OpenSSH 2단계 인증을 위한 FIDO / U2F 지원

 

OpenSSH 2단계 인증을 위한 FIDO / U2F 지원

 

- 기사 본문 : https://thehackernews.com/2020/02/openssh-fido-security-keys.html

OpenSSH now supports FIDO U2F security keys for 2-factor authentication

 

- 기사 요약

현재 널리 사용되고 있는 SSH(Secure Shell) 프로토콜의 오픈 소스 구현 중 하나인 OpenSSH는 두 가지 새로운 보안 강화 기능이 포함된 8.2 버전의 소프트웨어를 발표했습니다.

첫째, OpenSSH 8.2는 FIDO / U2F 하드웨어 인증자에 대한 지원을 추가했으며, 두 번째는 SSH-RSA 공개키 서명 알고리즘을 더 이상 사용하지 않고 이후 버전의 소프트웨어에서 기본적으로 이를 비활성화 할 계획입니다.

 

FIDO(Fast Identity Online) 프로토콜 기반 하드웨어 보안 장치는 공개키 암호화를 사용하여 고급 맬웨어, 피싱 및 MITM (Man-In-The-Middle) 공격으로부터 보호할 수 있기 때문에 인증을 위한 강력하고 완벽한 메커니즘입니다.

 

OpenSSH 8.2 릴리스 노트에 따르면 "OpenSSH에서 FIDO 디바이스는 새로운 공개 키 유형 인 'ecdsa-sk' 및 'ed25519-sk'가 해당 인증서 유형과 함께 지원됩니다."

 

물리적 보안 키는 암호 위에 있는 계정에 추가 인증 계층을 추가하며, 사용자는 USB 보안 키를 삽입하고 버튼을 누르는 것 만으로도 빠르게 계정에 안전하게 로그인할 수 있다.

 

즉, 공격자가 컴퓨터를 감염 시키거나 SSH 암호를 도용하더라도 물리적 보안키를 제시하지 않으면 SSH를 통해 원격 시스템에 액세스 할 수 없습니다.

 

또한 SSH-RSA 공개 키 서명 알고리즘을 사용하지 않기로 한 발표도 중요합니다. SHA-1 해시 알고리즘이 느리고, 잠재적으로 안전하지 않아 이전보다 적은 리소스를 사용하여 쉽게 크래킹 할 수 있기 때문입니다.

 

 

- 개인 의견

현재 널리 사용되고 있는 지식 기반(ID/PW)의 로그인 방식은 키로거 등의 멀웨어의 위협에 노출되어 있다. 일반적으로 1-팩터 인증보다 멀티 팩터 인증을 사용하는 것이 보안 상 안전하므로, OpenSSH 인증을 위해 2단계 인증으로 FIDO / U2F를 지원하는 것은 좋은 방향인 것 같다. OpenSSH를 통해 원격에서 서버로 접속하는 관리자의 경우에는 안전한 서버 관리와 보안성 제고를 위해서라도 하루빨리 업데이트를 고려해야 할 듯싶다.

---