본문 바로가기

보안/이슈

OpenSSH 2중인증으로 FIDO, U2F 인증 지원

https://thehackernews.com/2020/02/openssh-fido-security-keys.html

 

OpenSSH now supports FIDO U2F security keys for 2-factor authentication

OpenSSH 8.2 Adds Support for FIDO U2F Security Key for Secure Two-Factor Authentication

thehackernews.com

OpenSSH가 8.2버전부터 하드웨어 기반 2-Factor 인증으로 FIDO/U2F hardware authenticators 인증을 지원한다고 하네요.

가장 큰 문제는 SSH-RSA 공개 키 서명 알고리즘을 더 이상 지원하지 않고 이후 버전부터는 기본적으로 비활성화 할 계획이라고 합니다. 

 

FIDO에 대해 간략히 설명하면 FIDO (Fast Identity Online) 프로토콜 기반 하드웨어 보안 장치는 공개키 암호화를 사용하여 맬웨어, 피싱 및 MITM (Man-in-the-Middle) 공격으로부터 보호 할 수 있기 때문에 인증 시 아주 강력하고 완벽한 메커니즘입니다. OpenSSH는 FIDO를 도입하면서 새로운 공개 키 유형 인 ecdsa-sk 및 'ed25519-sk' 인증서 유형을 함께 지원한다고 합니다. 

 

U2F를 지원하면서 USB 동글 키로 SSH 접속을 할 수 있고 컴퓨터가 악성코드에 감염되더라도 SSH 접속을 할 수 없다고 합니다.

 

이 외에도 SSH-RSA 공개 키 서명 알고리즘을 사용하지 않기로 발표했는데 SHA-1 해시 알고리즘은 느리고 잠재적으로 안전하지 않아 쉽게 쉽게 크래킹 할 수 있기 때문이라고 합니다.

 

이 알고리즘은 더 나은 대안이 있음에도 불구하고 공개키 인증 시 널리 사용중이라고 합니다.  새로운 릴리즈부터 UpdateHostKeys를 디폴트로 활성화하여 더 나은 알고리즘을 고려하도록 만들 것이라고 하는데.. 음...

 

결론적으로 RSA 공개키는 서서히 사라지고 DSA, 타원곡선암호, 2 Factor 인증 방식으로 바뀔 것 같습니다.