OpenVOS 릴리스 18.0에서 시작하여 VOS 시스템 관리자는 3개의 새로운 암호 암호화 알고리즘 중 하나를 선택할 수 있습니다. 이 게시물은 이러한 변경 사항에 대한 개요를 제공합니다.
기존의 레거시 VOS 암호화 알고리즘은 독점적인 일방향 해시 함수로, 작업 과정의 일부로 원래 DES 알고리즘을 포함하고 있습니다. 이 문서를참조하십시오 .컴퓨팅 성능의 발전으로 인해, 이 알고리즘이 처음 작성되었을 당시에는 단순히 실행 불가능했던 무차별 대입 공격을 이제 사용할 수 있게 되었습니다. 따라서 새로운 암호화 알고리즘을 도입할 시점입니다. 사실, 다른 운영 체제와의 호환성을 위해 기존 VOS 알고리즘 지원은 유지하면서 3가지 새로운 알고리즘에 대한 지원을 추가하고 있습니다.
Stratus는 추가 암호화 알고리즘 배포를 2개 릴리스에 걸쳐 진행했습니다. OpenVOS 17.2는 다중 암호화 알고리즘 지원을 위해 필요한 기본 커널 지원, 새로운 API 및 데이터 구조를 추가하지만, 새로운 알고리즘 사용을 시작할 수는 없습니다. 새로운 API에 대한 설명은 여기에서 확인할 수 있습니다. OpenVOS 17.2는 과도기적 릴리스로, 사용 중인 소프트웨어를 새로운 API로 전환할 것을 권장합니다. 다만 OpenVOS 17.2 사용은 필수가 아니며, 건너뛰고 OpenVOS 18.0에서 작업을 진행할 수 있습니다.
OpenVOS 18.0은 새로운 알고리즘 사용을 시작할 수 있도록 허용합니다(필수 사항은 아님). 새로운 알고리즘을 사용하려면 다중 모듈 VOS 시스템의 모든 모듈이 17.2 또는 18.0을 실행 중이어야 하며, s$encipher_password 또는 s$get_registration_info를 호출하는 모든 사용자 소프트웨어는 새로운 API(s$encipher_password2, 버전 8 구조를 사용하는 s$get_registration_info)를 사용하도록 업데이트되어야 합니다. 마스터 모듈은 OpenVOS 18.0을 실행 중이어야 합니다. Stratus의 특정 레이어드 제품(예: Samba, ISP 등)도 업데이트해야 합니다. 기본적으로 사용자 비밀번호를 처리하는 모든 레이어드 제품은 업그레이드해야 합니다. 영향을 받는 모든 레이어드 제품의 기본 릴리스는 17.2 또는 18.0입니다. 마지막으로, 시스템 관리자는 sync_password_info 명령을 실행하여 change_password.sysdb 파일에 기존 암호화 값과 새로운 표준 암호화 값을 모두 채워야 합니다. 이 시점에서 관리자는 암호화 알고리즘을 변경할 수 있으며, 이후 비밀번호를 변경하는 모든 사용자의 암호화된 비밀번호는 현재 알고리즘을 사용하여 저장됩니다.
사용자가 새 알고리즘 중 하나로 암호화된 비밀번호를 보유하게 되면, 기존 알고리즘으로 암호화된 비밀번호 사본은 삭제됩니다. 이는 공격자가 비밀번호 데이터 파일에 접근하더라도 취약한 기존 알고리즘을 공격하여 비밀번호를 알아낼 수 없도록 하기 위한 필수 조치입니다. 그러나 기존 암호화 방식을 사용한 비밀번호를 삭제한다는 사실은 구버전 릴리스가 해당 비밀번호 파일과 더 이상 호환되지 않음을 의미합니다. 따라서 모든 모듈은 최소한 OpenVOS 17.2 이상에서 실행되어야 합니다.
새로운 암호화 알고리즘 사용은 의무 사항이 아닙니다. 고객은 기존 알고리즘을 영구적으로 계속 사용할 수 있습니다. 고객은 새로운 암호화 알고리즘 중 하나를 시험해 볼 수도 있으며, 문제가 발생할 경우 기존 알고리즘으로 되돌릴 수 있습니다. 유일한 요구사항은 새로운 알고리즘이 적용되는 동안 비밀번호를 변경한 사용자는 반드시 다시 변경해야 한다는 점입니다. 비밀번호를 암호화하는 시점은 변경 시점뿐이기 때문입니다(이때만 평문 값을 알 수 있기 때문입니다).
새로운 알고리즘은 GNU/Linux 또는 FreeBSD 시스템에서 libc가 구현한 세트에서 가져왔으며, MD5, SHA256 및 SHA512 해시 함수를 기반으로 합니다. 이들 중 어느 것도 DES나 3DES를 사용하지 않습니다. 동일한 알고리즘과 동일한 평문 비밀번호를 사용할 경우, VOS 코드는 Linux 또는 FreeBSD 코드와 동일한 암호문을 생성합니다(실제로 저희 구현에는 FreeBSD 코드를 사용했습니다). 이 결정은 Linux와 OpenVOS 시스템 간 오픈소스 소프트웨어의 상호운용성을 강화하기 위해 내렸습니다.
VOS의 다중 모듈 기능을 사용하지 않는 경우, 모듈을 OpenVOS 18.0으로 업그레이드하는 즉시 새로운 암호화 알고리즘 중 하나로 전환하는 절차를 시작할 수 있습니다. 그러나 앞서 언급한 바와 같이 이는 선택 사항이지 필수 사항은 아닙니다.
고객은 OpenVOS 17.2를 먼저 설치할 필요가 없으며, 이전 릴리스에서 18.0으로 직접 업그레이드할 수 있습니다. 또한 고객은 릴리스 18.0을 계속 사용해야 할 의무도 없으며, 언제든지 17.2로 다운그레이드할 수 있습니다(다만, 새 알고리즘이 적용되는 동안 비밀번호를 변경한 모든 사용자는 이 경우 다시 비밀번호를 변경해야 합니다).
이러한 모든 기능은 SRB 및 17.2 매뉴얼에 완전히 문서화되어 있으며, 18.0 버전이 출시되면 해당 매뉴얼에도 문서화될 예정입니다.
새로운 암호화 알고리즘으로 전환을 계획 중인 고객께서는 사전에 고객 지원 센터에 문의하여 실행 계획이 완벽하고 정확한지 확인하시기 바랍니다.
이 게시물에 대한 질문이 있으시면 아래 댓글란에 남겨주시거나, Stratus 담당자 또는 CAC에 문의해 주십시오.