OpenVOS 릴리스 18.0부터 VOS 시스템 관리자는 3가지 새로운 암호 암호화 알고리즘 중 하나를 선택할 수 있게 됩니다. 이 게시물에서는 이러한 변경 사항에 대해 간략히 설명합니다.
기존의 구형 VOS 암호화 알고리즘은 원래의 DES 알고리즘을 일부로 포함하는 독점적인 단방향 해시 함수입니다. 이 문서를참조하십시오 .컴퓨팅 성능의 발전으로 인해, 이 알고리즘이 처음 개발되었을 당시에는 불가능했던 무차별 대입 공격을 이제 수행할 수 있게 되었습니다. 따라서 새로운 암호 암호화 알고리즘을 도입할 시점이 되었습니다. 실제로, 다른 운영 체제와의 호환성을 위해 기존 VOS 알고리즘에 대한 지원을 유지하면서 3가지 새로운 알고리즘에 대한 지원을 추가하고 있습니다.
Stratus는 추가 암호화 알고리즘의 도입을 두 번의 릴리스에 걸쳐 진행했습니다. OpenVOS 17.2는 여러 암호화 알고리즘을 지원하는 데 필요한 기본 커널 지원, 새로운 API 및 데이터 구조를 추가하지만, 아직 새로운 알고리즘을 사용할 수는 없습니다. 새로운 API에 대한 설명은 여기에서 확인할 수 있습니다. OpenVOS 17.2는 과도기적인 릴리스이므로, 사용자들은 소프트웨어를 사용하면서 새로운 API로 전환할 것을 권장합니다. 하지만 OpenVOS 17.2를 반드시 사용해야 하는 것은 아니며, 이 버전을 건너뛰고 OpenVOS 18.0에서 작업을 진행할 수도 있습니다.
OpenVOS 18.0에서는 새로운 알고리즘을 사용할 수 있습니다(단, 필수 사항은 아닙니다). 새로운 알고리즘을 사용하려면, 다중 모듈 VOS 시스템의 모든 모듈이 17.2 또는 18.0을 실행 중이어야 하며, s$encipher_password 또는 s$get_registration_info를 호출하는 모든 사용자 소프트웨어는 새로운 API(s$encipher_password2, 버전 8 구조의 s$get_registration_info)를 사용하도록 업데이트되어야 합니다. 마스터 모듈은 OpenVOS 18.0을 실행 중이어야 합니다. Stratus의 특정 레이어드 제품(예: Samba, ISP 등)도 업데이트해야 하며, 기본적으로 사용자 암호를 처리하는 모든 레이어드 제품은 업그레이드해야 합니다. 영향을 받는 모든 레이어드 제품의 기본 릴리스 버전은 17.2 또는 18.0입니다. 마지막으로, 시스템 관리자는 sync_password_info 명령을 실행하여 change_password.sysdb 파일에 기존 암호화 값과 새로운 표준 암호화 값을 모두 채워야 합니다. 이 시점에서 관리자는 암호화 알고리즘을 변경할 수 있으며, 이후 비밀번호를 변경하는 모든 사용자의 암호화된 비밀번호는 현재 알고리즘을 사용하여 저장됩니다.
사용자의 비밀번호가 새로운 알고리즘 중 하나로 암호화되면, 기존 알고리즘으로 암호화되었던 비밀번호 사본은 삭제됩니다. 이는 공격자가 비밀번호 데이터 파일에 접근하더라도 취약한 기존 알고리즘을 공격하여 비밀번호를 알아낼 수 없도록 하기 위해 필요한 조치입니다. 그러나 기존 방식으로 암호화된 비밀번호를 삭제한다는 사실은 이전 버전의 릴리스에서는 해당 비밀번호 파일을 더 이상 사용할 수 없음을 의미하므로, 모든 모듈이 최소한 OpenVOS 17.2 이상에서 실행되어야 합니다.
새로운 암호화 알고리즘을 반드시 사용해야 하는 것은 아닙니다. 고객은 기존 알고리즘을 계속해서 사용할 수 있습니다. 고객은 새로운 암호화 알고리즘 중 하나를 시험해 볼 수도 있으며, 문제가 발생하면 기존 알고리즘으로 되돌릴 수 있습니다. 유일한 요구 사항은 새로운 알고리즘이 적용되는 동안 비밀번호를 변경한 사용자는 비밀번호를 다시 변경해야 한다는 점입니다. 비밀번호를 암호화하는 시점은 비밀번호가 변경될 때뿐이기 때문입니다(그때가 평문 값을 알 수 있는 유일한 순간이기 때문입니다).
새로운 알고리즘들은 GNU/Linux 또는 FreeBSD 시스템의 libc에서 구현된 세트에서 가져온 것으로, MD5, SHA256 및 SHA512 해시 함수를 기반으로 합니다. 이 중 어느 것도 DES나 3DES를 사용하지 않습니다. 동일한 알고리즘과 동일한 평문 암호를 사용할 경우, VOS 코드는 Linux 또는 FreeBSD 코드와 동일한 암호문을 생성합니다(실제로 저희는 구현 과정에서 FreeBSD 코드를 사용했습니다). 이는 Linux와 OpenVOS 시스템 간 오픈소스 소프트웨어의 상호 운용성을 강화하기 위해 내린 결정입니다.
VOS의 다중 모듈 기능을 사용하지 않는다면, 모듈을 OpenVOS 18.0으로 업그레이드하는 즉시 새로운 암호 암호화 알고리즘 중 하나로 전환하는 절차를 시작할 수 있습니다. 하지만 앞서 언급했듯이, 이는 선택 사항일 뿐 필수 사항은 아닙니다.
고객은 반드시 OpenVOS 17.2를 먼저 설치할 필요가 없으며, 이전 버전에서 18.0으로 직접 업그레이드할 수 있습니다. 또한 고객은 18.0 버전을 계속 사용해야 할 의무가 없으며, 언제든지 17.2 버전으로 다시 다운그레이드할 수 있습니다(단, 새로운 알고리즘이 적용된 기간 동안 비밀번호를 변경한 모든 사용자는 이 경우 비밀번호를 다시 변경해야 합니다).
이러한 모든 기능은 SRB 및 17.2 버전 설명서에 상세히 기술되어 있으며, 18.0 버전이 출시되면 해당 설명서에도 수록될 예정입니다.
새로운 비밀번호 암호화 알고리즘으로 전환할 계획이신 고객님께서는, 계획이 완벽하고 정확하게 수립되었는지 확인하기 위해 사전에 고객 지원 센터에 문의하시기 바랍니다.
이 게시물에 대해 궁금한 점이 있으시면 아래 댓글란에 남겨 주시거나, Stratus 담당자나 CAC에 문의해 주시기 바랍니다.