저는 dovecot imap 서버를 실행하고 있으며 Thunderbird를 프런트엔드로 사용하고 있습니다.
액세스는 비밀번호로 보호되어 있으며 비밀번호가 유출된 로그인 시도를 많이 보았습니다. 이중 키 인증으로 전환하고 가능하면 FIDO2 물리적 키도 사용하고 싶습니다.
가능합니까?
현재 SSH 인증에 이중 키를 사용하고 있으며 FIDO2 물리적 키를 사용하기 시작했습니다.
답변1
사용중인 SSH는 공개 키 인증 전용인 것 같습니다. 공개 키와 개인 키라는 두 개의 별도 일치 키가 있는 경우에도 이를 호출합니다.
메일로 이 작업을 수행하려면 TLS를 사용할 수 있습니다. 그럼에도 불구하고 전송 중인 데이터를 보호하려면 TLS를 사용해야 합니다. 이 방법을 클라이언트 인증서 인증이라고 합니다.
TLS에서는 항상 인증서의 개인 키를 사용하여 요청의 일부에 서명해야 하는 서버를 인증합니다. 그러나 클라이언트가 인증하는 것은 덜 일반적이지만 이것이 바로 여러분이 원하는 것입니다. 이로 인해 두 당사자가 서로를 인증하게 됩니다.
일반적으로 인증서를 발급하려면 신뢰할 수 있는 인증 기관을 만들어야 하며, 그런 다음 직접 개인 키를 생성하고 CA 서명 인증서를 직접 발급할 수 있습니다. Dovecot 문서에서는 이를 수행하는 방법을 설명합니다..
FIDO2 보안 키의 경우 이를 사용하는 방법을 모르겠습니다. 이는 IMAP 및 POP에 대한 인증 메커니즘이 SASL을 사용하고 일반적으로 SASL은 인증 유형으로 FIDO2를 지원하지 않기 때문입니다. SSH에서도 FIDO2의 사용은 OpenSSH 전용 확장이며 표준화되지 않았습니다.
그러나 YubiKey를 독점적으로 사용하는 경우 클라이언트 인증서에 대한 지원이 포함됩니다.PIV 신청당신은 그것을 사용할 수도 있습니다적합한 PKCS#11 라이브러리 보유클라이언트 인증서의 개인 키를 저장합니다. 이 경우 보안키에 개인키가 생성되며 삭제할 수 없으므로 보안키 없이는 인증이 불가능합니다.