(알도개) GitHub 보안 개선
0 likes828 views
오늘자 방송: https://www.youtube.com/watch?v=tl0mZq5yLYw&list=PLdntWJk2tJPJucjdMaXqAPzbYJNlzL7lx&index=1
(알도개) GitHub 보안 개선
- 1. GitHub 보안 개선 알도개(알고 보면 도움되는 개발 이야기) 이미지 출처: https://www.flickr.com/photos/75409276@N06/29379427975 CC BY-NC-SA 2.0
- 2. GitHub보안개선 GitHub, 패스워드 방식 인증 중단 • 2021년 8월 13일부터 깃허브에서 패스워드 방식 인증을 중단 • https://jhrogue.blogspot.com/2021/08/b.html에서 소개 • 개인 접근 토큰 방식(PAT, Personal Access Token)으로 대체
- 3. GitHub보안개선 GitHub, 그렇다면 SSH 또는 git:// 기반의 연결은 어떨까? • 점진적으로 키에 대한 요구사항을 엄격하게 가져감 • https://github.blog/2021-09-01-improving-git-protocol-security- github/ • 구체적인 주의 사항 • DSA 키 지원 제거 • RSA 키 요구 사항 추가 • 레거시 SSH 알고리즘 제거 • ECDSA/Ed25519 호스트 키 추가 • 암호화되지 않는 Git 프로토콜 끄기
- 4. GitHub보안개선 DSA 키 제거 • DSA 키는 80비트 보안 수준 • 보통 128비트 이상을 요구하는 현행 관례에 미치지 못함 • 다행히 0.3% 정도의 사용자만 DSA 키로 깃허브에 접근 • 만일 DSA 키를 사용하고 있다면 빠른 업그레이드 필요!
- 5. GitHub보안개선 SHA-1 지원 중단 • RSA 키는 DSA 키보다 훨씬 더 강하지만… • 낡은 SHA-1 서명이 문제 • SHA-1은 해시 충돌이 이미 보고되었기에, SHA-2 서명으로 변경해야 함!
- 6. GitHub보안개선 안전하지 않은 알고리즘 지원 중단 • hmac-sha1과 CBC 계열의 사이퍼(aes256-cbc, aes192-cbc, and aes128-cbc)는 제거 예정 • CBC는 실제 공격 당할 가능성이 높다고 판명되어 있음 hmac-sha1
- 7. GitHub보안개선 드디어 타원 곡선 암호 도입! • ECDSA와 Ed25519는 타원 곡선 암호에 기반한 새로운 표준 • 적절한 크기와 계산 증가에 비해 훌륭한 보안 특성을 제공 • 기존에는 깃허브에서 미지원 • OpenSSH의 UpdateHostKeys 확장을 사용해 사전에 사용 가능 hmac-sha1
- 8. GitHub보안개선 결론 • 보안 강화와 관련한 타임라인을 확인할 필요가… • 2021년 11월 2일에 RSA with SHA-1 컷오프 • 2021년 11월 16일에 CDSA/Ed25519 지원, DSA 호스트 키 미지원 • 2022년 1월 11일, brown out • 2022년 3월 15일 영구적으로 보안 강화 반영 • (가능성은 희박하지만…) 혹시라도 SSH 방식으로 접근하고 있다면 보안 문제 가 없는지 사전에 확인해서 대응하시길…
- 9. 발표자 소개 기술 배경 전문 검색 엔진, 임베디드 시스템(리눅스 커널 디바이스 드라이버), 빅데이터/인공지능 연구 개발, 고성능 고가용성 데이터베이스 주요활동 IT 전문서 번역 (클린 코드, 피플웨어, 해커: 광기의 랩소디, 게임 엔진 블랙 북 등) 개발강의 (삼성전자, SK C&C, 삼성SDC, 현대자동차 기술 세미나와 교육) 활동채널 블로그: https://jhrogue.blogspot.com 슬라이드 셰어: https://www.slideshare.net/jrogue/presentations 유튜브: https://www.youtube.com/c/박재호dev 문의 jrogue@gmail.com 박재호