하루에 하나씩

방화벽(Firewall)은 외부로부터 불법 침입을 방지하며 접근제어, 사용자 인증, 감사 및 로그, 네트워크 주소변환 등의 기능을 수행한다. 방화벽은 다양한 구현 방식으로 나뉘는데 패킷필터링은 네트워크 계층(L3)에서 동작하며, 헤더를 참조하여 패킷을 허용/차단한다. 스테이트 풀 인스펙션은 전송계층(L4)에서 동작하며, 패킷의 헤더 뿐만 아니라 내용까지 모두 검사하여 최초 세션 연결 시도를 분석할 수 있게 해준다. 서킷 게이트웨이는 세션계층(L5)에서 동작하며, 세션 자체의 안정성을 확인해주는 이점이 있다. 애플리케이션 프록시는 애플리케이션 계층(L7)에서 동작하며, 별도 전담 프로세스가 메모리에 상주하여 단위명령까지 상세히 제어할 수 있게 해준다. 하이브리드 방식은 여러 방식들을 혼합한 형태이다.  1..

1. 암호문 단독공격(Ciphertext Only Attack)- 공격자가 암호문만 가지고 있는 상황에서 공격하는 유형으로, 공격자는 암호문 이외의 어떤 정보도 가지고 있지 않다.공격자 입장에서는 가장 어려운 공격 방법이다.- 암호문(C) 만으로 평문(P) 또는 키(K)를 찾아내는 방법이다.* 공격자 : 암호 알고리즘, 해독할 암호문  2. 기지 평문 공격(Known Plaintext Attack)- 공격자가 암호문에 대응하는 일부 평문을 가진 상태에서 공격하는 유형이다.공격자 입장에서는 암호문 단독 공격보다는 효과적인 공격 방법이다.- 암호문(C)과 평문(P)의 관계로부터 평문(P) 또는 키(K)를 추정하여 해독한다.* 공격자 : 암호 알고리즘, 해독할 암호문, 임의의 평문에 대응하는 암호문  3. 선..

메시지 인증코드(MAC)해시함수는 데이터의 무결성을 보장하지만 발신지에 대한 신원 확인이 불가능하다. 이런 문제를 해결하기 위해 인증 절차를 추가한 것이 메시지 인증 코드이다.(무결성, 인증 제공) MAC 절차* A와 B는 사전에 비밀키K를 공유한다.1. 송신자 A는 원본 메시지(M)를 공유 비밀키(K)와 병합하여 해시를 수행한다.2. 해시를 통해 만들어진 MAC과 메시지M을 수신자B에게 전송한다.3. 수신자 B는 수신한 메시지(M)와 자신이 가지고있는 공유 비밀키(K)로 MAC’를 생성한다.4. 해시를 통해 만들어진 MAC’와 송신자 A로부터 받은 MAC을 비교한다.5. 두 값이 서로 동일하다면 메시지(M)가 정상적인 송신자 A로부터 온 것이라고 판단할 수 있다.  MAC 사용 사례IPSec, SSL/..

커버로스(Kerberos)- 티켓(ticket) 기반 인증 프로토콜- 대칭키 사용. 윈도우 서버 운영체제의 기본 인증방법으로 활용(LDAP)- AS(Authentication Server) : 인증 수행하는 서버- TGS(Ticket Granting Server) : AS에서 인증된 클라이언트에게 티켓을 발급해주는 역할- SS(Service Server) : 서비스가 구현된 서버. 인증처리가 필요한 서비스- TGT(Ticket Granting Ticket) : Ticket을 받기 위한 Ticket으로 Client 아이디와 TGS 세션키 등 여러 정보를 TGS 비밀키로 암호화한 Ticket- Ticket : 사용자 인증을 위한 토큰. 다른 SS와 통신 시 패스워드를 재입력하지 않게 함.  상세 절차① Cl..

대칭키 암호의 종류DES, AES, SEED, ARIA, IDEA, LEA, HIGHT SEED- 1999년 한국인터넷진흥원과 국내 암호전문가들이 국내기술로 개발한 블록 암호- 인터넷, 전자상거래, 무선통신 등 공개될 경우 민감한 영향을 끼칠 수 있는 중요정보를 보호하기 위한 알고리즘 ARIA- ISPN 구조의 128비트 블록 암호- Academy(학계), Research Institute(연구소), Agency(정부기관)의 첫 글자들을 따서 이름을 지었다. LEA - 빅데이터, 클라우드 등 고속 환경 및 모바일기기 등 경량환경에서 기밀성 제공을 위해 개발된 128비트 블록 암호- 키 길이는 128비트, 192비트 또는 256비트이며 키 길이에 따라 라운드 수도 다르다.(24, 28, 32) HIGHT-..

AES (Advanced Encryption Standard)- 128비트의 대칭키 암호화 알고리즘- 키 길이는 128, 192, 256비트이며 키 길이에 따라 라운드 수도 다르다.(10, 12, 14)- SPN 구조구분AES블록128-bit키128 / 192 / 256라운드10 / 12 / 14  AES 구조- 128bit의 평문이 입력되어 128비트의 암호문으로 출력된다.- 키의 크기에 따라 라운드가 달라진다.   * AES 알고리즘에서 16바이트의 값을 4x4 행렬로 변경한 뒤 계산을 수행하는데 이를 State라고 한다.  Sub Bytes평문값을 S-Box 값으로 치환하는 과정이다. 각 바이트 값을 4비트씩 2개의 16진수로 계산하여 왼쪽 4비트를 S-Box의 행, 오른쪽 4비트를 S-Box의 열..

DES (Data Encryption Standard)- 64비트의 블록 암호 알고리즘 (대칭키 암호화)- 16라운드 페이스텔(Feistel) 구조- *대체(Substitution)와 *전치(Permutation)를 반복 적용 *대체(Substitution) : 비트를 다른 비트로 대체하여 **혼돈 제공*전치(Permutation) : 비트 순서를 재배열하여 **확산 효과 제공 **혼돈(Confusion) : 암호문과 키의 상관관계를 숨기는 것**확산(Diffusion) : 평문이 통계적 성질을 퍼트려 숨기는 것 구분DES블록64-bit키56-bit라운드16  DES 구조- 암호화 과정은 두 개의 치환(P-박스) 와 16개의 페이스텔 라운드 함수로 구성된다.- 두 개의 P-박스 : 초기 치환(Initia..

공개키 암호- 암/복호화에 서로 다른 키를 사용- 송신자는 수신자의 공개키를 이용하여 암호화, 수신자는 자신의 개인키로 복호화 가능- 수학적 난제를 기반으로 설계- 대칭키 암호에 비해 속도가 느림 Diffie-Hellman- 이산대수 문제를 기반한 방식- 중간자 공격(MITM : Man In the Middle Attack)에 취약Alice와 Bob이 상대방에 대한 인증을 보장하지 못한다. 공격자는 중간에서 통신을 가로채 Alice와 공격자, 공격자와 Bob 사이에 각각 두 개의 디피 헬먼 키 교환을 생성하고, Alice와 Bob이 각각 서로와 통신하는 것처럼 위장할 수 있다. 키 교환 절차1) Alice는 소수p, 그리고 1부터 p-1까지의 정수 g를 선택하여 사전에 Bob과 공유한다.2) Alice는..

대칭키 암호는 암/복호화에 같은 키를 사용하기 때문에 송신자와 수신자는 각각 동일한 비밀키를 공유하여야 하며, 키 공유 과정에서의 문제를 해결하기 위해 다음 4가지의 방법을 사용하고 있다. * 키 배송 문제를 해결하기 위한 방법 4가지① 키의 사전 공유에 의한 해결② 키 배포센터에 의한 해결③ Diffie-Hellman 키 교환에 의한 해결④ 공개키 암호에 의한 해결   ① 키의 사전 공유에 의한 해결 - 송신자와 수신자 간의 비밀키를 미리 협상하는 것을 PSK(Pre-Shared Key)라 한다. 미리 키를 교환하기 때문에 키 배송문제를 쉽게 해결할 수 있지만 통신 대상이 많으면 많을수록 더 많은 키의 관리가 필요하다.사용자 n명일 경우 키의 개수는 n(n-1)/2   ② 키 배포센터에 의한 해결 - ..

SSL(Secure Socket Layer)- 웹사이트의 암호화된 연결을 생성하기 위한 인터넷 보안 프로토콜이다. TCP/IP 네트워크에서 안전한 연결을 보장하고 데이터 전송을 보호해준다.(무결성 확보)- 웹사이트, 웹브라우저, 웹서버, 전자메일 등 응용계층에 적용된다.- 1995년 Netscape에서 최초 개발했다. TLS(Transport Layer Security)- SSL의 후속 명칭으로 표준화되었으나 SSL과는 구분해야한다. TLS는 이전 암호화보다 더 안전하며 웹 응용프로그램과 서버간 통신 과정에서 도청, 간섭, 위조를 방지하기 위한 보안 프로토콜이다.- 국제 표준 기구인 IETF(Internet Engineering Task Force)에 의해 제안되었으며 SSL버전 3.1로부터 개발하여 T..