백서: 중간 수준의 보증 사용 사례를 위한 FIDO 인증

8월 29, 2024

편집기

제롬 베콰르트, 액시아드
그렉 브라운, 액시아드
Matt Estes, Amazon Web Services

추상적인

이 백서의 목적은 조직이 장치 바인딩 패스키와 동기화된 패스키의 기능과 기능을 분석하여 중간 수준의 보증 환경에서 두 자격 증명 유형을 모두 활용할 수 있는 방법을 결정할 때 지침을 제공하는 것입니다. 이 백서에서 “보통 보증”이라는 용어는 동기화된 암호 키를 사용하여 암호 및 표준 사용자 계정의 경우 MFA(다단계 인증)를 대체하고 최고 수준의 보호 및 보증이 필요한 사용자 계정의 경우 디바이스 바인딩 암호를 대체하여 법적, 규정 및 보안 요구 사항이 두 가지 유형의 자격 증명을 모두 사용할 수 있을 만큼 유연한 환경 또는 조직을 의미합니다. 이 백서는 장치 바인딩 패스키와 동기화된 패스키에서 지원하는 기능과 요구 사항을 비교하여 중간 정도의 보증 요구 사항이 있는 조직에서 두 가지 유형의 자격 증명을 함께 활용할 수 있는 방법에 대한 비전을 제공하도록 설계되었습니다.

관객

이 백서는 IT 관리자, 엔터프라이즈 보안 아키텍트 및 경영진을 포함하여 조직 전체에 FIDO Authentication 배포를 고려하고 있는 모든 사람을 대상으로 하는 일련의 백서 중 하나입니다.

독자들은 여기에서 일련의 논문에 대한 소개를 찾을 수 있습니다. 소개 백서에서는 낮은 보증부터 높은 보증까지 다양한 사용 사례를 다루는 시리즈의 모든 백서에 대한 추가 설명과 링크를 제공합니다. 대부분의 기업에는 이러한 백서 중 하나 이상에 걸쳐 있는 사용 사례가 있을 것으로 예상되며 독자가 배포 요구 사항과 관련된 백서를 검토하도록 권장합니다.

백서는 독자가 FIDO2 자격 증명과 FIDO2 자격 증명이 수행하는 역할에 대한 기본적인 이해를 가지고 있다고 가정합니다.
인증 프로세스; FIDO2에 대한 소개 정보는 FIDO2 – FIDO 얼라이언스에서 확인할 수 있습니다.

1. 소개

FIDO2 자격 증명의 초기 구현은 로밍 인증자 또는 플랫폼 인증자에서 장치 바인딩 암호 키로 생성되었으며, 여기서 자격 증명의 개인 키는 장치의 인증자에 저장되며 인증자에서 내보내거나 복사, 백업 또는 동기화할 수 없습니다. 이 구성은 신뢰 당사자(예: 웹 사이트 또는 서비스 공급자)에게 사용자와 장치가 시스템의 합법적인 사용자라는 매우 높은 수준의 확신을 제공하는 매우 안전하고 피싱 방지 인증을 위한 솔루션을 제공합니다. 그러나 이러한 높은 수준의 보증에는 주로 유용성 및 계정 복구와 관련된 몇 가지 과제가 따릅니다. 예를 들어 인증자에서 개인 키를 가져올 방법이 없기 때문에 개인 키가 저장된 장치가 손실되거나 손상되면 키가 인증된 리소스에 대한 액세스가 손실됩니다. 디바이스 바인딩 패스키를 사용하는 경우 솔루션은 모든 신뢰 당사자에게 두 번째 디바이스 바인딩 패스키를 등록하는 것입니다. 이렇게 하면 사용자가 두 인증자를 모두 등록해야 하므로 사용자 환경이 더 어려워집니다. 신뢰 당사자가 IdP 자체이기 때문에 IdP(ID 공급자)를 사용하여 애플리케이션에 대한 액세스를 페더레이션하여 인증 흐름을 통합한 조직의 경우 이 문제가 다소 줄어듭니다.

이러한 문제를 해결하기 위해 2022년 5월 Apple, Google 및 Microsoft는 운영 체제에서 동기화된 패스키를 지원하겠다는 의사를 발표했습니다. 동기화된 패스키는 개인 및 공개 키 쌍의 지속적인 사용을 포함하여 기기 바인딩 패스키와 동일한 특성을 많이 가지고 있습니다. 그러나 한 가지 중요한 차이점은 동기화된 패스키를 사용하면 자격 증명의 개인 키를 동일한 공급업체의 동기화 패브릭 에코시스템(예: Apple 에코시스템의 iCloud)에 있는 사용자가 소유한 다른 디바이스와 동기화할 수 있다는 것입니다. 동기화된 패스키를 사용하면 보다 간소화되고 사용자 친화적인 경험을 만들 수도 있습니다. 모든 패스키는 몇 가지 공통 보안 속성을 공유하고, 피싱에 대한 저항력이 뛰어나며, 고유한 키 쌍을 사용하여 강력한 인증을 가능하게 합니다. 그러나 동기화된 암호와 장치 바인딩된 암호 키의 차이점에 유의하는 것도 중요합니다. 예를 들어 동기화된 패스키는 기기 바인딩 패스키에 대해 분석할 때 새로운 보안 고려 사항을 도입합니다. 반대로, 동기화된 패스키는 계정 복구 문제를 더 쉽게 해결할 수 있습니다.

조직은 환경에서 두 자격 증명 유형을 모두 활용할 수 있는 방법과 위치를 평가하기 위해 노력할 때 조직의 법률, 규정 및 보안 요구 사항을 검토하고 이해해야 합니다. 조직은 이러한 요구 사항을 평가할 때 이러한 요구 사항의 조합을 AAL(인증 보증 수준)으로 여러 번 참조하고 다양한 보증 수준에 대한 지침과 권장 사항을 제공하는 NIST(National Institute of Standards and Technology)의 문서를 참조합니다. 현재 NIST는 동기화된 패스키를 더 잘 통합하기 위해 이러한 보증 수준을 업데이트하기 위한 작업을 진행 중이지만, 현재 표준은 디바이스 바인딩 패스키 및 동기화된 패스키의 조직 구현을 평가할 때 도움이 될 수 있습니다. NIST 및 AAL에 대한 자세한 내용은 nist.gov(인증자 보증 수준)에서 확인할 수 있습니다.

이 백서의 관점에서 보통 보증 환경은 AAL1 및/또는 AAL2 및 AAL3 수준의 보증의 조합으로 충족할 수 있는 여러 가지 인증 사용 사례 시나리오가 있는 조직입니다. 이 백서에서는 장치 바인딩 패스키와 동기화된 패스키의 장점과 단점에 대해 자세히 알아보고, 조직이 자체 법률, 규제 및 보안 요구 사항과 함께 사용할 수 있는 둘 사이의 비교를 제공하여 장치 바인딩 패스키와 동기화된 패스키를 모두 중간 수준의 보증 환경에 구현하여 안전한 기능을 활용할 수 있는 방법과 위치를 결정합니다. FIDO2 자격 증명이 조직의 모든 부분에서 제공하는 피싱 방지 및 사용자 친화적인 인증 프로세스입니다.

백서 다운로드

2. FIDO 자격 증명 채택 고려 사항

조직이 조직의 AAL1, AAL2 및 AAL3 요구 사항을 지원하기 위해 장치 바인딩 암호 키와 동기화된 암호 키의 사용을 모두 평가할 때 고려해야 할 몇 가지 요소가 있습니다. 이러한 요소는 아래에 설명되어 있으며 두 가지 유형의 자격 증명을 모두 분석하고 기업에서 사용할 수 있는 위치를 결정하는 데 필요한 정보를 조직에 제공하기 위한 것입니다.

2.1. 사용자 경험
사용자 경험 측면에서 FIDO 자격 증명을 사용하여 시스템에 인증하는 목표는 항상 사용자에게 사용하기 쉽고 손쉬운 프로세스를 제공하는 것이었습니다. 원래 FIDO 구현은 간소화된 로그인 환경을 제공했지만 여전히 몇 가지 사용자 경험 문제가 있었습니다.

패스키는 사용자가 패스키 생성에 더 쉽게 접근할 수 있도록 하고 사용자가 인증 시 사용할 자격 증명을 선택하기만 하면 더 이상 사용자 이름이나 암호를 입력하지 않고 자동 완성과 유사한 환경을 제공하는 ‘패스키 자동 완성 UI’라는 새로운 기능을 포함하여 사용자 경험을 개선하는 데 도움이 되는 몇 가지 개선 사항을 도입합니다. 이 경험은 사용하기 매우 쉬워지며 대부분의 사용자가 이미 좋아하고 암호 관리자와 같은 솔루션을 사용할 때 편안하게 느끼는 경험과 매우 유사합니다. 사용자가 현재 암호 환경보다 더 좋아하는 암호 키 사용자 환경을 만들면 이전 암호 키 구현에서 볼 수 있었던 채택의 장애물이 제거됩니다.

2.1.1 백업, 분실 장치 및 복구
기기 바인딩 패스키를 사용하면 개인 키가 저장되고 인증자를 벗어날 수 없습니다. 이는 매우 안전한 솔루션을 만들지만 키 데이터 백업, 인증자 손실 및 사용자를 위한 새 인증자 추가와 관련하여 사용자와 기업에 문제를 야기합니다. 기기 바인딩 패스키(fidoalliance.org(FIDO_Account_Recovery_Best_Practices-1.pdf))에 권장되는 복구 방법이 있지만 동기화된 패스키는 보다 사용자 친화적인 방식으로 이러한 문제를 해결하는 데 사용됩니다. 동기화된 패스키 솔루션을 구현하면 사용자는 인증자가 분실된 경우 지속적인 액세스를 보장하기 위해 더 이상 신뢰 당사자에게 여러 인증자를 등록할 필요가 없습니다. 인증자가 분실된 경우 사용자는 암호 키 공급자가 제공하는 복구 프로세스를 사용하여 암호 키를 복구할 수 있습니다. 또한 동기화된 패스키는 사용자가 디바이스당 고유한 자격 증명을 등록하거나 자격 증명 손실 위험을 최소화하기 위해 여러 디바이스 바인딩 패스키를 유지할 필요가 없으므로 더 나은 사용자 경험을 제공합니다. 일단 구성되면 동기화된 패스키는 패스키 공급자와 동기화된 모든 기기에서 사용할 수 있습니다.

그러나 동기화된 패스키는 패스키 공급자 및 해당 동기화 패브릭에 대한 종속성을 생성합니다. 각 공급자는 자격 증명이 오용되지 않도록 보호하기 위한 자체 보안 제어 및 메커니즘을 포함하는 자체 동기화 패브릭을 구현합니다. 특정 보안 또는 규정 준수 요구 사항이 있는 조직은 요구 사항을 충족하는 공급자 또는 하드웨어 보안 키를 평가해야 합니다.

동기화된 패스키는 인증자의 개인 키를 사용자가 동일한 공급업체의 에코시스템에 있는 다른 장치의 인증자와 동기화할 수 있으므로 보안 태세가 낮습니다. 또한 조직은 현재 이러한 자격 증명이 생성되고 저장된 장치를 추적할 수 있는 표준이나 시스템이나 자격 증명이 다른 사람과 공유된 시기를 식별하는 메커니즘이 없다는 점을 알고 있어야 합니다. 높은 수준의 보증이 필요한 조직의 사용 사례의 경우, 이 정보를 확인하거나 얻을 수 없다는 사실은 동기화된 패스키가 특정 조직 사용 사례에 적합한 솔루션이 아니라는 것을 의미하며, 이러한 사용 사례를 지원하기 위해 디바이스 바인딩 패스키를 찾아야 합니다.

2.3 자격 증명 유형의 증명 및 적용
증명은 등록 프로세스의 보안을 강화하도록 설계된 기능입니다. 증명 메커니즘은 사양에 의해 선택적 기능으로 정의되지만 대부분의 하드웨어 보안 키는 이를 구현합니다. 증명은 신뢰 당사자가 인증자가 상호 작용하도록 허용할지 여부에 대해 정보에 입각한 결정을 내릴 수 있도록 신뢰 당사자에게 자신에 대한 메타데이터를 다시 제공하는 인증자의 기능입니다. 이 메타데이터에는 인증자의 공급업체 및 모델을 나타내는 고유 ID, 인증자가 사용하는 암호화 유형, 인증자의 PIN 및 생체 인식 기능을 나타내는 AAGUID(인증자 증명 Globally Unique Identifier)와 같은 항목이 포함됩니다. 일부 인증자 공급업체는 조직이 인증자 등록 요청에 포함된 증명에 고유 식별 정보를 추가할 수 있는 엔터프라이즈 증명이라는 기능도 지원하며, 이 추가 정보를 사용하여 조직이 특정 인증자 집합의 등록만 허용하려는 엔터프라이즈 내에서 제어된 배포를 지원하려고 합니다. 엔터프라이즈 증명에 대한 자세한 내용은 FIDO-White-Paper-Choosing-FIDO-Authenticators-for-Enterprise-Use-Cases-RD10-2022.03.01.pdf(fidoalliance.org) 백서에서 확인할 수 있습니다.

게시 시점에 동기화된 암호 키는 증명을 구현하지 않으므로 더 높은 수준의 보증이 필요한 높은 권한이 있는 사용자가 있는 시나리오 또는 엔터프라이즈 증명을 구현하려는 조직에는 적합한 솔루션이 아닙니다. 이러한 높은 권한을 가진 사용자를 지원하기 위해 신뢰 당사자와 조직은 역사적으로 증명을 지원하고 솔루션에 포함하는 공급업체의 장치 바인딩 암호 키 및 인증자를 살펴봐 왔으며 앞으로도 계속 살펴봐야 할 것입니다. 모든 사용자를 높은 권한 사용자로 취급해야 하거나 엔터프라이즈 증명을 구현해야 하는 규정, 법률 또는 보안 요구 사항이 있는 조직의 경우 해당 환경에서 디바이스 바인딩 암호 키만 구현하는 것이 좋습니다. 동반 백서인 “High Assurance Enterprise Authentication”에서는 이 시나리오에 대한 세부 정보를 제공하며 https://media.fidoalliance.org/wp-content/uploads/2023/06/FIDO-EDWG-Spring-2023_Paper-5_High-Assurance-EnterpriseFINAL5.docx-1.pdf 에서 찾을 수 있습니다. 중간 수준의 보증 조직은 표준 사용자를 위해 동기화된 암호 키를 구현하여 암호 및 MFA를 보다 안전한 솔루션으로 대체한 다음 높은 권한을 가진 사용자와 최고 수준의 보증이 필요한 리소스에 대한 액세스를 위해 장치 바인딩 암호를 사용하여 모든 사용자를 지원할 수 있습니다.

그러나 동일한 인증 도메인에서 두 가지 유형의 암호 키를 모두 구현하면 조직이 리소스에 액세스할 때 올바른 유형의 암호 키가 사용되도록 추가 조치를 취해야 하는 추가 문제가 발생합니다. 조직은 ID 공급자의 사용자 위험 평가 및 정책 엔진 프레임워크를 활용하여 이러한 문제를 해결할 수 있습니다. 다운스트림 권한 부여 결정에 사용할 AAL(또는 선택한 기타 속성)을 나타내는 식별자를 사용하여 사용자 세션에 워터마크를 표시하는 것도 이 문제를 해결하는 데 사용할 수 있습니다. 페더레이션 인증 환경에서는 OpenID Connect에서 표준화한 인증 방법 참조(amr, RFC8176)와 같은 표준을 사용하여 이를 전달할 수 있습니다.

3. 결론

중간 수준의 보증 환경에서는 장치 바인딩 암호 키와 동기화된 암호 키를 함께 구현하여 조직의 모든 사용 사례에 대해 보다 안전한 인증 솔루션을 제공할 수 있습니다. 보다 사용자 친화적인 동기화된 패스키를 구현하여 표준 보증 수준 요구 사항이 있는 사용자의 암호 및 MFA를 대체할 수 있으므로 사용하기 쉽고 더 안전한 인증 방법을 제공할 수 있습니다. 최고 수준의 보안이 필요한 조직의 높은 권한을 가진 사용자의 경우 인증 프로세스에서 훨씬 더 높은 수준의 보안과 추가 수준의 신뢰를 제공하는 장치 바인딩 암호 키를 발급할 수 있습니다. 백서에서는 향상된 보안 기능을 갖춘 더 나은 사용자 경험을 제공하는 동기화된 패스키와 향상된 보안 기능을 갖춘 기기 바인딩 패스키를 비교하는 정보를 제공합니다. 이 정보를 사용하여 조직은 디바이스 바인딩 패스키와 동기화된 패스키를 평가하여 조직에서 둘 다 활용하여 중간 수준의 보증 환경의 요구 사항을 충족하거나 초과하는 사용하기 쉽고 안전한 인증 방법을 제공하는 방법을 결정할 수 있습니다.

4. 다음 단계

조직의 다음 단계는 FIDO2 자격 증명 평가를 시작하여 조직이 피싱에 취약하고 전반적인 보안 태세의 심각한 약점으로 잘 문서화된 암호에서 벗어날 수 있도록 하는 것입니다. 중간 정도의 보증 요구 사항이 있고 장치 바인딩 암호 키와 동기화된 암호 키를 모두 구현하는 조직은 최고의 투자 수익을 제공하는 자격 증명 유형을 결정하고 먼저 해당 자격 증명 유형을 구현하기 위해 노력한 다음 가능한 경우 다른 자격 증명 유형의 배포를 완료하여 후속 조치를 취해야 합니다. 두 가지 유형의 FIDO2 자격 증명을 구현하는 것은 암호 없는 환경으로 전환하고 조직의 전반적인 보안 태세를 크게 향상시키는 데 큰 진전입니다.