[공지] 루트 인증서 보안 강화에 따른 권고
안녕하세요, 안랩입니다.
Microsoft의 루트 인증서 보안 강화에 따라 안랩은
다음과 같이 권고합니다.
1. 루트 인증서 보안 강화
Microsoft는 새로운 CodeSign 용 인증서의 최소 키 사이즈를 3072bit RSA이상으로 변경 하였고,
이에 따라 따라 CodeSign 서명
키 사이즈가 2048bit RSA에서 4096bit RSA 이상으로 강화 되어야 합니다.
※ 참고
Microsoft 공지 (Code signing changes in 2021)
루트 인증서 발급 기관
가이드
https://knowledge.digicert.com/alerts/code-signing-new-minimum-rsa-keysize.html#
https://www.ucert.co.kr/board/view/all/5214/9/all/
https://cert.crosscert.com/codesign-코드사인-인증서-키-사이즈-3072bit-암호체계도입/
https://www.certkorea.co.kr/bbs/board.php?bo_table=31&wr_id=52
2.
AhnLab 대응 및 권고 사항
AhnLab은 공인된 인증서를 통해 자사 프로그램의 안전을 보장합니다.
인증기관의 요구에 따라 CodeSign 을 위해 사용하는 인증서 정보를 1년
이내로 제한 및 최신으로 유지하고 있습니다.
CodeSign 정책 변경에 따라, AhnLab의
경우 2022년 5월 25일 이후 4096bit 키 사이즈의 루트
인증서를 사용하는 서명 체계로 변경을 해야 합니다.
변경 사항이 반영되지 않은 버전을
사용하는 경우 엔진(패턴) 업데이트 및 제품 패치에
제약이 발생 할 수 있어 최신 버전 적용이 필요합니다.
현재 사용하시는 AhnLab 제품의 최신 패치 적용을 권고 드립니다.
3. V3 지원 현황 (4096bit RSA 적용)
• 권고 (최소) 버전 : V3 IS/ES/Net 9.0 : 9.0.67.9 (Build 1840) 이상 (2021.10.19(화) 릴리즈) 제품 버전의 패치셋 적용 및 설치본 교체
• 변경 시한 : 2022년 5월 13일, 변경된 루트 인증서 기반 엔진 배포는 5월 25일 예상
• 최신 패치가 적용되지 않은 경우 V3 엔진 업데이트 실패 혹은 패치 과정에서 무결성 손상 메시지 발생됨
4.
제품별 루트 인증서 지원 현황 (4096bit RSA 적용)
제품 |
대상 버전 |
패치 버전 |
패치 미적용 시 이슈 내용 |
APC/EMS |
• 4.6.9 • 4.6.10 • 4.6.11 • 4.6.9 하위 버전일 경우 4.6.9 이상 업그레이드 후 패치 적용 필요 |
• 4.6.9.55 • 4.6.10.39 • 4.6.11.37
|
• Server : 관리 콘솔을 통한 V3 엔진/패치셋 및 APM 패치셋 적용 불가 • Agent : 관리 서버를 통한 V3 엔진/패치셋 및 APM 패치셋 적용 불가 |
EPPM |
• P9 • P10 • P9 하위 버전일 경우 P9 이상 업그레이드 후 패치 적용 필요 (P11은 이미 적용되어 있음)
|
• 1.0.9.46 • 1.0.10.14 • 1.0.11.X
|
• Server : 관리 콘솔을 통한 V3 엔진/패치셋 및 APM 패치셋 적용 불가 • Agent : 관리 서버를 통한 V3 엔진/패치셋 및 APM 패치셋 적용 불가
|
EPP Agent |
• P9 • P10 • P9 하위 버전일 경우 P9 이상 업그레이드 후 패치 적용 필요 (P11은 이미 적용되어 있음)
|
• 1.0.9.20 • 1.0.10.11 • 1.0.11.X
|
• 관리 서버를 통한 패치셋 적용 불가
|
EPM Agent |
• P9 • P10 • P9 하위 버전일 경우 P9 이상 업그레이드 후 패치 적용 필요 (P11은 이미 적용되어 있음)
|
• P9 - 5.0.6.41 (Build 542) • P10 - 5.0.7.20 (Build 645) • P11 - 5.0.8.X
|
• 관리 서버를 통한 패치셋 적용 불가
|
EPrM Agent |
• P9 • P10 • P9 하위 버전일 경우 P9 이상 업그레이드 후 패치 적용 필요 (P11은 이미 적용되어 있음)
|
• P9 - 5.0.9.22 (Build 639) • P10 - 5.0.10.20 (Build 677) • P11 - 5.0.11.X |
• 관리 서버를 통한 패치셋 적용 불가
|
ESA Agent |
• P9 • P10 • P9 하위 버전일 경우 P9 이상 업그레이드 후 패치 적용 필요 (P11은 이미 적용되어 있음)
|
• P9 - 1.0.9.23 (Build 667) • P10 - 1.0.10.20 (Build 766) • P11 - 1.0.11.X |
• 관리 서버를 통한 패치셋 적용 불가
|
EDR Agent |
• P9 • P10 • P9 하위 버전일 경우 P9 이상 업그레이드 후 패치 적용 필요 (P11은 이미 적용되어 있음)
|
• P9 - 1.0.9.7 (Build 1005) • P10 - 1.0.10.7 (Build 1025) • P11 - 1.0.11.X |
• 관리 서버를 통한 패치셋 적용 불가
|
V3 제품군 |
• 패치 버전 미만 버전
|
• V3 IS/ES/Net 9.0 - 9.0.67.9 (Build 1840) 이상 • V3 for Mac - 3.1.0.8 (Build 2644) • V3 Net for Linux Server - 3.6.11.9 (Build 895) 이상 • V3 Net for Unix Server - 3.6.11.5 (Build 878) 이상 • V3 Office Server Security (Linux) - 1.0.2.X (‘22.4월 마스터 배포 예정) • V3 Server Securty (Linux) - 1.0.2.X (‘22.4월 마스터 배포 예정) • V3 Desktop for Linux/Lite for OpensourceOS - 1.0.10.x (‘22.4월 배포 예정) • V3 for VDI Agent - 1.0.7 (‘22.3월 배포 예정) |
• V3 엔진/패치셋 적용 불가
|
MDS 제품군 |
• MDS/MDSM/MTA - 2.1.7 ~ 2.1.16.22 버전 - 2.1.17.9 버전 • MDSA - 2.2.13 미만 버전
|
• MDS/MDSM/MTA - 2.1.16.23 / 2.1.17.17 이상 • MDSA - 2.2.13.2 또는 2.2.14 (4월 초 릴리즈 예정) |
• MDS/MDSM/MTA: 엔진 자동 업데이트 불가 • MDSA: 관리 서버를 통한 에이전트 패치셋 업데이트 불가
|
감사합니다.