보안에 관한 이슈

 보안에 관한 이슈

TLS(Transport Layer Security) - 전송 계층 보안

 

현재 널리 사용되고 있는 SSL(Secure Sockets Layer)을 대신하는 차세대 안전 통신 규약. SSL에 비해 강력한 암호화를 실현할 수 있고 폭이 넓은 망의 통신 규약에 대응하는 점에서 주목을 끌고 있다. 암호화에는 3개의 다른 데이터 암호화 표준(DES) 키를 사용한 트리플 DES 기술이 응용되고 있다. SSL은 TCP/IP에만 대응하지만 전송 계층 보안(TLS)은 네트웨어나 순차 패킷 교환(SPX), 애플토크(Apple-Talk) 등의 통신망 통신 규약에도 대응하고 있다. 또 오류 메시지 처리 기능이 다소 개선된 것으로 평가되고 있으며 미국 마이크로소프트사, 넷스케이프 커뮤니케이션스사가 TLS의 대응을 진행시켰다.

 

 

Kerberos

 

커베로스는 개방된 컴퓨터 네트웍 내에서 서비스 요구를 인증하기 위한 안전한 방법이다. 커베로스는 미국 MIT의 Athena 프로젝트에서 개발되었다. 이 이름은 그리스 신화에서 따왔는데, 커베로스는 저승의 신 하데스의 문을 지키는 머리가 셋 달린 개이다. 커베로스는 사용자가 인증 과정으로부터 암호화된 "티켓"을 요청할 수 있게 해주는데, 이 티켓은 서버에 특정 서비스를 요구하는데 사용될 수 있다. 사용자의 암호는 네트웍을 지나가야 할 필요가 없다. 커베로스의 클라이언트 및 서버 버전은 MIT로부터 다운로드 하거나, 또는 상용 버전을 구입할 수 있다.

 

아래에 커베로스의 동작원리를 간단하게 설명하였다.

 

당신이 지금 텔넷이나 기타 이와 비슷한 로그인 요청을 통해, 다른 컴퓨터에서 서버에 액세스하기 원한다고 가정해 보자. 이 서버는 당신의 요청을 받아들이기 전에, 커베로스 "티켓"을 요구한다.

티켓을 받기 위해, 당신은 먼저 인증 서버에 인증을 요구한다. 인증 서버는 당신이 입력한 패스워드에 기반하여 "세션 키"와, 서비스 요구를 나타내는 임의의 값을 만든다. 세션 키는 사실상 "티켓을 부여하는 티켓"이다.

그 다음에 세션 키를, 티켓 부여 서버, 즉 TGS (ticket-granting server)에 보낸다. TGS는 인증 서버와 물리적으로는 동일한 서버에 있을 수 있지만, 그러나 지금은 다른 서비스를 수행한다. TGS는 서비스를 요청할 때 서버에 보낼 수 있는 티켓을 돌려준다.

그 서비스는 티켓을 거절하거나, 또는 받아들여서 서비스를 수행한다.

 

TGS로부터 받은 티켓은 발송일자와 시간이 적혀있기 때문에, 일정 시간 동안 (대체로 8시간 동안) 내에는 재인증 없이도 동일한 티켓으로 다른 추가 서비스를 요청할 수 있다. 티켓을 제한된 시간 동안에만 유효하게 만듦으로써, 후에 어떤 사람이 그것을 사용할 수 없도록 만든다.

 

 

PGP (Pretty Good Privacy)

 

PGP SMS e-mail과 자료 파일을 보호하기 위하여 'public key encryption'을 사용하므로, 사전에 키를 교환할 필요 없이 안전한 채널을 통해 처음 보는 사람과도 통신을 할 수가 있다.

 

PGP는 복잡한 키 관리, 패스워드, 자료압축이 가능하며 인간공학적으로 설계되어 있다. Phil's Pretty Good Software에서 개발한 Pretty Good Privacy (PGP)는 MS-DoS, Unix, VAX/VMS, 이외의 여러 시스템을 위한 고도의 암호화 응용프로그램이다, PGP를 사용하여 파일이나 메시지를 교환하는 경우, 자료의 보안을 위하여 세 가지의 특징을 사용한다.

 

1. 메시지를 수신하는 사람 외에는 내용을 볼 수 없다.

2. 메시지에 적혀 있는 보내는 사람 이름이 정확히 송신인과 일치해야 한다.

    즉 , 다른 사람 이름으로는 메시지를 보낼 수 가 없다.

3. 위의 두 가지 특징이 프로그램에 연결된 키의 충돌 없이 편리하게 제공된다.

   안전한 채널을 위해서 사용자들 사이에 키를 교환할 필요가 없어 사용이 편리하다.

   이것이 PGP가 'public key cryptography' 라고 불리는새롭고 강력한 기술을 사용하기 때문에 가능하다고 한다.

 

자신의 키는 처음 생성하게 되면 자신의 컴퓨터에 개인키와 공개키가 저장된다.

등록서버에 등록을 하게 되면 이 때 등록되는 것은 자신의 공개키이다.

 

그리고 자신의 개인키는 자신만 알고 저장을 해두어야 하며, 상대방에게 암호화 메일을 보내고 싶을 때는 search를 통해서 import를 수행하고, 클립보드에서 암호화를 선택하게 되면 이 때 자신의 PGP KEYS로 import되어 있는 키 목록(PGPtray - Key Selection) 을 상대방의 키를 마우스로 끌어서 수령자(Recipients)부분으로 가져오면 된다.

 

그런 다음 상대방의 공개키로 암호화가 된 결과를 메일로 발송하면 된다.

 

 

S/MIME(Security Services for MIME)

: Security Services for Multipurpose Internet Mail Extension

 

이메일의 안전성을 지키는 전송 방식의 하나. 인터넷 환경은 본래 보안이 취약하여 온라인 구매 등 전자 상거래 보급에 걸림돌이 되고 있기 때문에 이러한 기술이 급격히 향상되고 있다. 또 하나의 유력한 방식인 PEM이 전자 인증국(CA:certification authority)에 의한 운용을 전제로 하고 있는 반면, S/MIME는 CA 없이도 실현할 수 있다. 이용자는 1조의 공통 키와 비밀 키를 사전에 가질 필요가 있다. 이메일의 표준 시방인 MIME를 확장해서 이메일 본체에 대한 암호 처리와 이메일에 첨부하는 전자 서명을 제공하고 있다. 안전(보안)의 필요성이 높아지고 있는 만큼 차세대 이메일 표준 규격으로 기대되고 있다.

 

 

SET (Secure Electronic Transaction)

 

97년 10월 부터 일반적으로 이용이 가능하게 되었다.

 

Internet을 base로 한 금융거래를 하기 위한 안전기준. 인증 Center가 구입자와 판매자 쌍방에 관하여, 등록내용을 확인하고 digital 증명서를 교부하는 것으로 신용도가 높은 거래를 실현 한다.

 

Visa, Master Card, American Express가 복수의 Pilot system의 운영을 세계 각국의 은행과 거래하고 있다. SET I/O에 의하여, 이용자는 Credit Card번호를 상점에 알릴 필요가 없어지고, Internet상의 거래를 촉진하는 계기가 될 것으로 보여지고 있다.

 

SET는 RSA의 Public Key와 DES의 Private Key/Secret Key을 Pair로 사용하는 암호법 (Cryptography)에 의하여, Message와 서명의 암호화(encrypt, encipher)와 decrypt화를 행하는 방식으로 되어있다. Message는 public key으로 decrypt 할 수 있는 발주 message를 가상점포에 보내면, 결재 data는 Credit Card회사에 전송된다. 여기서 인증국이 구입자, 판매자, Card회사가 올바른 존재인가를 확인하고, private key로 decrypt하는 Digital 서명이 붙은 증명서를 각각 교부한다.

 

Digital서명 된 증명서를 가진 당사자간에서만, public key과 private key에 의한 decrypt가 가능케 되고 상대가 본인인지를 확인 된다. 이렇게 해서 거래를 할 것인가 아닌가를 구입자와 판매자가 주거니 받거니 한 후 합의한 후에, Credit Card회사가 구입자의 Authorize를 한다. 성립한 거래는, 관계한 당사자의 한쪽이 일방적으로 파기할 수 없도록 한다. public key는 구입자의 browser로 생성되어, private key는 인증국이 발행하여 당사자가 되는 구입자, 판매자, Card회사가 사용 할 수 있도록 한다. digital 서명은 public key으로 여는 정보를 관련 공식으로 수치화한 hush치로 digital finger printer라고도 불리 운다.

 

SET에서는 인증국 (Certification Authority; CA)의 서명 된 증명서는 인증서 (E-Certificate with certified keys)라고 불리 우며, 이는 공히 public key 방식의 거래 infra (Public Key Infrastructure: PKI)가 형성 된다. 신용 할 수 있는 제3자를 세움으로, 구입자와 판매자의 의사를 확인 하고 인증서를 교부함으로써, 부정 Access에 의한 정보의 누출을 방지한다.

 

이제부터는 Internet상에서 개업하는 의사나 학교도 등장한다. 정말 의사인지, 교사인지는, digital 서명이 된 인증서의 발행이 본인을 특정하는 유일의 수단이 된다.

 

인증서의 발행은 공적 기관인 인증국의 이름으로, 이용자명, PIN (Personal identification Number), 인증국 code, 발행일, 이용기한 및 public key가 기재된다. 이 정보에 digital서명 (certified keys)을 인증국이 기록 발행한다.

 

현실의 세계의 Credit거래에서는, 서명의 확인이나 여신check의 명제가 있으나, SET에서는 모든 거래에 서명과 여신check가 자동적으로 check 이행된다. 기존의 credit card처리 system의 연장으로써 기능 하도록 설계 되여 왔으나, Debit card나 Smart card로의 대응으로도 고려되고 있다. 97년 말에 규격화가 설정된 SET 2.0은, 은행구좌의 직접거래에 의해, transaction의 감소기능으로도 대처 되고 있다.