2007년 09월 28일
SSL 인증서 없이 CardSpace 사용하기
Windows CardSpace의 팀블로그가 'CardSpace: Behind The Code' 라는 이름으로 새로 오픈했습니다. 오픈 기념으로 개시한 포스트는 RP(Relying Party)가 SSL 인증서 없이도 CardSpace를 사용할 수 있는 업데이트에 대한 내용입니다. [1]
저도 RP를 구축하면서 CardSpace가 https 주소를 가지는 RP에서만 구동한다는 사실을 알았습니다. CardSpace가 구동하면서 RP의 정보를 사용자에게 보여주는데, 이 때의 RP정보는 조작의 가능성이 충분히 있기 때문에 SSL 인증서의 내용을 사용하는 것이라고 생각했습니다.
하지만 CardSpace는 블로그에서도 사용되는 등, 그다지 높은 수준의 보안이 요구되지 않는 환경에서도 사용될 수 있습니다. CardSpace 팀에도 SSL 인증서가 필수적으로 요구되는건 CardSpace의 확산에 그다지 도움이 되지 않는다는 분석을 내리고, 다음 업데이트에서는 SSL 인증서 없이도 CardSpace를 구동할 수 있도록 한다고 합니다.
SSL 인증서가 없는 RP에서 CardSpace를 구동한 경우, 아래와 같은 화면을 보시게 됩니다. RP 정보 대신에 보안이 보장되지 않는다는 경고 메시지를 볼 수 있습니다.
1. SSL이 지원되지 않기 때문에 민감한 정보는 교환하지 않는 것이 좋습니다. CardSpace에 저장한 InfoCard가 중요한 정보를 가지고 있다면, SSL이 지원되지 않는 사이트에는 사용할 수 없도록 해주는 기능이 제공됩니다. 아래 코드가 InfoCard 내에 포함되어 있으면 됩니다.
2. PPID 생성 과정이 변경됩니다. 기존에는 RP의 SSL 인증서에 있는 이름을 사용하였지만, 이번에는 DNS에 등록된 서버 이름이나 ip가 사용됩니다.
3. Audit을 위해 IP에게 RP의 url을 넘겨줍니다. 전달되는 토큰에 암호화는 이루어지지 않습니다. 하지만 사전에 IP와 RP간에 신뢰 관계가 있어서 암호화 키를 교환했다면 암호화된 토큰을 받을 수 있습니다.
4. self-issued 카드는 암호화 하지 않습니다. 기존에는 RP가 전송된 카드 정보를 복호화하는 과정이 있지만, 이번에는 복호화 과정을 생략하게 됩니다.
InfoCard 사용 가이드[2]와 SDK[3]가 제공되어 있기 때문에, 아주 쉽게 CardSpace를 구축할 수 있을 것으로 예상됩니다.
[1] http://blogs.msdn.com/card/archive/2007/09/25/deploy-cardspace-on-your-site-without-a-ssl-certificate.aspx
[2] http://www.microsoft.com/downloads/details.aspx?FamilyID=B94817FC-3991-4DD0-8E85-B73E626F6764&displaylang=en
[3] http://ayo79.egloos.com/3291466
저도 RP를 구축하면서 CardSpace가 https 주소를 가지는 RP에서만 구동한다는 사실을 알았습니다. CardSpace가 구동하면서 RP의 정보를 사용자에게 보여주는데, 이 때의 RP정보는 조작의 가능성이 충분히 있기 때문에 SSL 인증서의 내용을 사용하는 것이라고 생각했습니다.
하지만 CardSpace는 블로그에서도 사용되는 등, 그다지 높은 수준의 보안이 요구되지 않는 환경에서도 사용될 수 있습니다. CardSpace 팀에도 SSL 인증서가 필수적으로 요구되는건 CardSpace의 확산에 그다지 도움이 되지 않는다는 분석을 내리고, 다음 업데이트에서는 SSL 인증서 없이도 CardSpace를 구동할 수 있도록 한다고 합니다.
In addition to requiring .Net Framework 3.5 beta 2 or later, a new version of icardie.dll is required to use this new feature. This will ship with Vista SP1 and an upcoming update to IE7.
SSL 인증서가 없는 RP에서 CardSpace를 구동한 경우, 아래와 같은 화면을 보시게 됩니다. RP 정보 대신에 보안이 보장되지 않는다는 경고 메시지를 볼 수 있습니다.
<wsid:RequireStrongRecipientIdentity xmlns:wsid= ‘http://schemas.xmlsoap.org/ws/2007/01/identity’>
2. PPID 생성 과정이 변경됩니다. 기존에는 RP의 SSL 인증서에 있는 이름을 사용하였지만, 이번에는 DNS에 등록된 서버 이름이나 ip가 사용됩니다.
3. Audit을 위해 IP에게 RP의 url을 넘겨줍니다. 전달되는 토큰에 암호화는 이루어지지 않습니다. 하지만 사전에 IP와 RP간에 신뢰 관계가 있어서 암호화 키를 교환했다면 암호화된 토큰을 받을 수 있습니다.
Though a certificate is not sent to the IP STS, the token returned by the STS can still be encrypted if the identity provider has a pre-existing relationship with the RP and has mutually agreed on the use of a known encryption key.
4. self-issued 카드는 암호화 하지 않습니다. 기존에는 RP가 전송된 카드 정보를 복호화하는 과정이 있지만, 이번에는 복호화 과정을 생략하게 됩니다.
InfoCard 사용 가이드[2]와 SDK[3]가 제공되어 있기 때문에, 아주 쉽게 CardSpace를 구축할 수 있을 것으로 예상됩니다.
[1] http://blogs.msdn.com/card/archive/2007/09/25/deploy-cardspace-on-your-site-without-a-ssl-certificate.aspx
[2] http://www.microsoft.com/downloads/details.aspx?FamilyID=B94817FC-3991-4DD0-8E85-B73E626F6764&displaylang=en
[3] http://ayo79.egloos.com/3291466
# by | 2007/09/28 15:00 | 기타 ID 동향 | 트랙백(1) | 핑백(1)
제목 : CardSpace UI 변경
SSL 인증서 없이 CardSpace 사용하기 와 관련하여 CardSpace 측의 UI 업데이트가 있습니다.기존의 CardSpace는 2가지 모드를 지원했습니다.EV(Extended Validation) SSL 인증서 모드일반 SSL 인증서 모드이제 '인증서 없음 모드(No Certificate Mode)'가 추가되었죠.새로워진 UI는 다음과 같습니다.'EV SSL 인증서 모드' 인 경우 녹색 배경 화면과 자물쇠 모양이 추가되었습니다.......more
... UI가 변경되었습니다. 그리고 지난번에 언급했듯이, 개선된 CardSpace는 .NET Framework 3.5에 탑재되었습니다. 이미 제가 포스팅했던 내용입니다.SSL 인증서 없이 CardSpace 사용하기CardSpace UI 변경 제가 기대했던 것처럼 새로운 CardSpace가 아니라서 아쉽네요. 그래서 더욱 비공개 세미나의 내용이 궁금해 집니다 ... more