현대 암호 고려대학교 정보보호대학원/사이버국방학과 홍석희 2015.12

고전암호

암호의 기원 Scytale(사이테일) 또는 Skytale(스키테일,스카이테일) 기원전 5세기에 스파르타인들이 고안한 암호 장치

암호의 기원 카마수트라: 인도의 백과사전 Shift cihper(카이사르 사이퍼) 기원전 4세기 64개 분야 포함 (요리, 의상, 향수, 마사지, 마술, 제본) 45번째가 비밀통신 Shift cihper(카이사르 사이퍼) 기원전 50년경 카이사르에 의해 사용

Shift 사이퍼 단순한 연산에(shift) 의한 사이퍼 #key=25 Exhaustive search

Substitution Cipher(대체암호)

Playfair 1차세계대전(영국) plaintext “hello”

현대암호

암호의 분류 암호학(Cryptology = Cryptography + Cryptanalysis)의 영역 스테가노그래피 (Steganography) 비밀 통신 크립토그래피 (Cryptography) 암호학(Cryptology = Cryptography + Cryptanalysis)의 영역

Cryptography vs Steganography Cryptography: with Greek origins, means “secret writing.”. The science and art of transforming messages to make them secure and immune to attacks. Steganography with origin in Greek, means “covered writing,” in contrast with cryptography, which means “secret writing.”

More Steganography In October 2001, the New York Times published an article claiming that al-Qaeda had used steganography to encode messages into images, and then transported these via e-mail and possibly via USENET to prepare and execute the September 11, 2001 terrorist attack

암호시스템

공격자가 할 수 있는 일들.. 공격자가 할 수 있는 일 정당한 사용자가 할 수 있는 일 데이터 도청 데이터 훔쳐감 데이터 위조나 변조 Alice인 척함 혹은 Bob 인 척 함 둘 간의 접속이 원활하지 못하게 방해 여러 가지를 혼용 정당한 사용자가 할 수 있는 일 송신 사실을 부인 수신 사실을 부인

정보보호서비스 기밀성 신분 인증 가용성 무결성 부인 봉쇄 접근 제어 누가 엿듣지는 않나? 상대방이 맞나? 서비스 받고 싶음 도청 위조 서비스 거부 공격 무결성 누가 내용을 바꾸지는 않나? 부인 봉쇄 누구 말이 옳은가? 접근 제어 접근 권한이 있는가? 비인가 접속 변조 보낸적 없음 ! 오리발

정보보호의 목적 기밀성(Confidentiality): 정보가 의도하지 않게 노출되지 않게 방지하는 것 Data, E-mail, Voice, ID, Password, and so on… 무결성(Integrity): 공격자의 의도적인 공격에 의해 데이터가 위조 혹은 변조되었는지 확인할 수 있도록 하는 것 가용성(Availability): 정당한 사용자는 언제든지 정보를 이용하게 하는 것

암호의 응용-기밀성 실생활속에서의 기밀성 한글 파일 암호화 압축 파일 암호화 엑셀 파일 암호화 이메일 암호화 개인 일기 작성 압축 파일 암호화 데이터 전송시 데이터 유출 방지 엑셀 파일 암호화 이중장부의 사용 이메일 암호화 데이터 베이스 암호화 하드 디스크 암호화 군통신 및 외교통신

암호의 응용-무결성 디지털 포렌식스 인터넷 뱅킹 (무결성 + 인증+암호화) 카드결제 전자투표 디지털 증거 자료의 무결성 확보 전자서명을 통한 무결성과 인증 카드결제 전자투표 투표결과의 신뢰성 확보가 중요

기밀성과 무결성 기밀성을 위한 기술 암호화 무결성을 위한 기술 MDC or MAC 데이터 출처 인증 사용자 인증

기밀성 vs 인증 기밀성 vs 인증 사용 중요도?

생활속의 인증 생활속의 인증 현금인출기 사이트 접속: ID와 Pwd를 이용한 로그인 컴퓨터 로그인 출입관리 핸드폰 인증 신용카드 인증 온라인 뱅킹, 온라인 쇼핑

인증방식 인증의 방식 What you have? What you know? What you are? 혼합방식 열쇠, 출입카드 열쇠, 출입카드 What you know? PWD, passphrase, PIN What you are? Something you are:홍체, 지문 Something you do: 음성, 서명 혼합방식 What you are + What you know, What you have+ What you know 인증서, 지문+PIN

암호요소기술들

암호의 요소기술들 비밀키 암호 공개키 암호 해쉬함수 전자서명 동일한 비밀정보를 공유하여 비밀통신을 하는 방법 속도가 빠름 키 공유 문제가 어려움 공개키 암호 공개된 정보를 가지고 암호화하고 나만이 알고 있는 정보를 가지고 복호화 속도가 느림 키공유 문제 해결 해쉬함수 임의의 입력에 대하여 출력의 길이가 고정된 함수 전자서명 나만이 알고 있는 정보를 가지고 서명을 생성하면 공개되어 있는 정보를 가지고 누구든지 검증 공개정보의 유효검 검증이 중요PKI의 필요

비밀키 암호

공개키 암호 암호화에 사용되는 키(공개정보, 공개키)와 복호화에 사용되는 키가(비밀정보, 개인키) 서로 다른 암호 시스템. 비밀키 공개키

대칭키(비밀키) 암호방식의 키 n(n-1) 많은 키가 필요: nC2 = 2 키 분배의 어려움 KAB KBC KAC 가입자 B 공중 통신망 nC2 = n(n-1) 2 많은 키가 필요: 키 분배의 어려움

공개키 암호방식의 키 * 대칭키(비밀키) 암호의 키 분배 문제가 해결 * PB , SB PC , SC PA ,SA 가입자 B 공중 통신망 공개 목록 PA, PB, PC * 대칭키(비밀키) 암호의 키 분배 문제가 해결 *

비밀키 암호vs 공개키 암호 공개키 암호 비밀키 암호 키의 관계 암호화키≠복호화키 암호화키=복호화키 암호화 키 공개 비공개 복호화 키 암호알고리즘 키 전송 불필요 필요 키의 개수 2n n개는 공개, n개는 비밀 n(n-1)/2 전부 비밀 1인당 필요한 키 1개 n-1 속도 비효율적 효율적 인증 누구나 인증 키공유자만이 인증

해쉬함수 101010101010101010101010101010110101010101010010101010101101001001001001010101110100010101110100100001001011100010010001000101101001010111010001010100010100010100101010101010101010101010000000000011111110110101011010101010101010010110101010101010101111110000101010101010100101010101010011101010100110101010101010101010101010101010101010101010010111100001110101110000111010001100011110011101010110101010101010101011001010001010101000010001010111000101110010100000101001110010101010101011101010101010101010101010101010110101010101010010101010101101001001001001010101110100010101110100100001001011100010010001000101101001010111010001010100010100010100101010101010101010101010000000000011111110110101011010101010101010010110101010101010101111110000101010101010100101010101010011101010100110101010101010101010101010101010101010101010010111100001110101110000111010001100011110011101010110101010101010101011001010001010101000010001010111000101110010100000101001110010101010101011101010101010101010101010101010110101010101010010101010101101001001001001010101110100010101110100100001001011100010010001000101101001010111010001010100010100010100101010101010101010101010000000000011111110110101011010101010101010010110101010101010101111110000101010101010100101010101010011101010100110101010101010101010101010101010101010101010010111100001110101110000111010001100011110011101010110101010101010101011001010001010101000010001010111000101110010100000101001110010101010101011101010101010101010101010101010110101010101010010101010101101001001001001010101110100010101110100100001001011100010010001000101101001010111010001010100010100010100101010101010101010101010000000000011111110110101011010101010101010010110101010101010101111110000101010101010100101010101010011101010100110101010101010101010101010101010101010101010010111100001110101110000111010001100011110011101010110101010101010101011001010001010101000010001010111000101110010100000101001110010101010101011···················01010101010101010101010101011010101010101001010101011010101011101110110101010101010010101010101010111 HAS-160, SHA-1 의 경우 160 비트 출력 1101000101010001010001010010101010101010101010101000000000001111111011

해쉬함수의 성질 성질 해쉬함수의 안전성 측면에서 고려되어야 할 중요한 성질 y가 주어지고, h(x)=y 인 x 를 찾는 것이 어려움 역상 저항성 h(x)=y 인 x 와 y가 주어지고, h(x’)=y 인 x’ (≠x)를 찾는 것이 어려움 제 2 역상 저항성 h(x)=h(x’)인 x, x’ (≠x) 를 찾는 것이 어려움 충돌 저항성

전자서명 인감 전자서명 확인검증 비교 확인 인감증명서 인감: 종이문서 + 인감도장 날인 서명된 전자문서: 전자문서 + 전자서명 생 성 키 전자서명 검 증 키 종이문서 1999년 계약함 전자문서 1999년 계약함 吉洪 印東 전자서명 검증키 등록 인감등록 洪吉東(인) 洪吉東 洪吉 東印 해쉬 알고리즘 정부기관 공인인증기관 전자 인증서 발급 인감증명서 발급 전자서명알고리즘 종이문서 1999년 계약함 전자서명 bc12726da4354 a65b7cd6bc7d9 전자서명 검증키 전자서명 알고리즘 인감증명서 전자문서 1999 계약함 ___ 洪吉東 洪吉 東印 해쉬 알고리즘 洪吉東 洪吉 東印 洪吉東(인) 확인검증 비교 확인

현실속에서의 해킹

무인기(UAV) 등 디지털 기술 기반 첨단무기들을 대상으로 무인정찰기 2011년 12월, 이란은 자국 영공을 침범하여 이란 핵시설을 감시하던 미국의 드론 정찰기(RQ-170)를 확보하였다고 발표 일부 언론에서는 이란이 RQ-170이 수신 하는 GPS 신호를 조작하여 RQ-170이 착륙하도록 유도하여 나포하였다고 보도했으나, 미 국방부 관계자는 이를 부인 이란은 나포된 미국의 드론 정찰기에 대한 리버스 엔지니어링을 통해 드론 정찰기에 대한 대량 복제를 수행할 예정이라고 발표 29 June 2012 Researchers use spoofing to 'hack' into a flying drone American researchers took control of a flying drone by "hacking" into its GPS system - acting on a $1,000 2012년 6월, 미국 University of Texas at Austin의 무선항 법 연구소는 드론을 해킹하여 제어권을 획득하는 실험 성 공 미 국토안보부(DHS)의 실험 요청에 의하여 실험하게 되었으 며, $1,000에 불과한 장비를 이용하여 드론의 GPS 신호를 스 푸핑하여 제어권을 획득하였으며, 그 결과 드론 제어권을 획 득함 GPS 신호가 암호화될 경우 이러한 해킹이 쉽지 않으나, 이란의 드론 나포 역시 해킹에 의한 것이라는 주장이 신빙성을 얻음 무인기(UAV) 등 디지털 기술 기반 첨단무기들을 대상으로 사이버 공격이 등장하고 있음

소니픽쳐스 소니픽처스가 김정은 암살을 소재로 한 영화 ‘더 인터뷰’출시와 개봉을 앞두고 해킹을 당해 다양한 기밀정보가 유출되는 사고 발생 소니픽처스 해킹 개요 북한 김정은을 美 CIA 요원들이 암살하는 내용의 영화 ‘더 인터뷰’ 와 관련해 소니 픽처스와 북한 사이의 갈등 발생 사건의 경과 - 2014년 9월, 북한은 미국과 해당 영화 개봉 국가에게 무자비한 보복을 가할 것이라 엄포 - 2014년 11월 24일, 평화의 수호자 (Guardians of Peace)라는 해커집단이 소니 픽처스 내부망에 침투해 기밀정보 유출 및 내 부 시스템 파괴 - 2014년 12월, 해커는 소니픽처스 직원명단, 미개봉 영화, 기밀문서 등을 인터넷에 공개 - 2014년 12월 16일, 해커는 영화 상영 시 테 러를 가할 것이며, 9.11테러를 떠올리라고 협 박

한수원 해킹 한국수자력원자력 공사가 ‘원전반대그룹’이라는 조직에 의해 해킹을 당해 다양한 기밀정보가 유출되었으며, 파괴 협박을 받음 한수원 해킹 이슈 한수원이 해킹을 당해 각종 기밀정보가 유 출 되었으며, 해커는 원자력발전소 가동을 중단하지 않을 경우 파괴하겠다고 협박함 - 2014년 12월 9일, 한글(HWP) 파일 취약점 을 이용한 악성코드가 퇴직자 명의 이메일을 통해 한수원 직원들에게 전파 - 2014년 12월 10일, 악성코드를 통해 기밀정 보 탈취 및 PC 파괴 명령 실행됨 - 2014년 12월 15일 이후, 자칭 ‘원전반대그 룹’ 해커는 4차례 기밀 정보 유출 - 2014년 12월 25일까지 원전 중단하지 않으 면 파괴하겠다고 협박했으나, 이상행위 발생하 지 않음 출처 : 디지털타임즈 (2015)

자동차 해킹 고려대 정보보호대학원 자동차 해킹 시연 (2012.09.09 SBS 뉴스8)

에셜론과 프리즘

물리적 도청-레이저

물리적 도청-스피커

스마트 TV 해킹

Q & A