Til
[정보보안기사 15] 보안 모델
[정보보안기사 15] 보안 모델
2020.06.24강제적 접근통제(MAC, Mandatory Access Control) 자원의 보안 레벨과 사용자의 보안 취급 인가를 비교하여 접근 제어 관리자만이 접근제어의 규칙을 설정, 변경(중앙집중형 보안관리) 다중 수준 보안 정책에 기반함(서로 다른 분류 수준의 데이터가 보호되는 방법) 벨라파듈라(BLP), 비바 무결성 모델, 클락-윌슨 모델, 만리장성 모델이 대표적 모든 MAC 모델은 벨라파듈라(BLP) 모델을 근간으로 함 장점 매우 엄격한 보안 모든 객체에 대한 관리가 용이 단점 구현, 운영이 복잡 모든 접근에 대해 확인해야 하므로 성능 저하 상업적인 환경에 부적합 벨라파듈라 모델(BLP, Bell-LaPadula Confidentiality Model) 기밀성을 강조하고 수학적 모델에 기반하는 최초의 MAC..
[정보보안기사 14] 통합인증체계(SSO)
[정보보안기사 14] 통합인증체계(SSO)
2020.06.24한 번의 시스템 인증을 통하여 접근하고자 하는 다양한 시스템에 재인증 절차 없이 접근할 수 있도록 하는 통합 로그인 솔루션 장점 각 시스템 별로 개별적인 ID/PW 설정이 필요 없음 패스워드 분실/망각 가능성 감소 관리의 간편함, 보안수준의 향상 단점 SSO서버 침해 시 모든 서버의 보안 침해 가능(단일 실패 지점) 자원별 권한관리 미비 엑스트라넷 접근 관리(EAM, Extranet Access Management) 인트라넷, 엑스트라넷 및 일반 클라이언트/서버 환경에서 자원의 접근 인증과 이를 기반으로 자원에 대한 접근 권한을 부여/관리하는 통합 인증 관리 솔루션 식별/접근 관리(IAM, Identity and Access Management) ID와 패스워드를 종합적으로 관리해주는 역할 기반의 계정 ..
[정보보안기사 13] 사용자 인증
[정보보안기사 13] 사용자 인증
2020.06.24인증에는 메시지 인증과 사용자 인증이 존재한다. 메시지 인증 메시지 전송 중 발생할 수 있는 수정, 삭제 등 무결성 검증 메시지 암호화, MAC(Message Authentication Code), 해시 함수 등 이용 사용자 인증 정당한 사용자의 접속인지 확인하는 절차 시스템 내 자원의 불법적인 접근을 막음 사용자 인증의 유형에는 지식, 소유, 존재, 행위가 있으며 이 중 둘을 결합하여 사용하는 것을 Two Factor, 그 이상을 결합하여 사용하는 것을 Multi Factor라고 한다. 지식 기반 인증 사용자가 알고 있는 것에 의존하는 방법 장점 다양한 분야에서 사용 가능 검증이 확실 관리 비용 저렴 단점 소유자의 분실 가능성 공격자의 추측 가능 사회 공학적 공격에 취약(피싱) 패스워드 가장 간단하면서..
[정보보안기사 12] 접근 통제(Access Control)
[정보보안기사 12] 접근 통제(Access Control)
2020.06.24허가되지 않은 자원의 사용과 허가되지 않은 방법을 통한 자원 사용을 제어하는 것 절차 접근통제 3단계에 덛붙여 책임 추적성(부인 방지) 단계가 존재 식별 본인이 누구인지를 시스템에 밝히는 행위 ID, 계정번호, 메모리카드 인증 주체의 신원을 검증하기 위한 증명 패스워드, 스마트카드, 생채인증 인가 인증된 주체에게 접근을 허용하고 특정 업무를 수행할 권리를 부여 접근제어목록, 보안등급 책임추적성 시스템에 인가된 주체가 시스템에 어떤 행위를 하고 있는지 기록 요구 사항 입력의 신뢰성 접근 제어 시스템은 입력되는 사용자 정보를 신뢰할 수 있어야 한다. 최소 권한 부여 사용자가 작업을 수행하는데 최소한의 자원과 최소한의 접근만 부여한다. 사용자가 의도적 혹은 실수로 자원에 대해 입힐 수 있는 피해를 최소화시킨다..
[정보보안기사 11] 공개키 기반 구조(PKI)
[정보보안기사 11] 공개키 기반 구조(PKI)
2020.06.22공개키 기반 구조(PKI) 공개키 암호 및 전자서명의 기술을 사회적인 기반구조로 만들어 가는 것 공개키 알고리즘을 위한 키 관리 구조 제공 서비스 기밀성, 무결성, 인증, 부인방지, 접근제어 구성요소 크게 인증기관, 검증기관, 등록기관, 저장소, 사용자로 구성 인증기관(CA, Certification Authority) 정책승인기관(PAA, Policy Approving Authority) 루트 인증기관으로, PKI 전반의 정책을 생성 및 수립 하위 기관들의 정책 준수 상태 및 적정성 감사 정책인증기관(PCA, Policy Certification Authority) PAA 하위 계층 도메인 내의 사용자와 CA의 정책 수립 인증서, 인증서 폐지 목록 등 관리 인증기관(CA) PCA 아래 계층으로 인증 정..
[정보보안기사 10] 전자서명
[정보보안기사 10] 전자서명
2020.06.22전자서명(Electronic Signature) 메시지에 전자적인 서명을 하는 것으로, 메시지와 메시지를 생성한 사람과의 인증을 의미한다. 전자서명 개념 송신자(서명자)는 서명 알고리즘을 이용하여 메시지에 서명 수신자(검증자)의 검증 알고리즘으로 서명자의 서명을 검증 형식 공개키 서명 방식 서명자의 검증 정보를 공개하여 누구나 검증 가능 서명 생성 및 검증 간편 중재 서명방식 서명 생성과 검증을 제 3자가 중재 제 3자의 참여 필요 제공 서비스 메시지 인증: 수신자는 메시지가 원하는 송신자로부터 왔다는 것을 확신할 수 있음 메시지 무결성: 메시지가 해시함수와 서명을 통해 전송되므로 변조되지 않음을 알 수 있음 부인방지: 신뢰받는 제 3자로부터 검증받을 수 있음 기밀성은 제공되지 않으므로 비밀키/공개키 암..
[정보보안기사 09] 메시지 인증 코드
[정보보안기사 09] 메시지 인증 코드
2020.06.22메시지 인증 코드(MAC) 해시함수는 데이터의 무결성을 보장하지만 발신자의 신원 확인이 불가능하다. 이러한 문제를 해결하기 위해 인증 절차를 추가한 것이 메시지 인증 코드(MAC)이다. 개념 변경 감지 코드(MDC) 변경 감지 코드(MDC, Modification Detection Code)는 메시지의 무결성을 보장하는 다이제스트이다. 인증 과정 Alice는 안전하지 않은 채널로 메시지 M을 Bob에게 전송 Hash(M)으로 도출한 해시값 MDC를 안전한 채널로 전송 Bob은 수신한 메시지를 해시 알고리즘을 통해 해시값 MDC' 도출 Bob은 안전한 채널로 수신한 해시값 MDC과 계산한 해시값 MDC'를 비교 동일하다면 전달받은 메시지의 무결성이 입증됨 문제점 안전한 채널이 보장됨이 전제임..
[정보보안기사 08] 해시 함수
[정보보안기사 08] 해시 함수
2020.06.22임의의 길이를 가지는 메시지를 고정된 길이의 값으로 바꾸어주는 함수 일방향 해시함수 출력 값 = 해시 값 = 메시지 다이제스트 일방향성 해시값으로부터 메시지 역산 불가 충돌 해시 값 하나에 여러 메시지 존재 충돌을 발견하기란 어려움 이러한 성질을 충돌 내성이라 함 따라서 데이터 변조가 어렵고, 무결성이 확보됨 공격 기법 무차별 공격 약한 충돌 내성을 깨기 위한 공격 일치블록 연쇄공격 사전에 해시 값을 다양하게 생성 후 공격하고자 하는 메시지의 해시 값과 동일한 것을 찾는 공격 중간자 연쇄공격 전체 해시 값이 아닌 해시 중간 결과에 대한 충돌 쌍을 찾음 고정점 연쇄공격 메시지 블록과 연쇄변수 쌍을 얻어 연쇄변수가 발생하는 특정한 점에 임의의 동등한 블록들을 메시지 중간에 삽입해도 전체 해시 값이 변하지 않..
[정보보안기사 07] 비대칭키 암호: RSA
[정보보안기사 07] 비대칭키 암호: RSA
2020.06.22비대칭키 암호: RSA(Rivest-Shamir-Adleman) 공개키 암호 알고리즘의 표준으로 인수분해 문제 해결이 어렵다는 사실에 기반하고 있다. 암호화와 전자서명 등에 사용된다. 키 생성 N = pq (p와 q는 서로 다른 소수) Φ(N) = (p-1)(q-1) Φ(N) 보다 작고, Φ(N)과 서로소인 정수 e를 찾음 de ≡ 1 (mod Φ(N))를 만족하는 정수 d(확장 유클리드 호제법) 암호화/복호화 통신 주체는 상대방의 공개키로 평문을 암호화하여 송신하고 수신자는 자신의 개인키로 암호문을 복호화하여 평문을 획득함 암호화 C = M^e mod n e: 공개키 복호화 M = C^d mod n d: 비밀키 취약점 소인수분해 공격 현실적인 시간 내에 효율적인 소인수분해는 아직 불가능 이러한 알고리즘..
[정보보안기사 06] 비대칭키 암호
[정보보안기사 06] 비대칭키 암호
2020.06.22비대칭키 암호(Asymmetric Cryptography) 암호화할 때 사용되는 키와 복호화할 때 사용하는 키가 서로 다른 암호 알고리즘 키 배송 문제 대칭키 암호를 사용하기 위해서는 키 배송 문제가 발생함. 해결방법 키 사전 공유 키 관리기관(TA, Trusted Authority)이 사전에 송수신자들에게 비밀 경로를 통하여 키를 전달 문제점 TA가 모든 사용자들의 키(𝑛(𝑛−1)/2개)를 관리해야 함 TA와 사용자 간의 안전한 통로 확보 문제 온라인 키 분배 키배포 센터(KDC, key distribution center)에서 키를 전달 배포 과정 키배포 센터에 통신을 위한 키 요청 키배포 센터는 의사난수 생성기를 통해 세션키를 생성 사용자의 키로 세션키를 암호화하여 전달 사용자는 자신의 키로 복호화..
[정보보안기사 05] 대칭키 암호: AES
[정보보안기사 05] 대칭키 암호: AES
2020.06.22대칭키 암호: AES(Advanced Encryption Standard) 기존에 사용하던 DES의 문제점은 키의 길이가 54bit로 짧아 Brute Force Attack(무차별 대입 공격)이 가능하다는 것이었다. 그래서 NIST(미국 국립기술표준원)는 DES를 대체하기 위한 알고리즘을 공모하였고 최종적으로 AES가 선정되었다. 구조 non-Feistel 알고리즘, SPN 구조 키 사이즈에 따라 라운드가 상이 AES-128(10라운드) AES-192(12라운드) AES-256(14라운드) 라운드 과정 SubBytes 바이트 단위로 치환 비 선형성을 갖는 S-box를 적용 ShiftRows 행 단위로 순환 시프트 수행 MixColumns 열 단위로 혼합 높은 확산을 제공 마지막 라운드에서 수행 X Add..
[정보보안기사 04] 대칭키 암호: DES
[정보보안기사 04] 대칭키 암호: DES
2020.06.22대칭키 암호: DES(Data Encryption Standard) 1973년, 미국 국립기술표준원(NIST)에서 국가적으로 사용할 대칭키 암호시스템으로 채택 구조 데이터 길이 평문: 64bit 키: 56bit(오류검출비트 8bit 제외) 암호문: 64bit 2개의 P-box 초기 전치(initial permutation) 최종 전치(final permutation) 라운드 키 생성기 56비트 키에서 48비트의 라운드 키를 생성 이러한 라운드 키는 각 라운드에서 사용됨 라운드 함수 Feistel 암호로 되어 있음 혼합기(mixer) 교환기(swapper)가 존재 DES 함수 라운드 함수를 구성하는 함수로 4가지로 이루어져 있음 확장 P-box 키 XOR 8개의 S-box 단순 P-box 설계 기준 S-b..