서명 알고리즘

Teleport에서 사용되는 서명 알고리즘.

Teleport Auth Service는 모든 연결을 인증, 권한 부여 및 암호화할 수 있도록 사용자와 호스트에게 SSH 및 TLS 인증서를 발급합니다. 이 페이지에서는 Teleport가 발급하는 각 종류의 인증서에 서명하는 데 사용되는 암호화 서명 알고리즘을 설명합니다. 계속 읽으면 다음을 수행하는 방법을 알 수 있습니다: Teleport 17 이전에 생성된 Teleport 클러스터가 빠르고 안전한 타원 곡선 키를 사용하도록 구성 FIPS 호환 서명 알고리즘을 사용하도록 클러스터 구성 HSM 또는 KMS와 호환되는 서명 알고리즘을 사용하도록 클러스터 구성 서명 알고리즘 스위트 # Teleport 17 이후에 생성된 새 Teleport 클러스터는 대부분의 경우 타원 곡선 키를 자동으로 사용합니다. 이전 버전의 Teleport에서 클러스터를 생성한 경우, 서명 알고리즘 스위트 를 구성하여 새 알고리즘을 선택할 때까지 RSA 키를 계속 사용합니다. 단일 알고리즘 스위트를 선택하면 클러스터 전반에 걸쳐 사용되는 모든 암호화 서명 알고리즘을 제어할 수 있습니다. legacy # legacy 스위트는 모든 서명이 2048비트 RSA 키를 기반으로 하는 원래 Teleport 동작을 식별합니다. 17.0.0 이전 버전에서 생성된 Teleport 클러스터는 사실상 항상 legacy 스위트를 사용해 왔으며, 새 버전으로 업그레이드해도 자동으로 변경되지 않습니다. 가능하다면 사용자들이 최신 스위트 중 하나로 업그레이드하는 것을 권장합니다. balanced-v1 # balanced-v1 스위트는 버전 17.0.0 이후 생성된 셀프 호스팅 클러스터의 기본 스위트입니다. 대부분의 셀프 호스팅 사용자에게 권장하는 스위트입니다. 이 스위트를 구성하면 모든 SSH 인증서에 Ed25519가 사용되고, 모든 TLS 인증서에 NIST P-256 곡선을 사용하는 ECDSA가 사용됩니다. RSA는 Teleport가 통합하는 일반적인 서드파티 소프트웨어가 비RSA 알고리즘을 지원할 수 없는 것으로 알려진 경우에 계속 사용됩니다. 여기에는 db 또는 db_client CA에서 발급하는 인증서와 Teleport가 발급하는 특정 JSON Web Token(JWT)이 포함됩니다. fips-v1 # FIPS 모드로 Teleport를 배포하는 사용자는 fips-v1 스위트를 사용하는 것이 좋습니다. FIPS 모드에서 버전 17.0.0 이후 생성된 새 클러스터는 기본적으로 이 스위트를 사용합니다. FIPS 186-5는 비교적 최근(2023년 2월)에야 Ed25519에 대한 승인을 추가했으며, 알고리즘 사용 방법에 대한 미묘한 차이가 있습니다. Teleport에 더 중요한 것은, FIPS Go 바이너리가 컴파일되는 boringcrypto 모듈이 아직 Ed25519를 지원하지 않는다는 점입니다. 이러한 이유로, fips-v1 스위트는 balanced-v1 스위트를 기반으로 하되, Ed25519의 모든 사용을 ECDSA로 대체합니다. HSM 또는 KMS가 구성된 상태에서 fips-v1 스위트를