본문 바로가기

softwares

RSA SecurID Software for iPhone/Android


RSA SecurID의 작동원리는 하드웨어 OTP 토큰이나 소프트웨어 토큰이 설치된 PC의 현재 시간과, 각 토큰에 부여된 시리얼 키를 기반으로 RSA 알고리즘에 의한 6자리의 난수를(random number) 생성 후, 인증과정에서 RSA 인증 서버의 생성(시간/토큰) 값과 비교하여 두 값이 동일하면 통과(인증성공) 시키는 방식의 인증서버 입니다.(헥헥) 하드웨어 OTP 토큰의 분실이나 만약의 상황을 대비해 PIN(Personal Identification Number)를 저장하여 한 번 더 확인하게 되며, 최종 생성된 PASSCODE는 1분에 한 번씩 변경 됩니다.

높은 레벨의 보안이 필요한 인터넷 뱅킹이나 인증 서버에서 이와 같은 방식의 인증을 주로 사용하구요, 제가 다니는 회사에서도 RSA SecurID 솔루션을 도입하여 사용하고 있습니다. 하드웨어 방식으로는 SID700 토큰과, SID820 소프트웨어 토큰 방식의 인증도 혼용하여 사용하고 있습니다. SecurID 소프트웨어 인증방식의 경우에는, 인터넷 브라우저의 툴바나 별도의 소프트웨어를 사용하는 등의 다양한 인증방식을 제공하는데요. iOS를 위한 토큰 소프트웨어가 나왔기에 설치 해보았습니다.

RSA SecurID 관리자 입장에서 해주어야할 작업으로는 소프트웨어 토큰의 재발급(Re-Issue)의 일반적인 작업 한 번으로도 가능합니다만(소프트웨어 토큰의 라이센스가 있어야합니다), 이 경우에는 일반 유저가 토큰파일을 컨버팅하여 url을 만들어야 하는 아래와 같은 과정을 필요로 합니다. 최종 컨버팅된 url로만 키를 제공 받는다면, 설치과정이 조금 더 쉬워지긴 하겠지만 SecurID 관리자가 할 일이 더 많아지겠네요. (...)

iPhone용 토큰의 설치 과정은 아래와 같습니다.

일반 PC에서는 소프트웨어 토큰의 설치에 큰 문제가 없지만, 파일 입출력이 까다로운 iPhone의 경우에는 생성된 토큰(.stdid)을 전송할수 있는 방법이 없기때문에, 하나은행 어플리케이션의 공인인증서 복사와 같은 다른 방법을 사용해야합니다. TokenConverter를 통하여 url로 변경하여야 하며, 이를 Safari에서 접근하면 RSA SecurID 프로그램으로 토큰을 설치합니다.

c:\TokenConverter.exe rsa_userid.sdtid -p password -iphone -o output.txt

com.rsa.securid.iphone://ctf?ctfData=2xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx^^

1. RSA Host Manager 에서 Software Token Re-Issue 후 .stdid Token 파일 생성 (관리자)
2. Software Token Converter 로 .stdid -> url base 로 컨버팅
3. 생성된 url 을 iPhone 메일로 전달 혹은 Safari 에서 url 입력

Copy & Paste 때문에라도 iPhone OS 3.0 이 필요한데, 여태껏 없이도 썼다는게 놀라울 다름입니다. -_-

http://www.rsa.com/node.aspx?id=3651
https://www.rsa.com/node.aspx?id=3652

Blackberry/Symbian/Windows Mobile 에서도 사용이 가능합니다. :)



2011.05.17 RSA SecurID Android 추가

프로그램은 안드로이드 마켓에서 받으면 되고, RSA Authentication Manager 에서 생성된 .stdid 파일을 iPhone용과 같은 TokenCoverter.exe로 변환 하면 됩니다.. 변환된 문자열 중 .iphone을 삭제 후 메일로 전송. 최종적으로는 com.rsa.securid://ctf?ctfData=2xxx의 Token Data가 임포트(복사,붙여넣기) 되어야 한다. 발급된 소프트웨어 RSA 토큰 하나로 두개 이상의 여러 기기에서 등록해서 쓸 수 있는 지만...

TokenConverter_new.zip



문제는 OTP가 두 개라도, SSL VPN 장비에서는 하나의 계정으로만 매칭을 할 수 있어 동시사용이 불 가능한데합니다. 하지만, 최근 업데이트 된 juniper IVE 7.0 에서는 이 설정을 변경하면 동시 접속이 가능해집니다. 이 방법을 쓰면 소프트웨어 RSA 토큰의 개수를 줄일 수 있긴 한데, 기기(휴대폰)가 변경되거나 분실 되었을 경우, 같이 발급된 모든 토큰을 교체해주어야 합니다. 참고로 아이폰 기준으로 기기의 UUID가 바뀌면(리퍼/교체) 토큰을 재설치 해주어야 하고, 동일한 기기에서의 백업/복원 시에는 기존 토큰이 유지 됩니다.