ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • FIDO Aliience와 Fido Spec 정리
    카테고리 없음 2020. 6. 21. 00:28

    1. What is FIDO Alliance?

    • FIDO Alliance는 어떠한 단체이며 무슨 일을 하는지?

    FIDO Alliance는 온라인 환경에서 비밀번호를 대체하는 안정성이 있는 인증방식인 FIDO 기술표준을 정하기 위해 2012년 7월 설립된 협의회이다. 회원사로 삼성전자, 구글, 인텔, 애플, 아마존, 레노보, 마이크로소프트, 에어큐브, LG전자, BC카드,라인 등 전세계 250여개 회사가 있다. 이곳에서 표준화하는 인증기술은 생체인증기술 등을 포함한다. 대한민국, 유럽, 인도, 일본, 중국에 워킹 그룹을 운영하고 있다.

    FIDO Alliance는 전 세계의 암호에 대한 의존도를 낮추는데 도움이 되는 인증 표준과 초점을 맞춘 공개 산업 협회이다.
    암호 및 SMS, OTP보다 안전한 개방형 표준으로 인증의 본질을 바꾸고 소비자가 사용하기 쉽고 서비스 제공 업체가 보다 쉽게 배포 및 관리 할 수 있도록 노력하고 있다.
    전 세계적으로 사양을 성공적으로 채택할 수 있도록 운영 사업 인증 프로그램을 운영, 공식 표준화를 위해 공인 된 표준 개발 조직에 기술 사양 제출 등의 일을 하고 있다.

    FIDO 기술 표준에는 지문 및 홍채 스캐너, 음성 및 얼굴 인식과 같은 생체 인식 은 물론 USB 보안 토큰과 PIN 같은 인증 기술이 포함된다.

    [출처] : fidoallience

    2. FIDO 프로토콜이란?

    FIDO 프로토콜이란?

    Fast : 빠른
    IDentity : 안전 인증
    Online : 통신
    FIDO 프로토콜은 패스워드 기반에 로그인을 보다 편리하고 보안성이 뛰어난 인증 시스템을 만들기 위한 프로토콜이다.

    Platform Authenticators(OS 및 브라우저 기반)와 Roaming authenticators(스마트 카드 및 시큐리티 키 등)을 이용하여 정보를 수집 후, 인증자를 통해 인증 결과 값을 생성하여 서버로 전송하고 서버에서 인증 결과 값을 검증하는 차세대 인증 기술이다.

    현재는 FIDO1의 확장된 형태로 FIDO2가 개발된 상태이다.

    FIDO 스펙이란?

    FIDO 스펙에 FIDO Universal Authentication Framework(FIDO UAF), FIDO Universal Second Factor(FIDO U2F), Client to Authenticator Protocols(CTAP)에서 W3C의 웹 인증 규격을 보완한 FIDO2 가 있다.

    FIDO 1 : FIDO UAF / FIDO U2FFIDO 2 : WebAuthn & CTAP

    [사진]: 모바일 클라이언트는 FIDO 1, 웹 브라우저 클라이언트는 USB/NFC 등 외부 인증장치를 사용하여 FIDO 2을 사용, [출처]: 금융보안원 

    FIDO UAF는 사용자 고유 생체 정보를 인식하여 인증하는 모바일 중심의 인증 방식이다. 스마트폰 등 사용자 단말기의 생체 정보를 이용하여 사용자를 인증한 후 비대칭키 쌍(개인키, 공개키)을 생성하고 서비스 제공 서버에 공개키를 등록하여 원격 인증을 수행한다. 크게 Registration / Authentication / Deregistration 파트로 나누어 볼 수 있고, 각각 단말과 서버간 2번의 통신으로 이루어진다. UAF는 디바이스에 의존도가 커서 모바일 디바이스에 따라 FIDO 프로토콜의 사용가능 여부가 결정된다.

    FIDO U2F는 아이디, 비밀번호 방식으로 1차 인증 후 1회용 보안키가 저장된 USB 또는 스마트카드를 이용하여 2차 인증하는 PC 중심의 인증 방식이다. FIDO2가 나오고 나서 CTAP1이라는 이름으로 쓰이게 된다.

    FIDO2는 W3C 웹 인증 사용과 FIDO ALLIANCE의 해당 CTAP으로 구성되고, W3C으로 채택되어 다양한 브라우저에서 지원이 가능하게 되어 UAF나 U2F의 단점들을 보완하고 장점들만 가져와서 사용하였다. FIDO2는 내장(또는 바인딩 된) 인증 요소(예: 생체 인식 또는 PIN 번호) 또는 외부(또는 로밍) 인증 요소(예: FIDO 보안 키, 모바일 장치, 웨어러블 등)을 사용하여 비밀번호가 필요 없는 2단계 및 다중 요소 사용자 환경을 지원한다.

    FIDO2의 스펙으로는 브라우저 및 플랫폼에 내장되어 있는 표준 웹 API(Create(), Get() 등)를 정의하여 FIDO 인증을 지원하는 W3C WebAuthn, 외부 인증 요소(FIDO 보안키, 모바일 장치)를 사용하여 USB, NFC 또는 BLE를 통한 FIDO2 지원 브라우저 및 운영체제에서 비밀번호 없이 2단계 또는 다중 요소 인증 환경을 인증할 수 있는 CTAP2, FIDO U2F의 새로운 이름인 CTAP1가 있다. FIDO 프로토콜을 적용하면 아래와 같은 이점들이 있다.

    Usable Security의 구현

    [사진] 일반적으로 편의성 증가과 보안성 증가는 반비례 관계지만 FIDO 프로토콜은 처음으로 이를 동시에 충족시킨 프로토콜,  [출처] 자체제작

      1. FIDO Alliance의 표준 규격에 따라 구현된 사용자 인증 Framework로 다양한 Device 및 Service 간의 상호운영성(interoperability)이 보장되어 플랫폼 파편화를 방지하고 유지보수가 편리하다.
      2. 기간제 서비스를 생체인증 서비스로 쉽게 연계, 개발이 단순해지고 Time-to-Market 실현이 가능 해졌다. 또한 One-Source Multi-Platform 지원을 하여 하나의 소스로 다양한 플랫폼에서 동일한 기능의 동작을 보장한다.
      3. 패스워드를 사용하지 않고 FIDO 사용할 경우 FIDO는 내 인증장치에만 안전하게 보관이 되어 네트워크를 통해 사용자 인증정보를 전송하지 않고 암호보다 훨씬 간단하다.
      4. FIDO 서비스는 개인키/공개키에 기반한 전자서명 방식의 사용자 인증으로 전자서명 메시지를 중간에서 위∙변조가 불가능한 특성 상 사용자가 서비스를 이용한 것에 대해 부인방지를 제공하는 효과가 있다.
      5. 패스워드를 사용하지 않고 다른 다중요소인증(Multi-factors Authenticator)으로 편리성과 보안성이 향상된다.


    다음은 FIDO를 적용하고 있는 사례 중 하나이다.

    [사진] SKT FIDO 앱, [출처] SKT FIDO - Google Play 앱 이미지

    ①   ID, PW를 이용한 기기 등록
    ②   등록된 기기에 FIDO 인증을 위한 정보(PIN, 지문) 입력
    ③   이후, FIDO 프로토콜을 이용한 안전한 로그인 수행

    장점: 간편하고 안전한 인증환경 제공

    • 패스워드를 본인이 소유한 디바이스 인증으로 대체

    • 사용자 인증정보가 네트워크로 전송되지 않아 사용자 정보 탈취 위험 X

    • 단말기를 분실해도 본인의 생체정보 없이는 타인의 부정사용이 불가능

    3. 개발중인 프로젝트와 FIDO 프로토콜 인증 활용시의 가치

    [사진] 아이디어 이미지, [출처] 자체제작

    현재 스마트폰, 스마트 TV 등 다양한 종류의 스마트 기기가 이미 보편화 되었고, 스마트 기능을 탑재한 생활가전들이 쏟아져 나오고 있지만 홈 내의 다종의 스마트 가전기기들은 제조사 별로 서로 상이한 통신 방식을 사용하고 있다. 이러한 환경때문에 한 가정집에 여러 제조사의 제품을 사용하기에 다소 무리가 있다. 그래서 저희 팀에서는 이런 각기 다른 디바이스들을 하나의 플랫폼에서 관리하는 IoT 통합 제어 시스템을 만드는 것이 목적이다.

    제작 당시에는 임의의 디바이스의 통신 방식을 각각 분석하여 구현할 것이지만 최종적으로는 사용자 편의를 위해 벤더사에서 저희 플랫폼에 통신 방식과 사용자 UI를 직접 제공하는 것을 목표로 하고 있다.

    우리가 구상한 아이디어와 파이도 프로토콜을 접목시키면  서비스 로그인 및 스마트 가전(스마트 도어락 등)에 제어명령 실행 시 FIDO 프로토콜 기반 생체인식 시스템을 활용하여 빠르고 편리하며 효과적인 사용자 인증을 수행함으로써 보안성과 편리성이 보장된 제어 명령을 수행할 수 있을 것이라고 생각된다.

    댓글 0

Designed by Tistory.