갱스터의 블로그

기밀성(confidentiality) 메일과 같은 메세지 전송 시 내용을 키를 사용하여 암호화를 진행한다. 메세지 수신자는 메세지의 내용을 읽기 위해 키가 필요한데, 키를 전달하기 위해 공개키 알고리즘을 이용한다. 이때, 메세지의 내용은 개인키 또는 대칭키로 암호화/복호화가 가능하다. 보통은 대칭키를 생성한 후, 이 대칭키로 메세지 내용을 암호화한 후 대칭키를 공개키로 암호화한다. 암호화된 대칭키는 메세지와 함께 전송된다. Secure e-mail: 무결성(integrity), 인증(authentication) 이 시나리오는 무결성과 인증까지 보장하는 시나리오다. 1. 송신자는 메세지를 해시하여 MAC를 획득한다. 2. MAC를 개인키로 암호화한다. (전자서명) 3. 메세지와 서명한 MAC를 대칭키 Ks..

Digital Signatures 앞 포스트에서 언급했듯이 사용자를 증명하기 위해 전자서명이 사용된다. 그런데, 전자서명으로 인증할 때에 일부 데이터를 해싱하여 사용한다고 언급하였다. 일부 데이터를 해싱 함수에 넣은 결과값을 digest(다이제스트)라고 한다. 디지털 서명을 송신하기 위한 간단한 방법은 아래와 같다. 이 결과값이 수신자와 동일하면 데이터가 손상이 되지 않았다는 의미로 무결성이 보장됐다는 의미이다. 서명된 디지털 문서는 검증이 가능하고, 위조 불가능하다는 특징을 갖고 있다. 서명된 문서를 받은 수신자는 송신자 제외 그 누구로 디지털 문서에 서명하지 않았음을 증명할 수 있다. 메세지 m에 대한 디지털 서명은 송신자의 개인키 암호화가 진행되는데, 송신자의 개인키로 암호화를 진행하는 것이 디지털..

암호(cryptography) 기초 용어 - m: plaintext message (평문) - KA(m): ciphertext (암호문), 키 KA로 암호화 - m = KB(KA(m)) -> 복호화 암호 깨기 암호문을 전문적으로 깨는 방법(cipher-text only attack)이 존재하는데, 두 가지의 접근 방법이 있다. - brute force 무차별 대입법이라고도 불리는 이 방법은 말 그대로 나올 수 있는 경우의 수들을 모두 대입해보는 방법이다. - statistical analysis 통계적 분석 방법은 쓰이는 알파벳이나 단어들을 우선적으로 대입해보는 방식이다. 그 외에도 아래와 같은 방법이 존재한다. - known-plaintext attack 공격자가 평문(plaintext)과 암호문(ci..

Transport-layer security (TLS) http 등 응용 계층 등에서 보안이 필요하다. 이런 경우 응용단 하나를 만들 때 암호화 기능 하나씩 생성하면 필요성이 만족된다. 하지만, 표준이 존재하면 각자 암호화를 하는 수고를 덜 수 있는데, 전송 계층에서 사용할 수 있는 보안 표준이 TLS이다. 전송 계층에서의 보안은 여러 가지 응용의 보안을 지원하는데, 온라인 웹에서는 은행, 상거래, 이메일 등에도 구현이 되어 있다. 암호화는 보통 대칭키를 사용한다. 대칭키로 서로 대응되는 암호화 키와 복호화 키를 사용해 암호화를 진행한다. 대칭키를 통해 암호화를 진행하여 데이터의 기밀성이 지켜져야 한다. 암호화가 만족되기 위해서는 데이터에 대해 무결성(integrity)이 지켜져야 한다. 무결성이란 데이..

우리는 앞선 포스트를 통해 intra-AS routing 방법인 RIP와 OSPF에 대해 학습하였다. RIP와 OSPF는 도메인 내에서 패킷을 전달할 수 있는 최단경로를 찾는다. Inter-AS routing: BGP BGP는 Border Gateway Protocol의 약어로 inter domain routing protocol, 즉 도메인 간의 라우팅 프로토콜이다. 예를 들어 충남대 KT, KT SKT 브로드밴드 등과 같다. 이때, 외부 인터넷과 연결되는 사이 라우터를 Gateway라고 한다. BGP 프로토콜은 아래와 같이 두 가지로 나뉜다. - eBGP eBGP는 external BGP로 외부 라우터와 subnet reachability information을 전달받는다. 따라서 외부와 연결되어 있..

Autonomous System(AS)은 하나의 관리자에 의해 운영되는 자유롭게 네트워크를 꾸밀 수 있는 권한이 있는 구간이다. AS는 아래와 같이 두 가지로 나뉜다. intra-AS (= intra domain) AS의 모든 라우터는 동일한 도메인 내의 프로토콜을 실행해야 한다. 서로 다른 AS의 라우터의 동작법은 서로 다를 수 있다. gateway router를 통해 다른 intra domain과 연결될 수 있다. inter-AS (= inter domain) gateway는 도메인 간 라우팅(및 도메인 내 라우팅)을 수행한다. 위 사진에서 각각 AS1, AS2, AS3은 intra AS이다. 그리고 각각 intra AS를 이어주는 것이 inter AS인데, 해당 라우터에는 Intra-AS routi..

네트워크 계층 함수 - forwarding (data plane) 라우터의 입력으로 들어온 패킷을 적절한 라우터 출력으로 이동시킨다.(HW) - routing (control plane) 출발지에서 목적지까지 패킷의 경로를 지정해준다.(SW) 네트워크의 제어 영역을 구성하는 방법으로는 두 가지 접근방식이 존재한다, 1. per-router control (traditional) 2. logically centralized control (software defined networking) Per-router control plane 위 알고리즘은 각 라우터마다 라우팅 알고리즘을 수행한다. 따라서 모든 라우터는 각각의 라우팅 알고리즘과 포워딩 테이블을 보유하고 있어 모두 직접 라우팅을 통해 경로를 찾으면 ..

공유기(Network Address Translator) 공유기는 공인 IP 주소와 사설 IP 주소를 서로 변환해주는 역할을 한다. Network Address Translator(NAT)가 이용하는 사설 IP 주소는 아래와 같다. 위 사진은 NAT를 통해 사설 IP와 공인 IP를 변환해주는 모습이다. 주소 번역 예 사설 IP 주소 + 포트 번호 변경 (사설 -> 공유기) 위 그림에서도 NAT를 통해 사설 IP가 공인 IP로 변환되고 있는 모습을 보여준다. 이때 IP 뿐만 아니라 포트번호도 함께 변화하고 있다. 사설 IP 주소 + 포트 번호 변경 (외부 -> 공유기) 위 그림에서도 마찬가지로 NAT를 통해 공인 IP가 사설 IP로 변환되고 있는 모습을 보여준다. 포트 변호도 함께 변환되고 있으며 이러한 ..

인터넷 보안 인터넷 역사 인터넷은 미국 국방부 지원 연구 목적으로 일부가 고장나도 동작하는 네트워크가 시초이다. 당시 보안 고려사항은 없었다. • 1970년대: Alohanet, Internet model, Ethernet, ARPANET • 1980년대: TCP/IP, SMTP, DNS, FTP, TCP congestion control 보안 사고 • 1988년 Morris Worm: 코넬대 대학원생이 유닉스 취약점 이용하여 6000대 유닉스 감염시켰다. • R. Morris: 현재 MIT 컴퓨터공학 교수 세계 • 1988: Morris Worm • 2001: Code Red Worm • 2002: Sapphire Worm 국내 • 2003년 1월: DNS 서버 공격 1∙25 인터넷 대란 (Slamme..

라우터 구조 라우터는 길을 찾는 장치이다. 외부에서 들어온 패킷에 대해 어디로 가면 되는지 길을 찾아주는 역할을 한다. 라우터는 공유기와 같다고 생각하면 된다. 공유기에는 네트워크 카드를 여러 개 보유하고 있는데, 보통 4개를 가지며 무선도 있다. 이러한 라우터는 컴퓨터 구조와 동일하다. 위 사진은 라우터의 구조로 high-speed switching fabric은 라우터의 특별한 하드웨어로 cpu에서의 버스와 같은 역할을 해준다. 따라서 컴퓨터의 버스는 라우터의 역할을 할 수 있는 것이다. 스마트폰에서도 라우팅 기능을 사용하고 있으며 5G, LTE 등의 인터페이스와 와이파이 인터페이스 사이의 패킷을 전달한다. IP 라우팅과 포워딩(Routing, Forwarding) - Routing: 길 찾기 기능 ..