Opkssh는 단일 사인온 기술로 쉽게 SSH를 만들 수 있습니다.

OPKSSH를 사용하면 OpenID Connect와 같은 단일 사인온 기술로 쉽게 SSH를 만들 수 있으므로 SSH 키를 수동으로 관리하고 구성 할 필요가 없습니다.

OPKSSH is a project that makes it easy to SSH with single sign-on (SSO) technologies like OpenID Connect (OIDC), removing the need to manually manage and configure SSH keys. It does this without adding a trusted party other than your identity provider (IdP). We are excited to announce that OPKSSH has been open-sourced under the umbrella of the OpenPubkey project. While the underlying protocol OpenPubkey became an open source Linux foundation project in 2023, OPKSSH was closed source and owned by BastionZero (now Cloudflare). Cloudflare has gifted this code to the OpenPubkey project, making it open source.

OPKSSH는 OpenID Connect (OIDC)와 같은 단일 사인온 (SSO) 기술로 SSH를 쉽게 만들 수있는 프로젝트로 SSH 키를 수동으로 관리하고 구성 할 필요가 없습니다. IDP (Identity Provider) 이외의 신뢰할 수있는 당사자를 추가하지 않고이를 수행합니다. OpenPubkey Project의 우산 아래 Opkssh가 오픈 소스를 받았다는 것을 발표하게되어 기쁩니다. 기본 프로토콜 OpenPubkey는 2023 년 오픈 소스 Linux Foundation 프로젝트가되었지만 Opkssh는 비공개 소스였으며 Bastionzero (현재 Cloudflare)가 소유했습니다. CloudFlare는이 코드를 OpenPubkey 프로젝트에 선물하여 오픈 소스를 만들었습니다.

In this post, we describe what OPKSSH is, how it simplifies SSH management, and what OPKSSH being open source means for you.

이 게시물에서는 OPKSSH가 무엇인지, SSH 관리를 단순화하는 방법 및 오픈 소스가 귀하에게 의미하는 바를 설명합니다.

Background

배경

A cornerstone of modern access control is single sign-on (SSO), where a user authenticates to an identity provider (IdP), and in response the IdP issues the user a token. The user can present this token to prove their identity, such as "Google says I am Alice". SSO is the rare security technology that both increases convenience - users only need to sign in once to get access to many different systems - and increases security.

최신 액세스 컨트롤의 초석은 단일 사인온 (SSO)이며, 여기서 사용자는 IDP (Identity Provider)에게 인증하고 IDP에 응답하여 사용자에게 발행됩니다. 사용자는이 토큰을 제시하여 "Google은 A am Alice"와 같은 신원을 증명할 수 있습니다. SSO는 편의성을 높이는 희귀 보안 기술입니다. 사용자는 여러 시스템에 액세스하기 위해 한 번만 로그인하면 보안을 향상시킵니다.

OpenID Connect

OpenID Connect (OIDC) is the main protocol used for SSO. As shown below, in OIDC the IdP, called an OpenID Provider (OP), issues the user an ID Token which contains identity claims about the user, such as "email is alice@example.com". These claims are digitally signed by the OP, so anyone who receives the ID Token can check that it really was issued by the OP.

OpenID Connect (OIDC)는 SSO에 사용되는 주요 프로토콜입니다. 아래에 표시된 바와 같이 OIDC에서 OpenID 제공 업체 (OP)라고하는 IDP는 사용자에게 "email is alice@example.com"과 같은 사용자에 대한 신원 청구가 포함 된 ID 토큰을 발행합니다. 이러한 클레임은 OP가 디지털로 서명하므로 ID 토큰을받는 사람은 OP가 실제로 발행했는지 확인할 수 있습니다.

Unfortunately, while ID Tokens do include identity claims like name, organization, and email address, they do not include the user's public key. This prevents them from being used to directly secure protocols like SSH or End-to-End Encrypted messaging.

불행히도 ID 토큰에는 이름, 조직 및 이메일 주소와 같은 신원 주장이 포함되어 있지만 사용자의 공개 키는 포함되지 않습니다. 이로 인해 SSH 또는 엔드 투 엔드 암호화 메시징과 같은 프로토콜을 직접 보호하는 데 사용되지 않습니다.

Note that throughout this post we use the term OpenID Provider (OP) rather than IdP, as OP specifies the exact type of IdP we are using, i.e., an OpenID IdP. We use Google as an example OP, but OpenID Connect works with Google, Azure, Okta, etc.

이 게시물 전체에서 OP는 OpenID IDP 인 정확한 유형의 IDP를 지정하기 때문에 IDP 대신 OpenID 제공자 (OP)라는 용어를 사용합니다. 우리는 Google을 예제 OP로 사용하지만 OpenID Connect는 Google, Azure, Okta 등과 함께 작동합니다.

Figure 1: Shows a user Alice signing in to Google using OpenID Connect and receiving an ID Token

그림 1 : OpenID Connect를 사용하여 Google에 로그인하는 사용자 Alice가 ID 토큰을 수신합니다.

OpenPubkey

OpenPubkey, shown below, adds public keys to ID Tokens. This enables ID Tokens to be used like certificates, e.g. "Google says alice@example.com is using public key 0x123." We call an ID token that contains a public key a PK Token. The beauty of OpenPubkey is that, unlike other approaches, OpenPubkey does not require any changes to existing SSO protocols and supports any OpenID Connect compliant OP.

아래에 표시된 OpenPubkey는 ID 토큰에 공개 키를 추가합니다. 이를 통해 ID 토큰이 인증서처럼 사용할 수 있습니다. 예 : Google은 Alice@example.com이 공개 키 0x123을 사용하고 있다고 말합니다. 공개 키가 포함 된 ID 토큰을 PK 토큰이라고합니다. OpenPubkey의 아름다움은 다른 접근 방식과 달리 OpenPubkey는 기존 SSO 프로토콜을 변경할 필요가 없으며 OpenID Connect Compliant OP를 지원한다는 것입니다.

Figure 2: Shows a user Alice signing in to Google using OpenID Connect/OpenPubkey and then producing a PK Token

그림 2 : OpenID Connect/OpenPubkey를 사용하여 Google에 로그인 한 다음 PK 토큰을 생성하는 사용자 Alice가 Google에 로그인하는 것을 보여줍니다.

While OpenPubkey enables ID Tokens to be used as certificates, OPKSSH extends this functionality so that these ID Tokens can be used as SSH keys in the SSH protocol. This adds SSO authentication to SSH without requiring changes to the SSH protocol.

OpenPubkey를 사용하면 ID 토큰을 인증서로 사용할 수 있지만 OPKSSH는이 기능을 확장하여 이러한 ID 토큰을 SSH 프로토콜에서 SSH 키로 사용할 수 있습니다. SSH 프로토콜을 변경할 필요없이 SSH 인증을 SSH에 추가합니다.

Why this matters

이것이 중요한 이유

OPKSSH frees users and administrators from the need to manage long-lived SSH keys, making SSH more secure and more convenient.

OPKSSH는 오랜 SSH 키를 관리해야 할 필요성으로부터 사용자와 관리자를 해방시켜 SSH를보다 안전하고 편리하게 만듭니다.

"In many organizations - even very security-conscious organizations - there are many times more obsolete authorized keys than they have employees. Worse, authorized keys generally grant command-line shell access, which in itself is often considered privileged. We have found that in many organizations about 10% of the authorized keys grant root or administrator access. SSH keys never expire." - Challenges in Managing SSH Keys - and a Call for Solutions by Tatu Ylonen (Inventor of SSH)

"많은 조직 (매우 보안 의식이있는 조직조차도 직원들보다 더 쓸모없는 승인 된 키가 여러 번 있습니다. 더 나쁜, 승인 된 키는 일반적으로 명령 줄 쉘 액세스 권한을 부여하는데, 그 자체로는 종종 권한이있는 것으로 간주됩니다. 우리는 많은 조직에서 승인 된 키 보조금 또는 관리자 액세스의 약 10%가 전기되지 않는다는 것을 발견했습니다.” - SSH 키 관리의 과제 - Tatu Ylonen (SSH의 발명가)의 솔루션 요청

In SSH, users generate a long-lived SSH public key and SSH private key. To enable a user to access a server, the user or the administrator of that server configures that server to trust that user's public key. Users must protect the file containing their SSH private key. If the user loses this file, they are locked out. If they copy their SSH private key to multiple computers or backup the key, they increase the risk that the key will be compromised. When a private key is compromised or a user no longer needs access, the user or administrator must remove that public key from any servers it currently trusts. All of these problems create headaches for users and administrators.

SSH에서 사용자는 오랜 SSH 공개 키 및 SSH 개인 키를 생성합니다. 사용자가 서버에 액세스 할 수 있도록 해당 서버의 사용자 또는 관리자는 해당 서버를 해당 사용자의 공개 키를 신뢰하도록 구성합니다. 사용자는 SSH 개인 키가 포함 된 파일을 보호해야합니다. 사용자 가이 파일을 잃어 버리면 잠겨 있습니다. SSH 개인 키를 여러 컴퓨터에 복사하거나 키를 백업하면 키가 손상 될 위험이 높아집니다. 개인 키가 손상되거나 사용자가 더 이상 액세스 할 필요가없는 경우 사용자 또는 관리자는 현재 신뢰하는 서버에서 해당 공개 키를 제거해야합니다. 이러한 모든 문제는 사용자 및 관리자에게 두통을 만듭니다.

OPKSSH overcomes these issues:

OPKSSH는 이러한 문제를 극복합니다.

Improved security: OPKSSH replaces long-lived SSH keys with ephemeral SSH keys that are created on-demand by OPKSSH and expire when they are no longer needed. This reduces the risk a private key is compromised, and limits the time period where an attacker can use a compromised private key. By default, these OPKSSH public keys expire every 24 hours, but the expiration

보안 개선 : OPKSSH는 오랜 SSH 키를 임시 SSH 키로 대체하여 OPKSSH에 의해 주문형으로 생성되고 더 이상 필요하지 않을 때 만료됩니다. 이는 개인 키가 손상된 위험을 줄이고 공격자가 손상된 개인 키를 사용할 수있는 기간을 제한합니다. 기본적 으로이 OPKSSH 공개 키는 24 시간마다 만료되지만 만료는 만료됩니다.