백서: FIDO 증명: 암호 없는 인증의 신뢰, 개인정보 보호 및 상호운용성 향상

편집기

Khaled Zaky, Amazon Web Services
몬티 와이즈먼, 『정체성을 넘어서』
Sean Miller, RSA 보안 담당
에릭 르 생, 비자

추상적인

이 문서는 특히 인증과 관련하여 디지털 보안 환경을 개선하고 발전시키는 데 있어 증명의 역할에 대한 포괄적인 이해를 제공하기 위한 것입니다. 이는 증명의 핵심 기능인 사용자 디바이스와 인증 자료의 출처와 무결성을 확인하는 데 중점을 둡니다. FIDO 자격 증명이 기존 비밀번호 기반 시스템보다 더 안전한 대안을 제공하는 방법과 FIDO 증명이 신뢰 당사자(RP)와 최종 사용자 모두의 인증 보안을 강화하는 방법에 중점을 두고 논의합니다. 이 문서에서 RP는 사용자 또는 다른 주체의 신원을 확인하여 안전한 사용자 액세스가 필요한 웹사이트, 애플리케이션 및 온라인 서비스를 제공하는 주체를 말합니다. FIDO 인증, 기업별 기술 솔루션 및 인증 프로세스와 관련된 개인 정보 보호 측면을 이해하기 위한 실용적인 비유를 통해 FIDO Alliance의 역사적 여정을 소개합니다.

관객

CISO, 보안 엔지니어, 아키텍트, ID 엔지니어를 대상으로 하는 이 백서는 기업 생태계 내에서 FIDO 도입을 고려하는 전문가를 위한 가이드 역할을 합니다. 독자는 FIDO 기술, 증명의 의미에 대한 기본적인 이해가 있어야 하며, 증명을 구현하는 이유와 방법을 이해하고자 하는 열망을 가지고 있어야 합니다.

인증은 널리 알려져 있지만 정보 기술 분야의 많은 실무자에게는 증명이 익숙하지 않을 수 있습니다. FIDO 프로토콜 내에서 이해되는 증명은 인증자의 속성 또는 특성 집합을 확인합니다. 물리적 세계에서 우리는 물체를 검사하여 속성을 검사하고 진위 여부를 확인하는 데 의존할 수 있습니다. 상호 연결된 디지털 세계에서 물리적 검사는 실용적이지 않습니다. FIDO 인증에 사용되는 장치는 특히 출처나 내용이 불확실한 경우 사용하기 전에 주의 깊게 확인해야 합니다. 특정 거래, 특히 정부, 의료 또는 금융 기관과 관련된 거래는 더 높은 보증을 요구하며, 이러한 경우 RP(신뢰 당사자)가 인증자의 적법성을 확인하는 것이 중요합니다. 고수준 보안 보장 트랜잭션이 합법적인지 확인하기 위해 RP는 증명을 사용하여 인증자의 신뢰성과 속성을 확인할 수 있습니다.

용어에 대한 참고 사항: “키” 및 “키 쌍”이라는 용어는 이 문서에서 설명하는 여러 유형의 키에 공통적으로 사용됩니다. 이러한 혼동을 완화하기 위해 사용자를 인증하는 데 사용되는 키를 참조할 때 “암호 키”라는 용어가 항상 사용됩니다. ‘키’라는 용어의 다른 인스턴스 사용은 컨텍스트 또는 증명 키와 같은 한정자에 의해 구체적입니다.

기존의 암호 기반 시스템에서는 사용자와 RP가 암호를 기밀로 유지한다고 가정할 수 있습니다. 이 가정이 일관되게 적용되지 않기 때문에 위반이 발생할 수 있습니다. 암호 대신 패스키를 사용하는 것은 상당한 개선이지만 일부 RP는 인증자 및 해당 속성의 신뢰성을 확인하기 위해 더 엄격한 정책이 필요할 수 있습니다.

암호와 달리 패스키는 안전하게 생성된 키 자료를 사용하여 웹 사이트 및 앱에 액세스할 수 있습니다. 사용자와 RP는 이 키 자료의 저장 및 관리를 위해 인증자에 의존하므로 패스키의 안전한 처리에 대한 책임을 공유합니다. 인증자, RP 및 패스키 공급자(해당되는 경우)를 포함한 FIDO 솔루션의 모든 행위자 및 구성 요소는 함께 강력한 보안 프레임워크를 보장합니다. 이는 암호의 안전한 처리가 주로 사용자의 메모리, 동작, RP 및 암호 관리자(사용되는 경우)에 따라 달라지는 암호와 대조됩니다. RP는 증명을 활용하여 적절하게 구현된 FIDO 인증 디바이스 내에서 패스키가 안전하게 처리되는지 확인할 수 있습니다.

증명은 사용자의 암호 키를 보호하는 인증자에 대한 정보를 RP에 제공합니다. 이는 RP가 FIDO 인증에 대한 보안 정책을 적용할 수 있는 수단을 제공합니다. 다음 섹션에서는 증명의 개념, 그 목적, 실제 시나리오 비교 및 증명으로 해결할 수 있는 문제에 대해 자세히 알아봅니다.

1.1 FIDO 증명에 대한 실제 유추

일상적인 보안 프로토콜과 유사점을 그리면 중요한 통찰력을 얻을 수 있습니다. 디지털 환경과 물리적 환경 모두 ID를 검증하고 신뢰를 강화하기 위해 엄격한 견제와 균형이 필요합니다. FIDO 증명은 실제 세계에서 익숙한 신뢰 및 검증 프로세스를 반영합니다.

FIDO 증명의 중추적인 역할을 이해하려면 실제 식별 및 검증 사례에서의 적용을 고려하세요. 이러한 비유는 그것의 필수적인 기능과 효능을 강조합니다.

1. 신분 증명서 확인: 개인이 신원을 인증하기 위해 여권이나 운전 면허증과 같은 공식 문서를 제시할 수 있는 것처럼, 검증자(예: 출입국 관리소 직원)는 문서의 진위 여부를 증명하기를 원하므로 관련 인감 및 마크를 확인합니다. FIDO 증명은 사용자 인증자의 신뢰성에 대한 증거를 제공하고, 검사를 위한 진술을 제공하며, 인증자 및 진술의 신뢰성을 확인하기 위한 암호화 서명을 제공합니다.
2. 인증을 통한 신뢰 확보: 신뢰가 신원이나 권위에 대한 증거에 달려 있는 순간을 생각해 보십시오. 예를 들어, 경비원이 귀하의 신분 문서를 기반으로 귀하를 인증하여 시설에 대한 액세스를 승인하는 보안 시설에 액세스하는 것입니다. FIDO 증명은 온라인 등록 중에 인증자 출처 및 진위 여부를 확인하는 데 사용될 때 디지털 환경에서 신뢰를 조성합니다.
3. 위협 및 약점에 대응: 실제 시나리오에서는 사칭, 위조 및 사기에 대응하기 위해 ID 확인이 존재합니다. FIDO 증명은 인증자의 출처를 식별하고 RP가 알려진 취약성이 있는 디바이스의 등록을 감지하도록 지원하여 사용자가 보안 디바이스만 사용하도록 할 수 있습니다.

2.1 신뢰 당사자의 관점

FIDO 증명에 대해 자세히 살펴보면 인증 시스템을 강화하는 중요한 역할에 대한 귀중한 통찰력을 얻을 수 있습니다.

1. Authenticator 보안 및 규정 준수 보장: 예를 들어 금융 또는 공공 영역과 같은 민감한 부문에서 운영되는 RP의 경우 인증 장치가 안전하고 특정 표준을 충족하는지 확인해야 할 필요성이 높아졌습니다. FIDO 증명은 서비스에 액세스하는 인증자가 안전할 뿐만 아니라 특정 표준 및 규정을 준수하도록 보장하는 데 도움이 됩니다.
2. Authenticator 모델 특이성 및 신뢰Authenticator: FIDO 증명은 고유한 인증자 모델에 맞게 조정되어 등록 중 암호화 증명이 해당 인증자 모델의 신뢰성을 검증하도록 합니다. 증명 프로세스에 대한 일반적인 신뢰를 넘어 이러한 특수성을 통해 RP는 등록 요청에 사용된 암호 키가 특정 FIDO 인증자 모델에서 시작되었는지 확인할 수 있습니다. 이러한 세분성은 규정 또는 보안상의 이유로 인해 인증자 모델의 세부 정보가 중요한 RP에 가장 중요합니다.
3. 증명 서명을 통한 확인: 사용자가 새 계정을 설정하면 온보딩 RP는 새로 생성된 암호 키에 연결된 “증명 서명”이 실제로 정품 인증 모델에서 온 것임을 인증할 수 있습니다.
4. 인시던트 처리 및 대응: 인증자에서 취약성이 발견되면 증명을 확인하는 RP는 영향을 받을 수 있는 인증자를 검색할 수 있으며 영향을 받는 사용자에 대해 추가 인증 요소를 추가하거나 새 자격 증명을 등록해야 합니다.

2.2 최종 사용자의 관점에서

최종 사용자는 기술적 세부 정보를 알지 못할 수 있지만 FIDO 증명을 사용하면 온라인 보안을 강화할 수 있습니다.

1. 서비스에 대한 신뢰 향상: 특히 은행이나 정부 포털과 같은 고수준 보안 보장 부문에서 서비스를 사용할 때 사용자는 자신감이 높아지는 것을 경험할 수 있습니다. 그들은 RP가 인증할 뿐만 아니라 플랫폼에 액세스하는 인증자가 특정 표준을 준수하도록 보장한다는 것을 이해합니다.
2. Authenticator 규정 준수: FIDO 증명은 RP의 인증 규정 준수 및 보안을 보장하여 사용자가 원하는 RP 관련 서비스와 페어링된 인증 디바이스의 안정적인 기능을 활용할 수 있도록 합니다.
3. 투명한 등록 및 온보딩: 등록 프로세스는 원활한 진행을 위해 설계되었지만, RP가 FIDO 인증자의 증명을 요청할 때 추가 단계가 포함됩니다. 이 단계에서 사용자는 RP와 증명 메타데이터를 공유하는 데 동의해야 합니다. 이렇게 하면 증명, 인증 경로 유효성 검사 및 인증자 규정 준수와 관련된 백 엔드 확인이 간소화되는 동안 사용자는 프로세스를 인식하고 승인할 수 있습니다.

이 섹션에서는 FIDO 증명 및 FIDO 증명 유형에 대해 설명합니다.

3.1 FIDO 증명이란 무엇입니까?

FIDO 인증 프레임워크 내에서 증명은 인증 프로세스 중에 사용자 인증자의 신뢰성을 확인하는 프로세스입니다. 증명을 FIDO Alliance의 메타데이터 서비스[1]와 함께 사용하여 모델 및 인증 수준을 포함하여 인증자에 대한 자세한 정보를 얻을 수 있습니다. 엔터프라이즈 증명이라고 하는 선택적 증명 수준을 사용하면 특정 인증자에 대한 추가 확인을 수행할 수 있습니다(섹션 4.5 참조).

‘증명’이라는 용어는 FIDO의 컨텍스트 외부에서 다른 의미를 가질 수 있습니다. 이 백서에서는 FIDO Alliance의 범위 내에서만 증명에 대해 설명합니다.

FIDO 등록에서 핵심 단계는 사용자 인증 암호를 만드는 것이며, 이는 증명이 관련되어 있는지 여부에 관계없이 발생합니다. 이 프로세스 중에 스마트폰과 같은 사용자의 인증자는 각 RP에 대해 고유한 암호화 키 쌍을 생성합니다. 개인 키는 인증자 내에 안전하게 저장되고, 공개 키는 RP와 공유되어 보안 인증 프레임워크를 설정합니다. 또한 등록하는 동안 인증자는 인증을 제공하여 인증자의 무결성에 대한 추가 보증을 제공할 수 있습니다.

사용자의 인증 패스키를 생성하는 것 외에도 FIDO 인증 프레임워크에는 선택적 증명 프로세스가 포함되어 있습니다. 증명이 요청되면 인증자는 증명 키를 사용하여 AAGUID(Authenticator Attestation Globally Unique ID)와 함께 암호 키 공개 키에 서명함으로써 증명을 제공할 수 있으며(synced passkeys는 현재 증명을 제공하지 않음) 인증자 속성이 MDS(FIDO Alliance의 메타데이터 서비스[1])를 통해 RP 조건을 충족하는지 확인하기 위해 RP에 대한 신뢰 앵커를 설정하는 서명된 증거를 만들 수 있습니다.], 추가 정보는 섹션 3.3을 참조하십시오. 인증자가 증명을 제공할 수 없는 경우 RP는 암호 키를 사용하여 사용자를 인증할 수 있으며 인증자 정보(예: AAGUID)를 얻을 수 있지만 필요한 인증자 속성이 있다는 검증 가능한 증거를 얻지 못할 수 있습니다.

이 증명 프로세스는 대체 또는 위조 인증자의 도입과 같은 공급망 공격으로부터 보호하는 데 도움이 됩니다. RP는 인증자의 신뢰성을 확인함으로써 인증자의 속성을 이해하고 특히 등록 단계에서 예상되는 보안 표준을 충족하는지 여부를 평가하여 장치의 적법성을 보장합니다.

따라서 FIDO 증명은 프레임워크의 광범위한 보안 및 개인 정보 보호 목표의 핵심 구성 요소입니다. 암호에 대한 의존도를 최소화하고, 공개 키 암호화를 기반으로 강력한 장치 인증을 촉진하며, 다양한 플랫폼 및 장치에서 인증에 대한 표준화되고 상호 운용 가능한 접근 방식을 제공하는 것을 목표로 합니다.

3.2 FIDO 증명의 유형

FIDO 증명에는 여러 가지 유형이 있으며, 이러한 유형의 FIDO 증명은 증명 문에 서명하는 방법이 다릅니다. 엔터프라이즈 증명을 제외한 이러한 증명 유형은 특정 인증자에 대한 정보를 제공하지 않습니다. 이는 사용자 개인 정보를 보호하기 위한 것입니다.

1. 자체 증명: 증명 문은 사용자의 암호 키로 서명됩니다. 이는 증명 문에 대한 무결성 보호를 제공하며 다른 보증은 제공하지 않습니다.
2. 기본 증명: 증명 문은 인증자의 제조업체에서 만든 키로 서명되고 인증자에 포함됩니다. 이렇게 하면 인증 문의 무결성 보호와 인증자 제조업체의 증거를 제공합니다. 개인 정보 보호를 위해 이 키는 동일한 인증자의 여러 모델에서 복제되어야 합니다(현재 FIDO Alliance 요구 사항은 100,000개의 디바이스임 >). 이는 특정 인증자 인스턴스에 고유하지 않습니다.
3. 증명 CA(AttCA) 또는 익명화 CA(AnonCA): 이는 증명 문이 TPM 증명 키로 서명된다는 점을 제외하고는 기본 증명과 유사합니다. 이 경우 암호화 작업이 발생하고 비밀이 모듈을 벗어나지 않고 안전하게 저장되는 하드웨어 기반 모듈인 TPM에는 인증자를 관리하는 신뢰할 수 있는 기관에서 서명한 증명 키의 인증서가 있습니다.
4. 엔터프라이즈 증명: 이것은 섹션 4.5에서 논의됩니다.

FIDO2 사양은 WebAuthn 사양 [2] 과 함께 작동한다는 점에 유의해야 합니다. 사용되는 증명 유형은 WebAuthn 사양에 정의된 증명 개체 내의 필드를 검사하여 결정됩니다. WebAuthn 사양에서 제공하는 추가 정의에는 packed, TPM, Android-key와 같은 다양한 유형의 형식이 포함되며 필요한 경우 맞춤 형식을 지원합니다.

3.3 AAGUID 사용

Authenticator 증명 GUID 또는 간단히 AAGUID는 인증자의 제조업체(제조업체) 및 모델을 고유하게 식별합니다. 특정 인증자를 고유하게 식별하지 않습니다. AAGUID는 RP가 증명을 요청할 때 인증자에 의해 반환되며, RP는 이를 사용하여 인증자의 제조업체 및 모델이 정책을 충족하는지 확인할 수 있습니다. 다른 용도 중에서도 AAGUID는 RP에 인증자에 대한 자세한 정보를 제공하는 FIDO(MDS)[1] 내의 조회 값입니다.

인증자의 AAGUID 전달은 무결성 또는 신뢰성에 대한 증거를 제공하지 않습니다. RP는 특정 인증자가 진실한 정보를 제공할 수 있도록 신뢰해야 합니다.

이 점을 강조하는 것이 중요합니다.

• 증명이 없는 AAGUID는 “정보 제공용”일 뿐이며 신뢰성에 대한 어떠한 보증도 제공하지 않습니다.
• 증명은 인증자의 ID에 대한 보증 수준(증명 유형에 따라 다름)을 제공하는 서명을 제공합니다.

이 섹션에서는 FIDO 증명을 구성하는 이벤트 및 관련 구성 요소의 순서에 대해 설명합니다.

4.1 인증 키와 증명 키

FIDO에서 사용자 인증을 위한 키 및 메서드의 사용은 이전 문서에서 소개되었지만 증명에 사용되는 키 및 메서드의 사용은 익숙하지 않을 수 있습니다.

• 사용자 인증: 이는 사용자가 FIDO 기술의 일반적인 응용 프로그램인 기존 암호 대신 암호 키를 사용하여 올바른 시스템 자격 증명을 소유하고 있음을 입증하는 프로세스입니다.
• 증명: 이는 사용자에게 할당되지 않고 대신 인증자에게 할당된 키를 사용하여 메시지의 신뢰성을 증명하는 메시지에 디지털 서명하는 인증자의 프로세스입니다. 관련된 메시지를 “증명문”이라고 하며 인증자에 대한 정보를 포함합니다. 증명 문이 인증자의 증명 키로 디지털 서명된 경우 RP는 증명 문의 유효성을 확인할 수 있습니다.

요약하면 다음과 같습니다.

• 패스키는 RP에 대해 사용자를 인증합니다
• 증명 키는 출처를 인증하기 위해 증명 문에 서명합니다

섹션 3.3에 설명된 대로 RP는 메타데이터 서비스에 대해 인증자의 AAGUID를 확인하여 이 정보를 얻음으로써 인증자의 제조업체와 모델을 얻을 수 있습니다. RP가 신뢰하는 키로 디지털 서명되지 않으면 RP는 이 정보가 진짜인지 또는 쿼리되는 인증자와 연결되어 있는지 확인할 수 없습니다.

참고: 섹션 3.2에서 설명한 것처럼 몇 가지 증명 유형이 있습니다. 그 중 하나인 “자체 증명”은 사용자 인증 키를 사용하여 증명 문에 서명합니다. 이것은 기술적으로 모순이 아니라 증명 문의 신뢰성이 아닌 무결성 보호를 허용하기 위해 제공된 단순화입니다.

4.2 증명 키에 대한 신뢰 – 신뢰 체인

증명의 기본은 증명 키에 대한 RP의 신뢰입니다. 증명 키는 신뢰할 수 있는 출처에서 생성해야 하며 인증자에 의해 보호되어야 합니다. 신뢰할 수 있는 소스는 일반적으로 인증자의 제조업체이지만 “AttCA(Attestation CA) 또는 AnonCA(Anonymization CA)”의 경우 신뢰할 수 있는 에이전트 또는 CA( Certification 기관)가 인증자의 신뢰성을 주장합니다. 증명 키의 공개 부분은 앞에서 언급한 신뢰할 수 있는 채널(일반적으로 FIDO MDS [1])을 사용하여 RP에서 가져옵니다.

4.3 FIDO 증명 시퀀스

증명은 사용자가 아닌 인증자와 연결된 키 쌍을 사용합니다. 동일한 제조사 및 모델의 모든 인증자가 동일한 증명 문을 반환하는 것이 중요합니다. 증명 형식은 이 섹션의 뒷부분에서 살펴보지만, 개략적으로 증명은 인증자 유형에 대한 정보를 제공하며 단일 디바이스에만 국한되지 않는다는 점을 이해하는 것이 중요합니다.

다음 단계(1.a 또는 1.b 다음에 2.)는 FIDO 인증자의 증명 수명 주기를 요약합니다.

1. Authenticator 제조: 증명 키를 프로비저닝하는 두 가지 모델이 있습니다: 여러 플랫폼에서 사용되는 스마트폰 또는 USB 보안 키와 같은 로밍 인증자에 대한 사례 “a”와 랩톱 또는 스마트폰과 같은 디바이스 내에 내장된 인증 메커니즘인 플랫폼 인증자에 대한 사례 “b”.

참고: 이 두 가지 모델 구분은 FIDO 사양에서 구조적으로 요구하지 않지만, 오늘날 알려진 실용적인 구현이며 이 문서의 목적에 대한 간단한 설명을 제공합니다. 또한 설명은 일반화이며 제조업체는 여기에 설명된 것과 다른 방법을 배포할 수 있습니다 – 이는 일반화일 뿐입니다.

• 로밍 Authenticator: 인증자 제조업체는 특정 인증자 모델에 대한 AK(증명 키 쌍)를 생성합니다. 제조업체는 AK의 공개 키를 사용하여 인증서를 만듭니다. AK 인증서는 일반적으로 MDS에 입력됩니다. 이렇게 하면 AAGUID가 제공될 때 RP가 신뢰할 수 있는 소스인 MDS에서 AK 인증서를 검색할 수 있습니다. AK 인증서 자체는 일반적으로 인증자의 제조업체 발급자 키로 서명됩니다. 이렇게 하면 인증자에서 제조업체로 다시 검증 가능한 암호화 체인이 생성됩니다.
• 플랫폼 Authenticator: 인증자는 FIDO 증명에 사용할 수 있는 증명 키와 함께 제조업체에서 배송되지 않습니다. 대신 플랫폼 인증자 내의 영구 키에 의존합니다. 이러한 키는 증명 서비스에서 FIDO 증명 키를 생성하는 데 사용하는 중요한 암호화 요소입니다. 증명 서비스는 플랫폼 인증자의 무결성 및 규정 준수에 대한 보증을 제공하기 위해 신뢰 당사자에 의해 신뢰됩니다. 증명 서비스는 인증자의 속성을 어설션하는 증명 개체에 서명하는 데 사용되는 증명 키를 만듭니다. RP는 로밍 인증자의 제조업체를 신뢰하는 것과 동일한 방식으로 증명 서비스를 신뢰해야 합니다.

2. 증명을 통한 사용자 프로비저닝: 등록(새 계정 설정) 중에 고유한 암호화 키 쌍을 사용하여 새 사용자 자격 증명(암호 키)이 생성되고 공개 키가 RP로 전송됩니다. RP는 선택적으로 증명을 요구할 수 있습니다. 사용자 또는 인증자는 증명에 대한 요구 사항을 무시할 수 있습니다. 인증자가 증명 키를 소유하고 있고 사용자가 이를 허용하는 경우 사용자의 공개 암호 키(증명 문과 함께)가 증명 개인 키로 서명된 RP로 전송됩니다. 이렇게 하면 RP가 새로 생성된 사용자에 대한 사용자의 공개 암호 키가 포함된 증명 문을 확인할 수 있습니다. 따라서 사용자의 개인 암호 키가 알려진 속성을 가진 특정 인증자에서 시작되었다는 확신/증거를 제공합니다.

4.4 증명 수명 주기에 대한 일반적인 설명

증명 키에는 일반적으로 제조업체의 신뢰할 수 있는 루트 인증서에 연결되는 연결된 증명 인증서가 있습니다. RP가 서명된 증명 문의 신뢰성을 확인하면 RP는 MDS와 함께 증명 문을 사용하여 인증자에 대해 자세히 알아볼 수 있습니다. 예를 들어, RP는 어떤 수준의 암호화가 사용되는지, 어떤 유형의 활성화 비밀이 특정 수준의 정확도로 활용되는지(예: 생체 인식) 등을 이해하고자 할 수 있습니다. 인증자에 대한 세부 정보를 얻기 위해 인증자 모델을 식별하는 AAGUID 값이 새로 생성된 공용 암호 키와 함께 RP로 전송됩니다. AAGUID는 특정 특성, 특정 폼 팩터 또는 엔터프라이즈 브랜딩을 가진 특정 제품 릴리스와 같은 인증자 인스턴스의 특정 그룹을 나타내므로 RP는 이 AAGUID를 사용하여 MDS에서 인증자에 대한 자세한 정보를 조회할 수 있습니다.

다이어그램에서 볼 수 있듯이 증명 개체(제공된 경우)는 증명 문의 형식을 표시한 다음 RP가 검사할 수 있는 일부 데이터를 포함합니다. 증명 개체에는 일반적으로 서명과 인증서 또는 증명 공개 키에 대한 출처 정보를 제공하는 유사한 데이터가 포함된 문이 포함됩니다. 증명 개체에 대한 자세한 내용은 부록의 섹션 9.1 에 나와 있습니다.

RP는 먼저 증명 문의 서명을 확인하고 확인되면 증명 문을 검사해야 합니다. RP가 증명 문의 형식과 유형을 식별하면 RP는 내용을 검토하고 내용을 정책과 비교합니다.

RP가 인증자에 대한 직접 요청으로 인한 증명 응답의 예는 부록의 9.2 에 나와 있습니다. 증명 응답에 제공된 AAGUID를 사용하여 FIDO 메타데이터 서비스에서 인증자에 대한 추가 세부 정보를 가져올 수 있습니다.

4.5 기업 증명

기본적으로 FIDO는 인증자가 AAGUID를 사용하는 제품 정보와 해당 유형 및 기능에 대한 개략적인 정보만 제공할 수 있도록 허용하며, 인증자가 고유 식별 정보를 제공하는 것을 명시적으로 금지합니다. 그러나 엔터프라이즈 증명은 고유한 인증자 키 쌍을 일련 번호 또는 동등한 고유 식별자에 바인딩하므로 이러한 제한을 제거합니다.

4.5.1 사용 사례

기업은 다양한 목적을 위해 인증자를 적극적으로 관리하며 고부가가치 자산을 보호하는 데 필수적입니다. 직원은 자신의 인증자를 선택할 수 있지만, 기업은 구매부터 수거까지 전 과정을 감독하기 때문에 직원 한 명당 인증자를 제한하고 이탈 또는 분실 시 인증자를 취소할 수 있습니다. 또한 기업은 리소스를 보호하기 위해 관리 용이성과 추적 용이성을 우선시할 수 있습니다. 위협 인시던트가 발생하면 포렌식 조사는 특정 인증자와 관련된 활동을 추적하고 이상 징후 또는 위협의 원인을 발견하기 위해 인증자의 사용 활동 패턴과 상관 관계를 지정해야 할 수 있습니다. 엄격한 관리는 거래에 대한 부인 방지를 보장하는 능력을 향상시킵니다. 고위험 사용자는 제한된 중요한 정보 또는 서비스에 액세스할 수 있도록 엔터프라이즈의 전용 인증자를 할당받을 수 있습니다. 이러한 인증자에는 특정 PIN이 할당되며 신뢰할 수 있는 공급망을 통해 획득됩니다.

특정 엔터프라이즈 배포에서는 특정 디바이스 ID(예: 디바이스 일련 번호)를 식별하기 위해 엔터프라이즈 증명과 함께 FIDO 인증자를 사용해야 합니다. Enterprise Attestation 유효성 검사는 조직의 특정 신뢰 당사자에 의해서도 지원되어야 합니다. 이러한 관행은 장치 프로비저닝 및 수명 주기 관리에 대한 향상된 제어에 대한 기업별 요구 사항을 적극적으로 해결합니다.

4.5.2 프로세스

4.5.2.1 프로비저닝

엔터프라이즈 증명을 위한 프로비저닝은 섹션 4.3에 설명된 프로세스에서 수정되어 인증 문에 인증자 고유 정보를 모두 포함하고, 인증자의 제조업체에 의해 인증자에 영구적으로 “굽힌” RP 집합에서 이 고유 정보를 받을 수 있는 특정 RP를 추가합니다. 인증자는 인증자에 프로비저닝된 RP에 대해서만 엔터프라이즈 증명을 수행합니다. 다른 RP는 고유 식별자를 제외한 다른 유형의 증명을 계속 수행할 수 있습니다.

기업 증명이 포함된 인증자는 공개 시장에서 판매되어서는 안 되며 인증자의 제조업체에서 RP에 직접 공급해야만 할 수 있습니다. 엔터프라이즈 증명이 활성화된 인증자를 원하는 RP는 RP ID(RPID) 목록을 제공하여 인증자의 제조업체에서 직접 인증자를 주문합니다. 이러한 특정 RPID는 인증자에게 영구적으로 소각/기록되는 RPID입니다.

4.5.2.2 기업 증명을 사용한 사용자 등록

섹션 4.3에 설명된 FIDO 사용자 등록 중에 RP는 엔터프라이즈 증명의 필요성을 나타낼 수 있습니다. 이렇게 하면 인증자의 고유 식별자에 대한 증거를 제공하여 사용자를 특정 인증자와 고유하게 연결합니다. 사용자 등록 중에 인증자는 요청하는 RP(RPID 사용)가 엔터프라이즈 증명을 수행할 수 있는 영구적으로 프로비저닝된 RPID 목록에 나열되어 있는지 확인합니다. 승인되면 이 고유 식별자가 증명 개체에 추가되고 증명 키로 서명됩니다. RP는 증명 개체의 유효성을 검사해야 하며, 필요에 따라 증명 개체에 서명하는 데 사용되는 인증서 링크/체인의 유효성을 검사해야 합니다. 그런 다음 RP는 사용자 등록 시 고유 식별자가 실제로 기업에서 구매했는지 확인할 수 있으며 해당 확인을 레코드에 포함할 수 있습니다.

RP에서 고유 식별 정보를 인증하는 데 사용하는 구현은 인증자에 따라 다릅니다. 일부 인증자는 기업이 RP ID 목록을 제조업체에 제공하고 해당 목록이 인증자에 각인되는 공급업체 지원 방법을 사용할 수 있습니다. 다른 하나는 일부 엔터프라이즈 관리 플랫폼이 엔터프라이즈 관리 브라우저와 같은 정책을 유지 관리하는 경우입니다. 엔터프라이즈 관리 플랫폼은 허용된 RP 목록을 인증자에 인쇄하는 대신 정책에 따라 엔터프라이즈 증명이 RP에 제공되는지 여부를 결정합니다.

증명은 인증자에 대한 중요한 신뢰 주장을 제공하지만, 증명 중에 공유된 정보로 인해 개인 정보 보호 문제가 발생할 수 있습니다. 몇 가지 개인 정보 보호 고려 사항은 다음과 같습니다.

• 이 문서에 설명된 증명 속성에는 광범위한 개인 정보 보호 컨트롤이 포함되어 있지만 구현자는 지역 및 로컬 개인 정보 취급 방침에 대해 이러한 기능을 고려해야 합니다.
• 증명을 사용하면 인증자의 제조사 및 모델, 펌웨어 버전 또는 제조업체 세부 정보와 같은 정보를 RP와 공유할 수 있습니다. 민감한 인증자 관련 데이터의 잠재적 노출 가능성과 이 정보를 기반으로 한 사용자의 후속 추적 또는 프로파일링에 대한 우려가 발생할 수 있습니다. 바로 이러한 이유로 디바이스를 식별할 수 있는 작은 풀이 아니도록 최소 100,000개의 증명 배치가 권장됩니다.
• 비기업 증명은 인증자 내의 여러 암호 키가 서로 다른 RP와 연결되는 것을 방지하여 사용자 개인 정보를 보호합니다. 예를 들어 단일 인증자를 사용하는 사용자는 RP 1(RP1)에 대한 사용자 인증 암호(passkey1)를 만든 다음 RP 2(RP2)에 대한 새 사용자 인증 암호(passkey2)를 만들 수 있습니다. 사용자가 두 RP에 동일한 물리적 인증자를 사용하고 증명을 사용하더라도 RP1과 RP2가 협업하더라도 passkey1과 passkey2가 동일한 인증자에서 온 것인지 확인할 수 없으므로 트랜잭션이 동일한 사람으로부터 온 것인지 확인할 수 없습니다.
• 엔터프라이즈 증명은 고유한 식별 정보(예: 디바이스 일련 번호)를 추가하여 인증된 RP가 기업 내 여러 사전 프로비저닝된 RP에서 특정 인증자의 사용을 추적할 수 있도록 합니다. 이 환경의 사용자는 이 속성과 이 속성이 엔터프라이즈에 추가하는 가치를 이해하고 있어야 합니다.

RP는 증명 전송에 대한 선호도에 반영된 FIDO 인증자에 대한 등록 요구 사항을 결정할 수 있습니다. 일부 RP는 등록이 허용되는지 여부를 결정하기 위해 증명을 요구하지 않을 수 있습니다. 다른 RP에는 위험 결정을 내리기 위해 증명 개체가 필요한 보안 요구 사항이 있을 수 있습니다. 보안 요구 사항은 인증자의 특성(예: PIN이 필요한지 여부)을 기반으로 하거나 허용되는 인증자 모델만큼 구체적일 수 있습니다. 마지막으로, 보다 보호된 환경에서 일부 RP는 기업에서 인증자를 알리고, 제어하고, 신뢰할 수 있도록 하기 위해 추가 엔터프라이즈 증명이 필요할 수 있습니다.

FIDO 및 WebAuthn 표준의 구성요소인 FIDO 증명은 사용자 인증자의 신뢰성을 검증합니다. 이 프로세스는 공급망 공격, 위조 인증자 및 대체 공격과 같은 다양한 위협에 대한 방어를 제공합니다. 더 높은 인증 보증이 필요한 RP의 경우 증명은 해당 보증을 얻기 위한 FIDO 중심 메커니즘입니다. 특정 인증자의 신뢰성을 보장해야 하는 RP의 경우 증명을 통해 이러한 RP가 알려지고 신뢰할 수 있는 디바이스를 다루고 있다는 확신을 얻을 수 있습니다.

FIDO는 사용자가 등록하는 각 RP에 대해 고유한 키 쌍을 생성함으로써 사용자 보안에 대한 약속을 강조하고 잠재적인 서비스 간 취약성을 제거합니다. 엔터프라이즈 증명 기능은 직원이 사용하는 인증자를 보다 효과적으로 관리할 수 있도록 하며, 정확한 디바이스 관리를 우선시하는 환경에 매우 중요합니다.

FIDO 증명은 특정 개인 정보 보호 고려 사항을 제공합니다. 인증자 관련 정보 공개, 사용자 장치 지문 및 사용자 추적 가능성은 모두 개인 정보 보호 인식 접근 방식의 중요성을 강조합니다. RP, 제조업체 및 사용자를 포함한 모든 이해 관계자는 보안 강화와 사용자 개인 정보 보호 사이의 경로를 탐색해야 합니다.

FIDO 증명은 적응할 수 있습니다. RP는 원하는 수준의 증명을 요청할 수 있는 재량권을 가지고 있으며, 이를 통해 전문 서비스와 대기업 모두에 적합한 맞춤형 접근 방식을 보장할 수 있습니다.

요약하자면, FIDO 증명은 온라인 인증을 강화합니다. 공개 키 암호화, 고유 키 쌍 및 특정 증명 프로세스에 중점을 두고 있는 이 암호화는 신중한 배포, 기능에 대한 철저한 이해, 사용자 개인 정보 보호에 대한 일관된 약속을 통해 효율성을 극대화합니다.

저자는 귀중한 피드백과 의견에 대해 다음 사람들(알파벳 순서)에게 감사를 표합니다.

• FIDO Enterprise Deployment 워킹 그룹 구성원
• Dean H. Saxe, Amazon, Enterprise Deployment Working Group 공동 의장
• 제롬 베쿼트(Jerome Becquart), Axiad IDS, Inc.
• 요하네스 스톡만(Johannes Stockmann), Okta Inc.
• 톰 드 와쉬(Tom De Wasch), OneSpan North America Inc.
• 톰 셰필드(Tom Sheffield), 타겟 코퍼레이션(Target Corporation)
• 존 폰타나(John Fontana), 유비코(Yubico)

9.1 증명 개체

부록 그림 1 – 증명 개체*
*포함된 인증자 데이터 ( 증명된 자격 증명 데이터 포함) 및 증명 문을 보여주는 레이아웃입니다.

9.2 증명 개체 예제

attestationObject: {
  "fmt": "packed",
  "attStmt": {
    "alg": -7,
    "sig": "3045022100da2710ff0b5f5e5d72cda8c1e650f0b696e304942e55138672aa87a5e370a92d02205fd1a48bbda4757aac21252c7064f21130aba083151ab8ae75a26a356b675495",
    "x5c": [
      "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"
    ]
  },

  "authData": {
    "rpIdHash": "f95bc73828ee210f9fd3bbe72d97908013b0a3759e9aea3d0ae318766cd2e1ad",
    "flags": {
      "userPresent": true,
      "reserved1": false,
      "userVerified": true,
      "backupEligibility": false,
      "backupState": false,
      "reserved2": false,
      "attestedCredentialData": true,
      "extensionDataIncluded": false
    },

    "signCount": 4,
    "attestedCredentialData": {
      "aaguid": "7e3f3d30-3557-4442-bdae-139312178b39",
      "credentialId": "c0a3eb62197b77edd0cd1c73bffeb068dcc2595cfdf2e4dc01478bddc9cefcf52282f95bc73828ee210f9fd3bbe72d97908013b0a3759e9aea3d0ae318766cd2e1ad04000000",
      "credentialPublicKey": {
        "kty": "EC",
        "alg": "ECDSA_w_SHA256",
        "crv": "P-256",
        "x": "D3Ki/INLfrmlNogo8d1lK7kBT4Fh3wPyVt/kusDAMKY=",
        "y": "M11KJSPXRiBn1ZtAo1eynxvaUXqipZJYV0AT0gC2czo="
      }
    }
  }
},

부록 그림 2 – 예제 증명 개체

[1] FIDO Alliance 메타데이터 서비스 – https://fidoalliance.org/metadata/
[2] WebAuthn 사양 – 증명 섹션 – https://www.w3.org/TR/webauthn-3/#sctn-attestation