putty cac

PuTTY CAC는 널리 사용되는 SSH(Secure Shell) 터미널인 PuTTY의 포크입니다. PuTTY CAC는 Windows CAPI(인증서 API), PKCS(공개 키 암호화 표준) 라이브러리 또는 FIDO(Fast Identity Online) 키를 사용하여 저장된 인증서와 연결된 개인 키를 사용하여 SSH 공개 키 인증을 수행하는 기능을 추가합니다. 하드웨어 토큰.

PuTTY CAC는 Yubikey 및 인기 있는 스마트 카드 모델과 같은 다양한 유형의 암호화 토큰과 함께 사용할 수 있습니다. 'PuTTY CAC'의 'CAC'는 PuTTY CAC 개발의 초기 동인 중 하나였던 미국 정부 시설에 사용되는 스마트 카드 토큰인 Common Access Card를 의미합니다.

PuTTY CAC는 오픈 소스 커뮤니티를 통해 미국 정부와 독립적으로 유지 관리됩니다.

여기에서 PuTTY CAC의 최신 릴리스를 다운로드할 수 있습니다: https://github.com/NoMoreFood/putty-cac/releases

PuTTY CAC 소스 코드와 바이너리는 어떤 목적으로든 무료로 사용할 수 있습니다. 라이선스는 여기에서 찾을 수 있습니다: https://github.com/NoMoreFood/putty-cac/blob/master/code/LICENCE

• 마이크로소프트 윈도우 10 이상
• CAPI 지원을 위해서는 적절한 Windows 스마트 카드 미니 드라이버를 설치해야 합니다. OpenSC에서는 많은 일반 하드웨어 토큰을 지원하지만 이는 일반적으로 스마트 카드 제조업체에서 제공합니다.
• PKCS 지원을 위해서는 하드웨어 토큰과 인터페이스하기 위해 PKCS #11 라이브러리(일반적으로 DLL 파일)가 필요합니다. OpenSC에서는 많은 일반 하드웨어 토큰을 지원하지만 이는 일반적으로 스마트 카드 제조업체에서 제공합니다.
• FIDO 지원을 위해 Windows 10에서 지원되는 FIDO 키입니다.

'PuTTY-CAC를 사용하는 SSH' 섹션에서 미국 정부의 ID 관리 웹사이트 사용에 대한 기본 지침 세트를 찾을 수 있습니다.

https://playbooks.idmanagement.gov/piv/engineer/ssh/

PuTTY CAC는 PuTTY와 동일한 명령줄 옵션을 지원하며 특히 PuTTY CAC에 대한 몇 가지 추가 특수 옵션을 지원합니다.

PuTTY 유틸리티의 PuTTY 키 파일 경로 대신 특정 인증서 지문 또는 애플리케이션 식별자를 사용할 수 있습니다. 예를 들어:

• 사용자 인증서 저장소에 지문 '716B8B58D8F2C3A7F98F3F645161B1BF9818B689'가 포함된 인증서를 사용하여 user@host에 연결합니다.
  putty.exe user@host -i CAPI:716B8B58D8F2C3A7F98F3F645161B1BF9818B689
• PKCS 라이브러리 'PKCS.dll'을 사용하여 지문 'B8B58D8F2C3A7F98F3F645161B1BF9818B689716'이 있는 인증서를 사용하여 user@host에 연결합니다.
  putty.exe user@host -i PKCS:B8B58D8F2C3A7F98F3F645161B1BF9818B689716=C:PKCS.dll
• PuTTY CAC FIDO 키 캐시에서 'ssh:MyFidoKey'로 식별된 FIDO 키를 사용하여 user@host에 연결합니다.
  putty.exe user@host -i FIDO:ssh:MyFidoKey

PuTTY 실행 파일(putty.exe, pageant.exe, psftp.exe)은 다음과 같은 추가 명령줄 옵션을 지원합니다. 이러한 옵션의 대부분은 Pageant 작업에 중점을 두고 있으며 사용자 인터페이스에서도 설정할 수 있습니다. 일단 설정하면 특별히 설정을 해제하지 않는 한 이러한 옵션은 후속 실행에 자동으로 적용됩니다. Pageant 인증서 선택 대화 상자를 필터링하는 설정은 표준 PuTTY 애플리케이션의 필터 인증서 선택 대화 상자에도 영향을 미칩니다.

• 시작 시 호환되는 CAPI 인증서를 자동으로 로드합니다: -autoload , -autoloadoff
• PuTTY 실행 간 키 목록 저장: -savecertlist , -savecertlistoff
• Pageant에서 추가 PIN 캐싱 활성화: -forcepincache , -forcepincacheoff
• 인증서 서명 작업이 요청되면 프롬프트: -certauthprompting , -certauthpromptingoff
• 인증서 선택 대화 상자에 신뢰할 수 있는 인증서만 표시: -trustedcertsonly , -trustedcertsonlyoff
• 인증서 선택 대화 상자에 만료된 인증서를 표시하지 않습니다: -ignoreexpiredcerts , -ignoreexpiredcertsoff
• 인증서 선택 대화 상자에서 모든 필터링을 비활성화합니다: -allowanycert , -allowanycertoff

PuTTY CAC의 목적에 따라 인증서는 개인/공개 키 쌍을 참조하는 편리한 방법일 뿐입니다. PuTTY CAC를 사용하여 시스템에 안전하게 로그온하고 CA(인증 기관)에 액세스할 수 없는 경우 인증서를 자체 서명할 수 있습니다. 반대로, PuTTY CAC를 관리형 SSH 서버와 함께 사용하여 다단계 인증을 시행할 수 있습니다. 이는 절차적으로 또는 발급된 모든 인증서의 색인을 생성하고 AuthorizedKeysCommand와 같은 OpenSSH 지시어를 통해 조회하여 OpenSSH Authorized_keys 파일에 하드웨어 토큰과 관련된 공개 키만 포함되어 있는지 확인함으로써 수행할 수 있습니다.

하드웨어 토큰과 인터페이스하는 데 사용되는 특정 코드는 시스템 수준 FIPS 설정에 의해 관리되는 Microsoft 암호화 라이브러리를 활용합니다(Microsoft 웹 사이트 참조). 마찬가지로, 인증 문제 서명에 사용되는 하드웨어 토큰은 하드웨어 키가 FIPS 인증을 받은 경우 FIPS 호환 알고리즘을 사용하도록 보장됩니다. 자세한 내용은 하드웨어 토큰 제조업체 웹사이트를 참조하세요. PuTTY 자체는 FIPS 준수 또는 인증에 대한 평가를 거치지 않은 SSH 세션이 설정되면 독점 암호화 및 해싱을 활용합니다.

• C++ 데스크톱 애플리케이션 개발이 포함된 Visual Studio 2022
• WiX 도구 세트(MSI 파일 빌드용)
• Windows PowerShell(MSI/ZIP/Hash 파일 빌드용)

• 빌드 파일을 생성하려면 'packagerbuild.cmd'를 실행하세요.
• Visual Studio 솔루션 파일은 '빌드' 아래에 생성됩니다.

• PuTTYImp는 기존 FIDO 상주 키를 가져오는 데 사용됩니다. 이는 libfido2를 정적으로 연결합니다. libfido2 및 해당 바이너리 종속성이 이 저장소에 포함되어 있습니다. 다른 모든 PuTTY 실행 파일에는 Windows 운영 체제 및 관련 SDK에 포함된 것 외에는 종속성이 없습니다.