갱스터의 블로그

방화벽(Firewall) 외부에서 내부로 많은 패킷이 이동하는데, 이때 위험하거나 이상한 패킷이 들어올 수도 있다. 사설 네트워크에서 데이터를 받을 때, 일부 패킷은 통과시키고 다른 패킷을 차단시키는 기능을 방화벽이라고 한다. 이러한 방화벽은 안전한 시스템을 구축하기 위한 목적이다. Firewalls: why 이러한 방화벽은 왜 도입되었을까? - 서비스 거부 공격 방지 SYN flooding는 TCP 연결 시 사용되는 SYN 신호를 이용하여 공격하는 방법이다. TCP에서 SYN 신호는 TCP 연결을 생성하겠다는 의미이기 때문에 SYN 하나 당 소켓을 하나씩 사용하게 된다. 따라서 SYN 신호를 계속 전송하여 TCP 연결 요청이 많이 오게 되면 그 서버가 죽을 수도 있다. 지금은 이러한 공격은 운영체제 차..

IP Sec IP Sec(IP Security)은 IP 패킷 자체를 암호화하는 알고리즘이다. encryption(암호화), authentication(인증), integrity(무결성)를 제공한다. TCP 연결 시 TLS를 사용하여 암호화를 진행하지만, BGP라우터 또는 DNS에 패킷을 가로챌 수 있다. TLS 1.2의 경우 데이터가 암호화되어 내용이 보이진 않지만 SNI 필드로 인해 해당 패킷이 어디를 향하는지 확인할 수 있다. 이러한 상황을 ip단에서 막기 위해 등장하였다. IPSec은 두 가지 모드가 있다. - transport mode PC 사이 즉 호스트 간의 통신 시의 트랜스포트를 암호화한 것이다. 즉, 데이터그램의 페이로드 부분만을 암호화 및 인증한다. - tunnel mode 도메인 간 라..

기밀성(confidentiality) 메일과 같은 메세지 전송 시 내용을 키를 사용하여 암호화를 진행한다. 메세지 수신자는 메세지의 내용을 읽기 위해 키가 필요한데, 키를 전달하기 위해 공개키 알고리즘을 이용한다. 이때, 메세지의 내용은 개인키 또는 대칭키로 암호화/복호화가 가능하다. 보통은 대칭키를 생성한 후, 이 대칭키로 메세지 내용을 암호화한 후 대칭키를 공개키로 암호화한다. 암호화된 대칭키는 메세지와 함께 전송된다. Secure e-mail: 무결성(integrity), 인증(authentication) 이 시나리오는 무결성과 인증까지 보장하는 시나리오다. 1. 송신자는 메세지를 해시하여 MAC를 획득한다. 2. MAC를 개인키로 암호화한다. (전자서명) 3. 메세지와 서명한 MAC를 대칭키 Ks..

Digital Signatures 앞 포스트에서 언급했듯이 사용자를 증명하기 위해 전자서명이 사용된다. 그런데, 전자서명으로 인증할 때에 일부 데이터를 해싱하여 사용한다고 언급하였다. 일부 데이터를 해싱 함수에 넣은 결과값을 digest(다이제스트)라고 한다. 디지털 서명을 송신하기 위한 간단한 방법은 아래와 같다. 이 결과값이 수신자와 동일하면 데이터가 손상이 되지 않았다는 의미로 무결성이 보장됐다는 의미이다. 서명된 디지털 문서는 검증이 가능하고, 위조 불가능하다는 특징을 갖고 있다. 서명된 문서를 받은 수신자는 송신자 제외 그 누구로 디지털 문서에 서명하지 않았음을 증명할 수 있다. 메세지 m에 대한 디지털 서명은 송신자의 개인키 암호화가 진행되는데, 송신자의 개인키로 암호화를 진행하는 것이 디지털..

암호(cryptography) 기초 용어 - m: plaintext message (평문) - KA(m): ciphertext (암호문), 키 KA로 암호화 - m = KB(KA(m)) -> 복호화 암호 깨기 암호문을 전문적으로 깨는 방법(cipher-text only attack)이 존재하는데, 두 가지의 접근 방법이 있다. - brute force 무차별 대입법이라고도 불리는 이 방법은 말 그대로 나올 수 있는 경우의 수들을 모두 대입해보는 방법이다. - statistical analysis 통계적 분석 방법은 쓰이는 알파벳이나 단어들을 우선적으로 대입해보는 방식이다. 그 외에도 아래와 같은 방법이 존재한다. - known-plaintext attack 공격자가 평문(plaintext)과 암호문(ci..