컴퓨터네트워크 11장[완]

컴퓨터네트워크 11장(완)

11.1 인터넷 보안 개요

11.1.1 보안 요구사항

기밀성(암호화), 무결성(제3자에의해 변경되지않음, 해시함수사용), 인증(상대방이 원하는 통신상대방인지), 부인방지(보낸사람이 부인하지못하도록 디지털서명)

11.1.2 인터넷 보안 구조

VPN응용에 IPsec을 주로사용(가상망)

SSL/TLS  는 전자상거래

PGP는 이메일 보안

사용

11.2 암호화 기법

11.2.1 암호화의 원리

평문에 열쇠를 적용해 암호문 생성.

암호문에 열쇠를 적용해 해석.

수신자와 송신자의 키가 같다. 이런걸 대칭키 암호화 라고 한다.

송신자에게 알려진 공개키와 수신자만 아는 개인키로 구성되는 방식을 공개키암호화 라고 한다.

 수신자와송신자의 키가 다르다.

11.2.2 대칭키 암호화

치환암호화 : 내용의 일부를 치환해 암호화 하는 방법.

전치암호화 : 내용의 순서를 변경해 암호화 하는 방법. 열단위 해석.

치환전치 곱 암호화 : 위 두개를 혼합. P-Box를 만들어 동작함. 수평,확장,압축 전치 함.

DES : 대칭키 방식. 평문을 64비트단위 블록으로 나누고 56비트 열쇠를 사용해 64비트 암호문 생성. 1차 전치는 16번의 치환. 2차전치는 앞과뒤바꿈. 3차는 1차의 역과정.

AES : DES의 후속. 128, 192, 256 비트암호화 사용가능.

11.2.3 공개키암호화

대칭키에서 키를 일일히 관리하려면 힘듬. 공개키는, 하나의 공개키를 모두에게 공유함으로서 그 수를 줄일 수 있음.

평문m, 공개키 K+, 개인키 K-

m -> K+(m) -> 전달 -> K-(K+(m))= m

하지만, 공개된 공개키가 공개한사람것이 맞는지 확인할 수 없어 문제발생할 수 있음.

RSA : 공개키를 (N,e) 개인키가 (N,d). 광범위하게 널리 사용.  첫번째 숫자조합으로 된 암호문은 두번째 조합으로만 복호화 가능. 지수연산이므로 숫자의 크기가 커지면 시간이 많이 소요됨.

11.3 디지털 서명

메시지의 작성자 입증과 부인방지를 위해 디지털 서명을 사용한다. 

원리 : 수신자가 사용자A의 개인열쇠로 암호화된 메시지를 수신한 후 A의 공개키로 복호화 할 수 있으면 해당 메시지는 A의 것임이 증명.

전체메시지를 암호화 하긴 어려우므로 축약본 (해시함수를 이용한 MD5)을 사용한다.

MD 디지털 서명 동작 과정

평문m, 해시함수H(m), 공개키 K-

m + K-(H(m)) 전송.

수신측에서는

받은 m을 H(m)처리.

K+(K-(H(m)) = H(m). 두개를 비교해서 같으면 정상. 무결성도 증명됨.

11.4 사용자 인증

상대방이 원하는 상대가 맞는지.

IP주소에의한 인증 : IP는속일 수 있으므로 보안성 떨어짐

대칭키로 암호화된 비밀번호 인증 : 제3자가 가로채 활용 가능.

대칭키로 암호화된 임시번호에 의한 인증 : 1회용 비밀번호를 암호화해 전송 후 받은쪽에서 이를 복호화해 인증받음.

공개키로 암호화된 임시번호에 의한 인증 : 제3자가 공개키를 사용해 푸는 문제 발생가능.

11.5 열쇠관리

11.5.1 대칭키 분배

대칭키는 수많은 대칭키가 필요하므로 효과적으로 분배해 부하를 줄여야한다.

세션열쇠는 통신시에 할당되고 종료되면 폐기되므로 관리부하가 없다.

열쇠분배센터 : 중간자공격을 차단하기 위해 열쇠분배센터사용. 모든 대칭열쇠를 열쇠분배센터에 등록하고,통신시에 사용.

11.5.2 공개열쇠인증

3자가 다른사람의 공개키를 사칭 가능. 이를 방지하기위함.

인증기관 : 정부나 혹은 정부에서 위임받은 기관으로서 믿을수있는 기관. 인증기관은 사용자 정보를 바탕으로 인증서를 생성하고 여기에 디지털서명을 추가한다. 디지털서명은 인증서의 MD를 인증기관의 개인키로 암호화함으로서 이루어짐.

11.6 네트워크계층보안프로토콜 - IPsec

11.6.1 IPSec 개요

IP에 대한 보안서비스를 제공하기 위함. 보안서비스를 제공하는 프로토콜인 AH,ESP포함.

           기밀성, 출발지인증, 데이터무결성, 재현공격방지

AH                     ㅇ                   ㅇ                    ㅇ

ESP     ㅇ         ㅇ                     ㅇ                    ㅇ

VPN에서 대표적으로 응용한다. 공개된망에서 가상전용회선같이 보안이 유지되는 곳에서 사용.

11.6.2 IPSec 모드

트랜스포트 모드 : 호스트-호스트 통신을 보호하기위해. 기존 헤더와 데이터 뒤에 IPSec의 헤더와 트레일러 삽입.

터널모드 : 망-망, 망-호스트 간의 통신을 보호하기 위해. 새로운헤더+IPSec헤더+기존데이터그램+IPSec트레일러 호스트변경없이 투명한 보안서비스 제공.

11.6.4 AH프로토콜

AH프로토콜 : 데이터그램의 무결성을 보장하고, 인증하며, 재현공격을 방지한다. 순서번호를 넣어 재현공격방지, MD를활용한 무결성, 인증.

11.6.5 ESP프로토콜

AH에서 제공하는 기능에 기밀성도 제공함. DES,AES등 사용가능.

11.7 트랜스포트계층보안프로토콜 -  SSL/TLS

11.7.1 SSL/TLS 개요

전자상거래를 위해 개발됨. TCP상의 소켓통신을 보호하도록 설계되었으며, 여러분야 응용가능.

클라이언트에의한 서버인증 : 사용자가 서버가 진짜서버인지 인증서를 통해 확인가능.

서버에의한 클라이언트 인증 : 위와 마찬가지.

암호화된 세션서비스 : 인증이 완료되면 세션열쇠를 사용해 암호화 서비스 제공, 모든메시지 기밀성제공

메시지인증서비스 : 메시지에 디지털인증을 추가해 무결성 보장

11.7.3 SSL/TLS 프로토콜 동작 절차

헬로 메시지를 통해 각종알고르짐을 협상함.

서버는 인증서를 전달해 서버를 인증시키고 공개키를 넘겨줌.

클라이언트는 열쇠교환 메시지를 서버로 전달.

서버와 클라이언트는 마스터열쇠 생성. 이후 암호사양변경을 통해 다음세션에 적용될 사양 변경.

이후 완료.

11.8 이메일 보안 프로토콜 - PGP

11.8.1 이메일 보안 요구사항과 PGP

이메일의 보안요구사항 : 기밀성,송신자인증,무결성,수신자인증

11.8.2 PGP의 디지털서명

PD5 혹은 SHA-1, RSA가 합쳐진 MD디지털서명서비스 제공.

 

m + K-(H(m))생성 .  공개열쇠로 생성. 위의 K+로 암호화 하는것과 반대.

11.8.3 PGP의 메시지 암호화

이메일은 항상 온라인이 아니기 때문에 대칭암호화기법을 사용하긴 어렵다.

크기가 큰 이메일을 공개키 암호화하기도 비효율이다.

PGP는 이를 해결하기 위해 공개키+대칭키 암호화를 사용.

대칭키로 메시지암호화, 공개키로 대칭키 암호화.

Kab(m+K-(H(m))) + K+(Kab)

수신시엔 K- 키로 Kab를 복호화 한후 Kab(m+K-(H(m)))를 복호화.

11.8.4 PGP와 신뢰 웹.

특정사용자의 공개열쇠를 신뢰하는 사용자들이 자신의 개인키로 특정사용자의 공개키에 디지털 서명함으로서 거미줄과 같은 신뢰망 구축.

특정사용자의 공개키엔 여러사람의 서명이 있고, 또다른 특정사용자가 그 공개키를 사용시, 자신이 아는 사람의 서명이 발견되면 믿고 사용할 수 있다.