RSA 증권아이디

RSA Secur
RSA 증권
RSA SecurID logo
웹 사이트https://www.rsa.com/en-us/products/rsa-securid-suite

RSA SecurID(이전 명칭: Secur)ID는 네트워크리소스에 대한 사용자의 2단계 인증을 수행하기 위해 RSA에 의해 개발된 메커니즘입니다.

묘사

RSA 증권ID 토큰(구식, SD600 모델)
RSA 증권ID 토큰(모델 SID700)
RSA 증권ID(새로운 스타일, 스마트카드 기능을 갖춘 SID800 모델)

RSA SecuresID 인증 메커니즘은 하드웨어(예를 들어 키 리모컨) 또는 소프트웨어(소프트 토큰) 중 하나로 구성됩니다.이러한 토큰은 컴퓨터 사용자에게 할당되어 내장 클럭과 카드의 공장에서 인코딩된 거의 랜덤 키(시드)를 사용하여 일정한 간격(통상 60초)에 인증 코드를 생성합니다.시드는 토큰마다 다르며 대응하는 RSA Secur에 로드됩니다.토큰 구입 [2]시 ID 서버(RSA Authentication Manager, 이전 ACE/Server[1])전자 메일 또는 SMS 전달을 통해 토큰 코드를 제공하는 주문형 토큰도 사용할 수 있으므로 사용자에게 토큰을 프로비저닝할 필요가 없습니다.

토큰 하드웨어는 리버스 엔지니어링을 저지하기 위해 변조 방지 설계가 되어 있습니다.같은 알고리즘(「소프트웨어 토큰」)의 소프트웨어 실장이 시장에 등장했을 때, 유저는 RSA Secur를 에뮬레이트 할 수 있는 공개 코드가 시큐러티 커뮤니티에 의해서 개발되고 있었습니다.소프트웨어의 ID(단, 현재 RSA Secur에 액세스할 수 있는 경우에만)ID 코드 및 원래 64비트 RSA Secur서버에 [3]도입된 ID 시드 파일.나중에 128비트 RSA Secur가ID 알고리즘은 오픈 소스 [4]라이브러리의 일부로 게시되었습니다.RSA Securit에서ID 인증 방식 시드 레코드는 원타임패스워드를 생성하기 위해 사용되는 개인 키입니다.최신 버전에는 USB 커넥터도 있어 스마트 카드와 같은 장치로 토큰을 사용하여 [5]인증서를 안전하게 저장할 수 있습니다.

통화중 서버나 방화벽 등의 네트워크리소스에 대해 인증하고 있는 사용자는 개인 식별번호와 RSA Secur에 표시되는 번호를 모두 입력해야 합니다.아이디 토큰RSA Secur를 사용하는 시스템은 점점 드물어지고 있지만ID는 PIN의 실장을 완전히 무시하고 패스워드/RSA Secur에 의존합니다.ID 코드의 조합실시간 클럭과 관련된 시드 레코드가 있는 유효한 카드의 데이터베이스를 가진 서버는 토큰이 그 시점에서 표시되어야 할 번호를 계산하고 이를 사용자가 입력한 번호와 대조하여 사용자를 인증합니다.

이전 버전의 SecurID에서는 "dupress PIN"을 사용할 수 있습니다.대체 코드는 투과적인 [6]인증을 제공하면서도 사용자가 PIN을 입력하도록 강요받은 것을 나타내는 보안 이벤트 로그를 만듭니다.dupress PIN을 사용하면 1회 인증이 성공하고 그 후 토큰이 자동으로 비활성화됩니다."dupress PIN" 기능은 더 이상 사용되지 않으며 현재 지원되는 버전에서는 사용할 수 없습니다.

RSA Secur는ID 시스템은 네트워크에 보안 계층을 추가합니다.인증 서버의 클럭이 인증 토큰에 내장된 클럭과 동기화되지 않으면 문제가 발생할 수 있습니다.통상적인 토큰 클럭 드리프트는 저장된 "드리프트" 값을 시간 경과에 따라 조정함으로써 서버에 의해 자동으로 계산됩니다.동기화되지 않은 상태가 일반 하드웨어 토큰 클럭 드리프트에 의한 것이 아닌 경우 인증 매니저 서버 클럭과 동기화되지 않은 토큰(또는 토큰)의 동기화를 수정하는 방법은 여러 가지가 있습니다.서버 클럭이 드리프트되어 관리자가 시스템클럭을 변경한 경우 토큰을 하나씩 재동기화하거나 저장된 드리프트 값을 수동으로 조정할 수 있습니다.드리프트는 개별 토큰에서 수행하거나 명령줄 유틸리티를 사용하여 일괄적으로 수행할 수 있습니다.

RSA Security는 IronKey, SanDisk, Motorola, Freescale Semiconductor, Redcannon, BroadcomBlackBerry와 협력하여 "유비쿼터스 인증"이라는 이니셔티브를 추진했습니다.USB 플래시 드라이브나 휴대 전화등의 일상적인 디바이스에 ID 소프트웨어를 삽입해, 코스트와 유저가 [7]휴대할 필요가 있는 물건의 수를 삭감합니다.

이론상의 취약성

토큰 코드는 상호 인증이 존재하지 않기 때문에 쉽게 도난당합니다(비밀번호를 도용할 수 있는 것은 토큰 코드도 도용될 수 있습니다).이는 대부분의 사용자가 이 기술로 해결하고 있다고 생각하는 주요 위협이기 때문에 중요합니다.

비밀번호 컨테이너의 가장 간단한 실제적인 취약점은 키 기능이 통합된 특수 키 장치 또는 활성화된 스마트폰을 분실하는 것입니다.이러한 취약성은 사전 설정된 활성화 시간 범위 내에 단일 토큰 컨테이너 장치로는 복구할 수 없습니다.모든 추가 고려사항은 예를 들어 추가적인 전자 목줄이나 신체 센서 및 경보에 의한 손실 방지를 전제로 한다.

반면 RSA Secur는ID 토큰은 암호 재생 공격에 대한 보호 수준을 제공하지만 단독으로 사용할 경우 중간 유형의 공격에 대한 보호를 제공하도록 설계되지 않았습니다.공격자는 다음 토큰 코드가 유효해질 때까지 인증된 사용자의 서버 인증을 차단하면 서버에 로그인할 수 있습니다.Risk-Based Analytics(RBA; 리스크 기반 분석)는 최신 버전(8.0)의 신기능으로, 유저가 유효하게 되어 있어 RBA가 유효하게 되어 있는 에이전트로 인증되고 있는 경우, 이러한 유형의 공격에 대해서 큰 보호를 제공합니다.RSA 증권ID는 man in browser(MitB) 기반 공격을 방지하지 않습니다.

SecurID 인증 서버는 특정 기간 내에 2개의 유효한 credential이 제시되어 있는 경우, 양쪽 인증 요구를 거부함으로써 패스워드 스니핑과 동시 로그인을 회피하려고 합니다.이것은 John G. Brainard의 [8]검증되지 않은 투고에서 문서화되어 있습니다.단, 공격자가 사용자로부터 인증 기능을 삭제한 경우 보안은ID 서버는 실제로 인증하는 사용자가 사용자라고 가정하고 공격자의 인증을 허용합니다.이 공격 모델에서는 SSL 의 암호화/인증 메커니즘을 사용하여 시스템보안을 강화할 수 있습니다.

소프트 토큰이 더 편리할 수 있지만, 하드 토큰의 변조 방지 속성은 소프트 토큰 [9]구현에서 타의 추종을 불허하는 것이므로 시드 레코드 개인 키가 복제되어 사용자 가장이 발생할 수 있습니다.

한편, 하드 토큰은 최종 사용자로부터 물리적으로 도난당할 수 있습니다(또는 소셜 엔지니어링을 통해 취득할 수 있습니다).소형 폼 팩터로 인해 하드 토큰 도난이 노트북/데스크탑 스캔보다 훨씬 더 쉬워집니다.일반적으로 사용자는 디바이스가 분실되었다고 보고하기 전에 하루 이상 대기하므로 공격자가 보호되지 않은 시스템을 침해할 시간이 충분합니다.단, 이 문제는 사용자 UserID와 PIN도 알고 있는 경우에만 발생합니다.위험 기반 분석을 통해 사용자가 UserID 및 PIN을 알고 있더라도 분실 또는 도난당한 토큰의 사용에 대해 추가적인 보호를 제공할 수 있습니다.

배터리는 정기적으로 방전되기 때문에 교환 및 재등록 절차가 복잡합니다.

접수 및 경쟁 제품

2003년 현재 RSA SecurID는 이중 인증 시장의[10] 70% 이상을 점유하고 있으며,[citation needed] 현재까지 2500만 대의 기기가 생산되었습니다.VASCO 등 다수의 경쟁업체는 대부분 개방형 OPERSH HOTP 표준을 기반으로 유사한 보안 토큰을 만듭니다.Gartner가 2010년에 발표한 OTP에 관한 조사에서는 OTP와 Secur에 대해 언급하고 있습니다.유일한 [11]경쟁자로서의 ID.

OPIES/Key(S/Key는 Telcordia Technologies(이전의 Bellcore)의 상표로서 OTP라고도 불립니다)등의 다른 네트워크 인증 시스템은, 하드웨어 [citation needed]토큰을 필요로 하지 않고, 「가져 있는」수준의 인증을 제공하려고 하고 있습니다.

2011년 3월 시스템 손상

2011년 3월 17일, RSA는 "매우 정교한 사이버 공격"[12]의 희생자가 되었다고 발표했습니다.특히 증권과 관련하여 우려가 제기되었다.ID 시스템: "이 정보는 현재 2요소 인증 구현의 효과를 줄이기 위해 사용될 수 있습니다."그러나 공식적인 Form 8-K 제출서에는[13] 이러한 위반이 "재무 결과에 중대한 영향을 미칠 것"이라고 생각하지 않는다고 명시되어 있습니다.RSA의 모회사인 EMC는 이 침해로 인해 6,630만 달러의 손실을 입었으며, 이는 2분기 수익에 대한 부담으로 간주되었습니다.EMC의 부사장 겸 최고재무책임자(CFO)인 David Goulden은 [14]분석가와의 컨퍼런스 콜에서 공격 조사, IT 시스템 강화 및 기업 고객의 거래 감시를 위한 비용을 충당했다고 밝혔습니다.

RSA의 네트워크에 대한 침입은 해커에 의해 이루어졌으며 해커들은 [15]RSA의 소규모 직원 2명에게 피싱 이메일을 보냈습니다.이메일에 첨부된 Microsoft Excel 파일에는 악성 프로그램이 포함되어 있습니다.RSA 직원이 Excel 파일을 열 때 멀웨어는 Adobe Flash의 취약성을 이용했습니다.공격을 통해 해커들은 Poison Ivy RAT를 사용하여 RSA [16]네트워크의 시스템을 제어하고 서버에 액세스할 수 있었습니다.

보안 침해로 인해 RSA의 데이터베이스 매핑 토큰 일련 번호가 각각 [17]고유하게 만들기 위해 주입된 비밀 토큰 "시드"에 도용되었다는 힌트가 있습니다.RSA 경영진이 고객에게 [18]"토큰의 일련 번호를 확실히 보호하도록" 지시했다는 보고서는 이 가설을 뒷받침합니다.

토큰 코드 생성 알고리즘(이는 광범위하게 가늠해 AES-128 블록의 간결 직접적인 응용 프로그램을 포함하는 것 같지는 않다 cipher[표창 필요한])의 암호화 구현에는 치명적인 약점만 없다면이 유일한 사정에 공격 물리적 소유 없이 o. 성공한 공격을 감행할 수 있을F는 토큰다.종자 기록 자체가 [citation needed]유출됐기 때문입니다RSA는 잠재적인 공격자가 [19]시스템을 공격하는 방법을 알아내는 데 사용할 수 있는 정보를 제공하지 않기 위해 공격의 정도에 대한 자세한 내용은 공개하지 않았다고 밝혔습니다.

2011년 6월 6일, RSA는 30,000개가 넘는 Secur에 토큰 대체 또는 무료 보안 모니터링 서비스를 제공했습니다.방산 고객인 록히드 마틴에 대한 사이버 침해 시도가 있은 후, ID 고객은 증권과 관련된 것으로 보입니다.RSA에서 [20]ID 정보가 도용되었습니다.방어 고객 중 한 명이 공격을 받았음에도 불구하고, Art Coviello 회장은 "우리는 고객이 [21]보호받고 있다고 믿고 있습니다."라고 말했습니다.

결과 공격

2011년 4월에는 확인되지 않은 소문으로 인해 L-3 Communications가 RSA의 [22]타협으로 인해 공격을 받았다고 언급했습니다.

2011년 5월, 이 정보는 록히드 마틴 [23][24]시스템을 공격하는 데 사용되었습니다.그러나 록히드마틴은 자사의 정보보안팀의 "공격적 행동"으로 인해 "고객, 프로그램, 직원 개인 데이터 없음"이 "중대하고 끈질긴 공격"[25]으로 인해 손상되었다고 주장합니다.국토안보부와 미 국방부공격[26]범위를 결정하기 위해 도움을 제공했다.

레퍼런스

  1. ^ "Oracle® Access Manager Integration Guide" (PDF). Oracle Corporation. August 2007. [...] the RSA ACE/Server®, which has been renamed to the Authentication Manager.
  2. ^ TOTP: 시간 기반 원타임 패스워드 알고리즘
  3. ^ 증권 샘플토큰 비밀 Import를 사용한ID 토큰 에뮬레이터
  4. ^ stoken - Linux/UNIX용 소프트웨어 토큰
  5. ^ RSA 증권ID: SID800 하드웨어 오센티케이터 2008년 11월 13일 Wayback Machine에서 아카이브 완료
  6. ^ "Archived copy". Archived from the original on 2012-03-01. Retrieved 2013-03-20.{{cite web}}: CS1 maint: 제목으로 아카이브된 복사(링크)
  7. ^ RSA SecurID(r) 테크놀로지가 일상적인 디바이스와 소프트웨어에 도달했을 때 유비쿼터스 인증을 가능하게 하는 RSA Security. - M2 Presswire HighBeam Research: 온라인 프레스 릴리즈[데드링크]
  8. ^ http://malpaso.ru/securid/brainard.htm
  9. ^ "Securology: Soft tokens aren't tokens at all". 20 November 2007.
  10. ^ "RSA SecurID Solution Named Best Third-Party Authentication Device by Windows IT Pro Magazine Readers' Choice 2004". RSA.com. 2004-09-16. Archived from the original on 2010-01-06. Retrieved 2011-06-09.
  11. ^ Diodati, Mark (2010). "Road Map: Replacing Passwords with OTP Authentication". Burton Group. Gartner's expectation is that the hardware OTP form factor will continue to enjoy modest growth while smartphone OTPs will grow and become the default hardware platform over time. ... If the organization does not need the extensive platform support, then OATH-based technology is likely a more cost-effective choice.
  12. ^ "Open Letter to RSA Customers". 원래 RSA 사이트에서 온라인입니다.
  13. ^ "EMC / RSA 8K filing". Form 8-K. The United States Securities and Exchange Commission. 17 March 2011.
  14. ^ Chabrow, Eric (1 August 2011). "RSA Breach Costs Parent EMC $66.3 Million". GovInfoSecurity.
  15. ^ Rivner, Uri (1 April 2011). "Anatomy of an Attack". Speaking of Security - The RSA Blog and Podcast. Archived from the original on 20 July 2011.
  16. ^ Mills, Elinor (5 April 2011). "Attack on RSA used zero-day Flash exploit in Excel". CNET. Archived from the original on 17 July 2011.
  17. ^ Goodin, Dan (24 May 2011). "RSA won't talk? Assume SecurID is broken". The Register.
  18. ^ Messmer, Ellen (18 March 2011). "Did hackers nab RSA SecurID's secret sauce?". Network World. Archived from the original on 15 October 2012.
  19. ^ Bright, Peter (6 June 2011). "RSA finally comes clean: SecurID is compromised". Ars Technica.
  20. ^ Gorman, Siobhan; Tibken, Shara (7 June 2011). "Security 'Tokens' Take Hit". Wall Street Journal.
  21. ^ Gorman, Siobhan; Tibken, Shara (7 June 2011). "RSA forced to replace nearly all of its millions of tokens after security breach". News Limited.
  22. ^ Mills, Elinor (6 June 2011). "China linked to new breaches tied to RSA". CNet.
  23. ^ Leyden, John (27 May 2011). "Lockheed Martin suspends remote access after network 'intrusion'". The Register.
  24. ^ Drew, Christopher (3 June 2011). "Stolen Data Is Tracked to Hacking at Lockheed". New York Times.
  25. ^ "Lockheed Martin confirms attack on its IT network". AFP. 28 May 2011.
  26. ^ Wolf, Jim (28 May 2011). "Lockheed Martin hit by cyber incident, U.S. says". Reuters. Archived from the original on 13 June 2012.

외부 링크

Wikimedia Commons에는 RSA Secur 관련 미디어가 있습니다.아이디
기술적 세부사항
증권에 대한 공표된 공격ID 해시 함수