아시다시피 Ledger Nano 장치(Ledger Nano S, Nano S Plus 및 Nano X)는 Secure Elements의 보안을 활용하는 개방형 플랫폼입니다. Ledger 운영 체제(OS)는 암호화 API를 사용하는 애플리케이션을 로드합니다. OS는 격리 및 키 파생 메커니즘도 제공합니다.
이 기술은 귀하의 장치에 물리적으로 접근하는 공격자에 대해서도 높은 수준의 보안을 제공하므로 Ledger 장치는 귀하의 디지털 자산을 안전하게 관리할 수 있는 완벽한 도구가 됩니다. 그러나 이는 또한 많은 온라인 서비스에 대한 로그인 자격 증명을 보호하는 데에도 매우 적합합니다.
이것이 바로 우리가 다음과 같은 새로운 애플리케이션을 개발한 이유입니다. 보안 키는 2FA(두 번째 요소 인증), MFA(다중 요소 인증) 또는 비밀번호 없는 인증을 위한 WebAuthn 표준을 구현합니다.
OS 제약으로 인해 이 보안 키 앱에는 몇 가지 제한 사항이 있습니다.
- Nano S OS에서는 AES-SIV 지원이 부족하기 때문에 Nano S에서는 사용할 수 없습니다.
- 검색 가능/상주 자격 증명은 지원되지만 앱 삭제 시 지워지는 장치 플래시의 일부에 저장됩니다. 그렇기 때문에 기본적으로 활성화되어 있지 않지만 필요한 경우 설정에서 위험을 감수하고 수동으로 활성화할 수 있습니다. 이런 일이 발생할 수 있습니다:
- 사용자가 Ledger Live에서 제거하기로 선택한 경우
- 사용자가 앱을 사용 가능한 새 버전으로 업데이트하기로 선택한 경우
- 사용자가 OS 버전을 업데이트하는 경우
WebAuthn이란 무엇입니까?
웹 인증(Web Authentication), 줄여서 WebAuthn은 W3C와 FIDO Alliance에서 작성한 표준입니다. 비밀번호 대신 공개 키 암호화를 기반으로 하는 사용자 인증 메커니즘을 지정합니다.
이러한 표준을 구축하려는 동기는 현재 우리의 온라인 존재가 비밀번호를 기반으로 구축되어 있으며 대부분의 보안 침해가 도난당했거나 취약한 비밀번호와 관련되어 있다는 것입니다.
공개키 암호화 보안 메커니즘 활용
공개 키 암호화비대칭 암호화라고도 하는 는 두 개의 연관된 키를 기반으로 하는 암호화 메커니즘입니다.
- 비밀로 유지되어야 하는 개인 키
- 공유할 수 있는 공개 키
이러한 키는 다음 속성을 공유합니다.
- 공개 키를 사용하여 메시지가 개인 키로 서명되었는지 확인할 수 있습니다.
Bob이라는 사용자가 키 쌍을 생성하고 공개 키를 Alice와 공유한다고 가정해 보겠습니다. Bob이 Alice에게 메시지를 보내면 그는 자신의 개인 키를 사용하여 메시지에 서명할 수 있고, Alice는 개인 키가 무엇인지 아는 유일한 사람인 Bob이 해당 메시지에 실제로 서명했는지 공개 키를 사용하여 확인할 수 있습니다.
인증과 관련하여 이는 사용자가 키 쌍을 생성하고 공개 키를 온라인 서비스와 공유할 수 있음을 의미합니다. 나중에 사용자는 개인 키를 알고 있음을 온라인 서비스에 증명하여 자신을 인증할 수 있습니다. 개인 키를 온라인 서비스에 보낼 필요 없이 이 모든 것이 가능합니다! 즉, 개인 키는 서버 데이터베이스에서 도난당할 수 없으며 사용자와 서버 간 통신 중에 가로채질 수도 없습니다.
피싱 공격 탄력성
WebAuthn 표준은 또한 전통적인 피싱 공격에 대한 탄력성을 갖고 있습니다.
기본적으로 피싱 공격은 해커가 사용자를 속여 중요한 정보(이 경우에는 로그인 자격 증명)를 공개하는 공격입니다.
OTP와 같은 다른 MFA 메커니즘과 달리 WebAuthn 메커니즘은 이러한 공격에 탄력적입니다. 실제로 각 키 쌍은 특정 원본 또는 웹 도메인에 연결되어 있습니다. 즉, 다른 도메인(예: URL이 있는 가짜 사이트)에서 WebAuthn 자격 증명을 사용하도록 사용자를 속이려는 공격이 발생합니다. best-service.com
합법적인 사이트 URL 대신 best.service.com
) 인증 장치에 해당 도메인에 해당하는 키 쌍이 없으므로 실패합니다. 따라서 공격은 실패하고 상대는 유용한 정보를 얻을 수 없습니다.
강력한 하드웨어 보안
WebAuthn에서는 하드웨어 보안 요소를 사용하여 개인 키를 안전하게 저장할 것을 권장합니다. Ledger Security Key 애플리케이션과 관련하여 개인 키는 은행 카드 및 국가 요구 사항에 대한 국제 표준인 Common Criteria 보안 평가를 통과하고 EAL5+ 인증서를 획득한 장치 SE(Secure Element) 내에 저장됩니다. Ledger 장치 인증에 대한 자세한 내용을 확인할 수 있습니다. 여기에서 지금 확인해 보세요..
증명된 등록
WebAuthn 인증이 입증되었습니다. 이는 서버가 인증 장치가 합법적인지 확인할 수 있음을 의미합니다. 이는 일부 서비스에서 활성화되어 짧은 인증 장치 목록만 승인하거나 사기성 소스를 탐지할 수 있습니다.
WebAuthn 작동 방식
먼저 다른 액터가 무엇인지 지정해 보겠습니다.
- XNUMXD덴탈의 사용자, 온라인 서비스에 안전하게 등록하려고 하는 당신입니다.
- XNUMXD덴탈의 신뢰당사자는 WebAuthn을 사용하여 보안 소프트웨어 애플리케이션에 대한 액세스를 제공하는 서버를 의미합니다. 예를 들어 구글, 페이스북, 트위터.
- XNUMXD덴탈의 사용자 에이전트는 사용자를 대신하여 작동하는 모든 소프트웨어를 의미합니다. "웹 콘텐츠와 최종 사용자의 상호 작용을 검색, 렌더링 및 촉진합니다.". 예를 들어, 즐겨 사용하는 운영 체제에서 즐겨 사용하는 웹 브라우저를 예로 들 수 있습니다.
- XNUMXD덴탈의 인증자, 이는 이용자의 신원을 확인하기 위해 사용되는 수단을 말합니다. 이 경우 보안 키 애플리케이션을 실행하는 Ledger Nano 장치입니다.
다음과 같이 재개할 수 있는 두 가지 주요 WebAuthn 작업이 있습니다.
- 등록 기간:
- 전에, 인증 를 통해 요청을 받습니다. 사용자 에이전트, 로부터 신뢰당사자, 사용자 식별자 및 선택적으로 사용자 이름과 함께 신뢰 당사자 원본 또는 웹 도메인을 포함합니다.
- 전에, 인증 요청한다 사용자 동의하고 고유한 키 쌍을 생성한 다음 공개 키로 신뢰 당사자에게 응답합니다.
- 인증 기간은 다음과 같습니다.
- 전에, 인증 을 통해 받습니다. 사용자 에이전트, 의 요청으로 신뢰당사자, 인증 확인과 함께 신뢰 당사자 원본 또는 웹 도메인을 포함합니다.
- 전에, 인증 요청한다 사용자 그런 다음 등록된 자격 증명 관련 개인 키로 생성된 서명이 포함된 메시지로 응답합니다.
WebAuthn의 메커니즘에 대한 자세한 설명을 찾을 수 있습니다. 여기에서 지금 확인해 보세요..
Ledger FIDO-U2F Nano 앱과의 차이점
Ledger FIDO-U2F 애플리케이션은 WebAuthn 표준에 포함된 FIDO2의 이전 버전인 FIDO U2F를 구현합니다. 이 이전 버전은 비밀번호에 대한 두 번째 요소로 사용되도록 설계되었지만 WebAuthn은 비밀번호 없는 인증을 허용하도록 설계되었습니다.
전 세계적으로 더 나은 사용자 경험을 제공합니다.
- 화면이 있는 인증 장치에서는 이제 해시 대신 신뢰 당사자 원본(또는 서비스 도메인)이 표시될 수 있습니다.
- 검색 가능한 자격 증명(상주 키라고도 함)이 FIDO2 사양에 도입되었습니다. 사용자가 서비스에 사용자 이름을 입력할 필요조차 없는 비밀번호 없는 시나리오를 허용합니다. 대신, 등록을 수행한 후 신뢰 당사자는 자격 증명 목록 없이 원본만으로 인증을 요청할 수 있습니다. 그러한 요청을 받으면 인증자는 이 신뢰 당사자와 관련하여 내부에 저장된(상주) 자격 증명을 찾아 이를 사용하여 사용자를 인증합니다.
호환성
WebAuthn 표준 및 Ledger Security Key 애플리케이션은 다양한 OS 및 웹 브라우저에서 지원됩니다.
- Windows 10 이상에서는 최소한 Edge, Chrome 및 Firefox에서 지원됩니다.
- MacOS 11.4 이상에서는 Safari 및 Chrome에서 지원되지만 현재 Firefox에서는 부분적으로만 사용할 수 있습니다. Safari의 알려진 불안정성으로 인해 Chrome을 권장합니다.
- Ubuntu 20.04 이상에서는 Chrome에서 지원되지만 현재는 Firefox에서 부분적으로만 사용할 수 있습니다.
- iOS 14 및 iPadOS 15.5 이상에서는 Safari, Chrome 및 Firefox에서 지원됩니다.
- Android에서는 현재 지원되지 않습니다. Google Play 서비스 v23.35(2023년 XNUMX월 출시)부터 시작해야 합니다.
Ledger Security Key 애플리케이션 사용
WebAuthn 서비스
이제 WebAuthn이 널리 채택되었습니다. 따라서 Ledger Security Key 애플리케이션은 다중 요소 인증 및 때로는 비밀번호 없는 인증을 위해 많은 서비스에서 사용될 수 있습니다.
다음은 Webauthn을 구현하는 서비스의 일부입니다.
- 1Password
- AWS
- 바이낸스
- 비트 버켓
- 드롭 박스
- 페이스북
- Gandi
- 쌍둥이 자리
- GitHub의
- GitLab
- 구글
- Microsoft
- Okta
- 세일즈 포스
- Shopify
- 씰룩 씰룩 움직이다
- 트위터
단계별 예
- Ledger Live를 다운로드하고 “My Ledger” 섹션에서 보안 키 애플리케이션을 선택하여 장치에 설치하세요.
- 원하는 서비스(AWS, Dropbox, Facebook, Google, GitHub, Microsoft, Twitter 등)에 적절한 설정을 지정합니다.
- 보안 키를 사용하여 로그인하세요!
타사 서비스의 보안과 당사의 보안 키 애플리케이션을 결합한 덕분에 이제 귀하의 계정에 대한 최첨단 보안이 활성화되었습니다.
SSH 키 보안
SSH 키는 GIT 서버 인증부터 중요한 프로덕션 서버 연결까지 일부 중요한 상황에서 개발자가 사용합니다. Ledger 장치에는 Ledger SSH Nano 애플리케이션을 사용하여 SSH 키를 보호하는 방법이 이미 있습니다. 그러나 이를 위해서는 전용 Nano 애플리케이션과 컴퓨터의 에이전트를 사용해야 했습니다. 더 이상 그렇지 않습니다. OpenSSH 8.2에는 SSH 키 저장을 위해 FIDO 인증 장치의 "기본" 사용을 허용하는 새로운 기능이 도입되었습니다.
사용 예
GitHub 저장소와 상호 작용하는 데 어떻게 사용할 수 있는지 살펴보겠습니다.
1. 쌍을 만듭니다.
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. SSH 키를 GitHub 계정에 등록합니다(GitHub 문서를 참조하세요)
3. 예를 들어 저장소를 복제하는 데 사용합니다.
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
SSH 키가 여러 개인 경우 다음을 수행할 수 있습니다. 이 StackOverflow 답변 기본 키 대신 특정 키를 선택하려면
파라미터
다음을 사용하여 SSH 키 쌍을 생성할 때 ssh-keygen
보안 키를 사용하여 다음을 수행할 수 있습니다.
- 다음 중 하나를 지정하여 키 쌍 생성 곡선을 선택합니다.
-t ed25519-sk
or-t ecdsa-sk
- 다음을 지정하여 보안 키를 수동으로 수락하지 않고도 SSH 개인 키 사용을 허용합니다.
-O no-touch-required
. 그러나 일부 서비스에서는 이러한 인증을 거부할 수 있으며 GitHub의 경우가 이에 해당합니다.
추가사항이 있습니다 resident
옵션이지만 추가 보안을 추가하지 않으며 사용법이 더 복잡합니다.
자비에 샤프론
펌웨어 엔지니어
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- :있다
- :이다
- :아니
- :어디
- $UP
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- 소개
- 수락
- ACCESS
- 계정
- 계정
- 연기
- 배우
- 더하다
- 추가
- 양자
- 후
- 다시
- 반대
- 에이전트
- 앨리스
- All
- 동맹
- 수
- 허용
- 수
- 따라
- 이미
- 또한
- an
- 및
- 기계적 인조 인간
- 어떤
- API
- 앱
- 어플리케이션
- 어플리케이션
- 적당한
- 있군요
- AS
- 자산
- 관련
- At
- 공격
- 공격
- 인증
- 인증
- 권한을 부여하다
- 가능
- AWS
- 은행
- 기반으로
- BE
- 된
- 대신에
- 뒤에
- 더 나은
- 곡물
- 위반
- 브라우저
- 건물
- 내장
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- CAN
- 카드
- 케이스
- 증명서
- 도전
- 크롬
- 결합
- 공통의
- 커뮤니케이션
- 호환성
- 복잡한
- 컴퓨터
- 컴퓨팅
- 확인하기
- 연결
- 동의
- 고려
- 제약
- 동
- 세는
- 만들
- 만든
- 생성
- 만들기
- 신임장
- 신임장
- 기준
- 임계
- cryptographic
- 암호 법
- Current
- 곡선
- 데이터베이스
- 전용
- 태만
- 델타
- 설계
- 원하는
- 상세한
- 검색
- 개발
- 개발자
- 장치
- 디바이스
- 차이
- 다른
- 디지털
- 디지털 자산
- 표시된
- 하지
- 하지 않습니다
- 도메인
- 한
- 드롭 박스
- 두
- ...동안
- e
- 마다
- Edge
- 요소
- 요소
- 사용 가능
- 엔터 버튼
- 평가
- 조차
- 예
- 존재
- 경험
- 설명
- 추출물
- 페이스북
- 을 용이하게
- 인자
- 실패
- 모조품
- 즐겨찾기
- 특색
- 피도 얼라이언스
- Find
- 지문
- 파이어 폭스
- 플래시
- 수행원
- 럭셔리
- 사기의
- 에
- 생성
- 세대
- 얻을
- 힘내
- GitHub의
- 구글
- 구글 플레이
- 해커
- 했다
- 발생
- 하드웨어
- 하드웨어 보안
- 해시
- 있다
- 데
- he
- 높은
- 그의
- 방법
- 그러나
- HTTPS
- 식별
- 식별자
- 통합 인증
- if
- 영상
- 구현
- 구현하다
- in
- 포함
- 참으로
- 정보
- 설치
- 를 받아야 하는 미국 여행자
- 상호 작용하는
- 상호 작용
- 내부로
- 국제 노동자 동맹
- 으로
- 소개
- iOS
- iPadOS
- 격리
- IT
- 그
- JPG
- 다만
- 보관 된
- 키
- 키
- 알아
- 아는
- 알려진
- 결핍
- 후에
- 가장 작은
- 원장
- 원장 라이브
- 레저 원장
- 레저 나노 S
- 합법
- 합법적 인
- 레벨
- 레버리지
- 처럼
- 한계
- 명부
- 살고있다
- 잔뜩
- 기록
- 로그인
- 이상
- 봐라.
- 맥 OS
- 주요한
- 유튜브 영상을 만드는 것은
- 관리
- 조작
- 수동으로
- .
- XNUMX월..
- 방법
- 의미
- 기구
- 메커니즘
- 메시지
- MFA
- Microsoft
- 수도
- 배우기
- 가장
- 자극
- 여러
- name
- 이름
- 나노
- 필요
- 필요
- 신제품
- 아니
- 지금
- 사물
- 획득
- of
- 제공
- on
- ONE
- 온라인
- 만
- 열 수
- 운영
- 운영 체제
- 행정부
- 선택권
- or
- 출발지
- OS
- 기타
- 우리의
- 자신의
- 쌍
- 매개 변수
- 부품
- 파티
- 합격
- 암호
- 완전한
- 수행
- 피싱
- 피싱 공격
- 물리적
- 플랫폼
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 연극
- ...을 더한
- 존재
- 너무 이른
- 사설
- 개인 키
- 개인 키
- 생산
- 재산
- 보호
- 제공
- 제공
- 증명
- 공개
- 공개 키
- 공개 키
- 도달
- 수신
- 수신
- 추천
- 추천하다
- 의미
- 에 관한
- 회원가입
- 등록된
- 등록
- 관련
- 공개
- 의지
- 렌더링
- 저장소
- 의뢰
- 요청
- 필수
- 요구조건 니즈
- 탄력
- 공개
- 위험
- 달리는
- s
- Safari
- 안전하게
- 같은
- 저장
- 시나리오
- 화면
- 둘째
- 섹션
- 안전해야합니다.
- 안전하게
- 보안
- 보안 침해
- 참조
- 보내다
- 전송
- 민감한
- XNUMX월
- 섬기는 사람
- 서버
- 서비스
- 서비스
- 설정
- SHA256
- 공유
- 공유
- 짧은
- 영상을
- 기호
- 서명
- 서명
- 대지
- 상황
- 소프트웨어
- 일부
- 때로는
- 지우면 좋을거같음 . SM
- 구체적인
- 명세서
- 표준
- 스타트
- 주 정부
- 최첨단
- 단계
- 훔친
- 저장
- 저장
- 저장
- 강하게 하다
- 이러한
- SUPPORT
- 지원
- 체계
- Technology
- 그
- XNUMXD덴탈의
- 그들
- 그들 자신
- 그때
- 따라서
- 그들
- 제삼
- 이
- 을 통하여
- 에
- 검색을
- 금액
- 터치
- 노력
- 트위터
- 두
- Ubuntu
- 유일한
- 업데이트
- 업데이트
- ...에
- 용법
- 사용
- 익숙한
- 사용자
- 사용자 경험
- 사용자
- 사용
- 사용
- 확인
- 버전
- 대단히
- 였다
- 방법..
- we
- 웹
- 웹 브라우저
- 잘
- 뭐
- 이므로
- 어느
- 누구
- why
- 넓은
- 위키 백과
- 의지
- 창
- 과
- 이내
- 없이
- 쓴
- X
- 자신의
- 너의
- 제퍼 넷