AWS의 MFA 활성화를 예로 TOTP를 대략적으로 설명

AWS 루트 계정의 MFA(다중 요소 인증)를 활성화했습니다.
MFA에는 TOTP라고 하는 구조가 사용되고 있는 것 같습니다만, 이 구조가 잘 모르고 처음으로 로그인할 때 당황해 버렸으므로 조사해 보았습니다.
※인증 아마추어가 조사한 결과이므로 잘못이 있을지도 모릅니다. 지적해 주시면 기쁩니다.

MFA 활성화 흐름

작동하기 전에 먼저 AWS를 활성화하는 단계를 설명합니다.


① AWS 콘솔에서 MFA를 활성화하기 위해 브라우저에 QR 코드 표시
② 스마트 폰으로 Google Authenticator 앱을 설치하고 ①의 QR 코드를 읽습니다.
③앱에 6자리 숫자가 표시되므로 이 숫자를 [MFA 코드 1]에 입력. 30초가 경과하면 숫자가 전환되므로 전환 후 숫자를 [MFA 코드 2]에 입력
④ 향후 AWS에 로그인할 때는 MFA 코드를 입력하라는 메시지가 표시되므로 스마트폰으로 Google Authenticator를 시작하여 표시되는 숫자를 입력하여 로그인한다.

※어플리의 명칭입니다만 iOS에서는 Google Authenticator, Android에서는 Google 인증 시스템이 되고 있습니다

거친 메커니즘

AWS에서 MFA 설정을 할 때 QR 코드를 표시하지만 이 때 비공개 키가 생성되었습니다. 이것을 Google Authenticator에서 읽으면 서버와 클라이언트에 개인 키가 저장됩니다.

QR 코드를 읽으면 앱에서 6자리 숫자가 표시됩니다. 이 숫자는 일회용 비밀번호이며 30초마다 다른 숫자로 전환됩니다.


이 숫자를 생성하고 있는 알고리즘이 TOTP(Time-Based One-Time Password Algorithm)입니다.

TOTP란?

특정 시간에 카운터가 서버와 클라이언트에서 동일하면 서버와 클라이언트가 개인 키를 공유하기 때문에 동일한 확인 코드가 계산되어야하므로 서버와 클라이언트에서 확인 코드의 계산 결과가 일치하는지 여부 에서 인증을 할 수 있다고 하는 것이 TOTP 알고리즘이다.
※『Google 인증 시스템의 구조』에서 인용

30초마다 숫자가 바뀌는데 이 숫자를 입력하면 AWS에 로그인할 수 있는 것이 이상했습니다. 그러나 TOTP의 구조를 알고 보면 납득할 수 있었습니다.
보안 강화를 위해 다 요소 인증이나 2단계 인증이 주목 받고 있기 때문에 얼마든지 구조를 이해할 수 있다면 언젠가 도움이 될 것 같습니다.

참고로 한 기사

h tps : // 기침? 기주 b. 이오 / 2016 / 03 / 26 / 오오 g ぇ 맞는 치치카 r /
htps : // v.ぁsss d. jp / e tc /와 tp-i mp ぇ 멘들 온 푸레 py teon /