오늘자 방송: https://www.youtube.com/watch?v=tl0mZq5yLYw&list=PLdntWJk2tJPJucjdMaXqAPzbYJNlzL7lx&index=1

1. GitHub 보안 개선
알도개(알고 보면 도움되는 개발 이야기)
이미지 출처: https://www.flickr.com/photos/75409276@N06/29379427975
CC BY-NC-SA 2.0

2. GitHub보안개선
GitHub, 패스워드 방식 인증 중단
• 2021년 8월 13일부터 깃허브에서 패스워드 방식 인증을 중단
• https://jhrogue.blogspot.com/2021/08/b.html에서 소개
• 개인 접근 토큰 방식(PAT, Personal Access Token)으로 대체

3. GitHub보안개선
GitHub, 그렇다면 SSH 또는 git:// 기반의 연결은 어떨까?
• 점진적으로 키에 대한 요구사항을 엄격하게 가져감
• https://github.blog/2021-09-01-improving-git-protocol-security-
github/
• 구체적인 주의 사항
• DSA 키 지원 제거
• RSA 키 요구 사항 추가
• 레거시 SSH 알고리즘 제거
• ECDSA/Ed25519 호스트 키 추가
• 암호화되지 않는 Git 프로토콜 끄기

4. GitHub보안개선
DSA 키 제거
• DSA 키는 80비트 보안 수준
• 보통 128비트 이상을 요구하는 현행 관례에 미치지 못함
• 다행히 0.3% 정도의 사용자만 DSA 키로 깃허브에 접근
• 만일 DSA 키를 사용하고 있다면 빠른 업그레이드 필요!

5. GitHub보안개선
SHA-1 지원 중단
• RSA 키는 DSA 키보다 훨씬 더 강하지만…
• 낡은 SHA-1 서명이 문제
• SHA-1은 해시 충돌이 이미 보고되었기에, SHA-2 서명으로 변경해야 함!

6. GitHub보안개선
안전하지 않은 알고리즘 지원 중단
• hmac-sha1과 CBC 계열의 사이퍼(aes256-cbc, aes192-cbc, and
aes128-cbc)는 제거 예정
• CBC는 실제 공격 당할 가능성이 높다고 판명되어 있음
hmac-sha1

7. GitHub보안개선
드디어 타원 곡선 암호 도입!
• ECDSA와 Ed25519는 타원 곡선 암호에 기반한 새로운 표준
• 적절한 크기와 계산 증가에 비해 훌륭한 보안 특성을 제공
• 기존에는 깃허브에서 미지원
• OpenSSH의 UpdateHostKeys 확장을 사용해 사전에 사용 가능
hmac-sha1

8. GitHub보안개선
결론
• 보안 강화와 관련한 타임라인을 확인할 필요가…
• 2021년 11월 2일에 RSA with SHA-1 컷오프
• 2021년 11월 16일에 CDSA/Ed25519 지원, DSA 호스트 키 미지원
• 2022년 1월 11일, brown out
• 2022년 3월 15일 영구적으로 보안 강화 반영
• (가능성은 희박하지만…) 혹시라도 SSH 방식으로 접근하고 있다면 보안 문제
가 없는지 사전에 확인해서 대응하시길…

9. 발표자 소개
기술 배경
전문 검색 엔진, 임베디드 시스템(리눅스 커널 디바이스 드라이버), 빅데이터/인공지능 연구 개발,
고성능 고가용성 데이터베이스
주요활동
IT 전문서 번역 (클린 코드, 피플웨어, 해커: 광기의 랩소디, 게임 엔진 블랙 북 등)
개발강의 (삼성전자, SK C&C, 삼성SDC, 현대자동차 기술 세미나와 교육)
활동채널
블로그: https://jhrogue.blogspot.com
슬라이드 셰어: https://www.slideshare.net/jrogue/presentations
유튜브: https://www.youtube.com/c/박재호dev
문의 jrogue@gmail.com
박재호