FIDO(Fast IDentity Online)이란?

FIDO란?

생체 인식 기반 차세대 인증 기술을 일컫는 말로, 온라인 환경에서 지문, 홍채, 안면인식 등 생체 인식 기반 차세대 사용자 인증 기술이다. 처음에는 FIDO 1.0이었지만 현재는 FIDO 2.0을 사용하고 있습니다.

 

FIDO 시스템 구성 및 주요 기능

FIDO(Fast IDentity Online) 시스템은 FIDO서버, FIDO클라이언트, ASM(Authenticator Specific Module), 인증자(Authenticator)로 구성되어 있습니다.

 

(FIDO 서버) :  인증장치에 대한 정책을 설정하고 사용자의 공개키를 등록·관리 및 검증

(FIDO 클라이언트) : FIDO 서버의 정책에 따라 인증자를 필터링 하고 ASM과 RP 클라이언트 간의 중계 역할

(ASM, Authenticator Specific Module) : FIDO 클라이언트의 요청 을 인증자로 전달하고 인증자에서 생성된 응답 값을 FIDO 클 라이언트로 전달하는 중계역할을 수행

(인증자, Authenticator) : 생체 인증 등으로 사용자를 사용자 단 말에서 로컬 인증하고 서버에서의 원격 인증을 위한 공개키/개 인키 쌍을 생성하여 개인키를 이용해 전자서명을 수행

 

FIDO의 주요 기능은 인증과 거래 확인을 위해 공개키 기반 전자서명을 활용하여 공개키 등록, 전자서명 생성 및 검증(인증과 거래확인), 등록 해지 과정으로 구성

 

(등록) : 생성된 공개키를 검증서버에 등록하는 과정

(인증) : 검증서버의 챌린지(Challenge)1)에 전자서명값을 생성 및 검증하는 과정

(거래확인) : 인증과정과 동일하며 챌린지에 거래내역이 포함되어 전자서명 값을 생성 및 검증하는 과정

(등록) : 저장된 개인키를 삭제하여 등록을 해지하는 과정 

FIDO2.0 구조적 특징

FIDO2.0은 FIDO모듈을 플랫폼화하고 플랫폼에 포함되어 있는 내부 인증자 또는 외부 인증장치의 외부 인증자를 이용하여 인증

가능하며 RP서버와 RP클라이언트 간 통신에 자체 프로토콜을 적용

 

(FIDO모듈의 플랫폼화) FIDO2.0은 FIDO 클라이언트, ASM 및 인증자가 플랫폼 형태로 통합

╶ 윈도우/안드로이드 등에서 운영되는 운영체제 기반의 플랫폼과 웹브라우저를 기반으로 하는 웹 플랫폼이 제공

 

(외부 인증장치 사용가능) 사용자 단말기에 내장된 빌트인 인증자 외에 외부에서 연결되어 동작하는 외부 인증장치에 인장자를 탑재하여 사용 가능

-FIDO 인증자는 전자서명용 공개키/개인키를 생성하고, 공개키를 FIDO 서버에 전송(등록)하며, FIDO2.0에서는 사용자 장치(빌트인 인증자) 또는 스마트폰, 토큰과 같은 외부장치(외부 인증자)에 설치되어 기능을 수행

-외부장치를 통해 FIDO 인증자를 이용할 경우 사용자 장치와 통신을 위해 USB, NFC, BLE 등의 CTAP(Client to Authenticator Protocol)2) 표준연동 방식을 적용

 

(자체 프로토콜 적용) 클라이언트와 서버 간의 메시지 전송시 UAF 프로토콜을 이용하는 FIDO1.0과 달리 FIDO2.0은 서버에서 정의하는 자체 프로토콜을 이용

╶ FIDO2.0에서는 사용자 장치와 FIDO 서버 간에 데이터 교환을 위해 정의된 프로토콜은 없으며 전자서명 값을 안전하게 전달할 수 있도록 자체 프로토콜을 설계하여 적용하도록 권고

 

FIDO Alliance는 W3C에 FIDO2.0 웹 기반 API 구축에 필요한 WEB API와 Signiture, Attestation3) 생성 모델의 기술 표준 제출

╶ (WEB API) 웹 브라우저와 FIDO2.0 간 암호화 접근을 위한 WEB

 

API 제공

╶ (Signiture Format) 인증장치가 생성하는 서명의 포맷과 서명

 

FIDO 1.0과 2.0 비교

FIDO1.0과 FIDO2.0은 등록, 인증/거래확인 등의 절차에는 차이가 없으나 FIDO 모듈을 플랫폼으로 제공하고 모바일에 한정된 FIDO1.0의 운영 환경을 웹 브라우저로 확장하여 FIDO의 활용성을 강화

 

FIDO 1.0 소개

FIDO(Fast IDentity Online)는스마트폰 등의 인증장치(예, 지문, 인식장치 등)를 이용하여 정보를 수집한 후, 인증자를 통해 인증

결과 값을 생성하여 서버로 전송하고 서버에서 인증 결과 값을 검증하는 차세대 인증 기술

 

FIDO Alliance는 보다 편리하고 안전한 인증 시스템을 공동 구축하고 인증 시스템에 대한 기술 표준을 제시하는 역할을 수행하는 연합체로 2012년 여름 결성하여 2013년 2월 정식 출범하였으며 2014년 12월에 FIDO1.0을 발표

 

FIDO 1.0은 모바일 기반의 UAF와 웹 기반의 U2F의 두 가지 인증 표준을 통해 동작

UAF(Universal Authentication Factor) 

- 지문, 음성, 얼굴 인식 등의 사용자 고유 생체 정보를 인식하여 인증하는 모바일 중심의 인증 방식

- 스마트폰 등 사용자 단말기의 생체 정보를 이용하여 사용자를 인증한 후 비 대칭키 쌍(개인키, 공개키)을 생성하고 서비스 제공 서버에 공개키를 등록하여 원격 인증 수행

 

U2F(Universal 2nd Factor)

╶ 아이디, 비밀번호 방식으로 1차 인증 후 1회용 보안키가 저장된 USB 또는 스마트카드를 이용하여 2차 인증하는 PC 중심의 인증 방식FIDO2.0과 달리 FIDO 클라이언트, ASM, 인증자가 별도로 제공되며 RP클라이언트와 RP서버는 UAF 프로토콜을 이용하여 통신 FIDO는 등록, 인증, 거래확인, 해지의 4개의 절차로 구성

 

출처: 금융보안원 https://www.fsec.or.kr/common/proc/fsec/bbs/42/fileDownLoad/1206.do