위치:
웹 앱 설정: SAML 메시지 서명 알고리즘 - SHA256 선택
이 보안 설정은 Secure Hash Algorithm 256비트 변형을 사용하여 SAML 어설션에 대한 디지털 서명을 생성하는 방법을 지정합니다.
제어 이름
연결된 앱: 웹 앱 설정: SAML 메시지 서명 알고리즘 - SHA256 선택
권장 구성
SAML 메시지 서명 알고리즘 - SHA256을 선택합니다.
제어 개요
이 보안 설정은 Secure Hash Algorithm 256비트 변형을 사용하여 SAML 어설션에 대한 디지털 서명을 생성하여 ID 교환의 무결성과 신뢰성을 보장합니다.
구성되지 않은 경우 보안 위험
SAML 메시지에 대한 약한 서명 알고리즘이 없거나 사용되면 인증서 위조에 대한 취약성이 발생하고 공급자와 응용 프로그램 간에 설정된 ID Trust 우회합니다.
위협 시나리오
공격자는 SHA-1과 같은 레거시 알고리즘에서 알려진 충돌 취약성을 활용하여 유효한 디지털 서명을 위조하여 인증 플로에 무단 관리 청구를 삽입할 수 있습니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
최신 해시 표준을 사용하지 못하면 어설션 조작 및 ID 스푸핑이 성공적으로 수행되므로 연합 액세스 관리 시스템이 완전히 손상될 수 있습니다.
위험이 높은 경우
서비스 공급자가 서명 만료를 적용하지 않거나 서명에 사용된 개인 키가 하드웨어 백업 방어 없이 소프트웨어 기반 리포지토리에 저장된 경우
낮은 위험 시기
조직에서 이미 단기간 SAML 어설션 사용을 요구하고 연합 로그인 시도마다 다단계 인증을 적용한 경우
비즈니스 및 통합 고려 사항
SHA-256로 전환하면 최신 업계 보안 표준을 준수하지만 수신 서비스 공급자가 256비트 암호화 해시를 처리할 수 있는지 확인해야 합니다.
권장 수정
연결된 앱의 웹 앱 설정으로 이동하여 서명 알고리즘 필드를 업데이트하여 구성을 저장하기 전에 SHA256을 선택합니다.
보안 상태 검토 지침
보안 상태 검토는 암호화 공격을 방지하고 모든 ID 어설션이 승인되지 않은 수정에 저항하는지 확인하기 위해 SHA-256 서명 적용을 적극 권장하는 표준으로 식별합니다.
