อออกใบรับรองอายุสั้นๆ ให้ผู้ใช้ไปขอใบรับรองมาใช้งานเป็นรอบๆ แต่ในกรณีนี้ OpenPubkey จะเปิดให้ผู้ใช้สร้างใบรับรองได้จากการล็อกอิน Gmail หรือ OpenID Connect อื่น โดยไม่ต้องดูแล CA เอง

ที่มา - Docker, BastionZero