통신망 정보보호 이재광, 이임영, 소우영, 최용락

전체 목차 1. 개요 2. 관용 암호 방식 3. 관용 암호방식을 이용한 기밀성 4. 공개키 암호 5. 인증과 디지털 서명 6. 침입자, 바이러스 및 벌레 7. 암호 알고리즘 8. 인증과 키 교환 9. 전자우편 정보보호 10. 네트워크 관리 정보보호

통신망 정보보호(1장) 순천향대학교 컴퓨터학부 이 임 영 imylee@asan.sch.ac.kr 0418)530-1323

목 차 1. 서론 2. 보안 서비스 3. 보안에 대한 공격 4. 인터네트워크 보안 모델 5. 책의 개요 6. 알고리즘 및 응용간의 관계

1. 서론 컴퓨터 보안 (Computer security) 컴퓨터에 저장된 파일 및 기타 정보를 보호하기 위해 도구 필요 공용시스템의 경우(시분할 시스템) 데이터 네트워크를 통해서 접근하는 시스템 컴퓨터 보안 (Computer security) 데이터를 보호하고 해커를 막기 위한 도구의 집합을 총칭

네트워크 보안 (Network security) 분산 시스템의 등장 사용자와 컴퓨터간의 데이터전송을 위한 네트워크 및 통신시설의 이용 네트워크 보안 (Network security) 전송중인 자료를 보호 인터네트워크 보안 (Internetwork security) 상호연결된 네트워크 집합을 보호

2. 보안 서비스 보안 서비스 (Security Service) 보안 서비스의 종류 조직의 데이터 처리 시스템 및 정보 전송에 대한 보완을 강화하기 위한 제반 서비스 보안 서비스의 종류 기밀성 서비스 네트워크상에서 노출로부터 보호하는 서비스 메시지 내용 공개, 트래픽 흐름 분석, 도청으로부터 전송 메시지 보호 접속 구간 기밀성, 내용 기밀성, 메시지 흐름 기밀성 암호 알고리즘 이용

무결성 서비스 주고 받는 메시지의 정확성 및 변경 여부를 확인하기 위한 것 연결형 무결성 서비스, 비연결형 무결성 서비스 해쉬 함수, 디지털 서명, 암호 알고리즘 이용 인증 서비스 정보 및 시스템의 자원을 사용하는 정당한 사용자임을 확인 연결된 송수신자 확인, 제 3자의 위장 확인

부인봉쇄 서비스 송수신자가 송수신 사실에 대한 부인을 하지 못하게 하는 것 송신자 부인 봉쇄, 수신자 부인봉쇄, 배달증명, 의뢰증명 접근 제어 서비스 사용자가 시스템 혹은 특정 자원에 접근 하고자 할 때 인가 받은 사용자만 접근을 허락하도록 제어하는 서비스 가용성 서비스 컴퓨터 시스템이 인가 당사자가 필요로 할 때 이용할 수 있게 하는 서비스

3. 보안에 대한 공격 A B 보안 공격 (Security Attack) 보안 공격의 유형 조직의 정보보호를 저해하는 제반행위 방해 (Interruption) 시스템의 일부가 파괴되거나 사용할 수 없는 경우로 가용성에 대한 공격 A B

A A B C B C 가로채기 (Interception) 비인가자들의 불법적인 접근에 의한 신뢰성에 대한 공격 불법수정 (Modification) 비인가자들의 불법적인 접근 뿐만 아니라 불법적인 변경에 의한 무결성에 대한 공격 A B C

위조 (Fabrication) 비인가자들의 시스템에 대한 위조물 삽입에 의한 인증에 대한 공격 A B C

자연적 위협 요소 고의적 위험 요소 자연적 재앙, 에러 및 손실, 정보관리 부실 네트워크 장애, 시스템 장애 내부의 적, 컴퓨터 해킹, 위장(Masquerade) 메시지 순서 변조 (Modification of Message Sequence) 정보 변조 (Modification of Information) 서비스 거부 (Denial of Service), 부인 (Repudiation) 정보노출 (Leakage of Information) 신분 레이블 변조 (Modification of Identification Label)

4. 인터네트워크 보안 모델 보안 관련 변환 정보 채널 신뢰된 제 3 자 (예: 비밀정보의 중재자, 분배자) 통신주체 메시지 적 (Opponent) 메시지 비밀정보 통신주체 신뢰된 제 3 자 (예: 비밀정보의 중재자, 분배자)

일반 모델로부터 특정 보안 서비스 설계의 기본 사항 보안 관련 변환 알고리즘의 설계 공격자가 변환을 파기할 수 없는 것이어야 함 변환 알고리즘과 병용될 비밀 정보의 생성 비밀정보의 분배 및 공유 방법의 개발 특정 보안 서비스를 위한 보안 알고리즘 및 비밀정보를 사용할 통신주체간의 프로토콜 지정

5. 책의 개요 관용 암호 방식 (Chap. 2 Chap. 3) 공개키 암호 방식 (Chap. 4 Chap. 5) 암호 알고리즘은 암호문 자체만으로 메시지를 해독할 수 없을 만큼 강력 알고리즘의 강도는 알고리즘의 비밀성 유지가 아니라 키의 비밀성 유지에 의존 DES, Triple DES, IDEA, Skipjack 공개키 암호 방식 (Chap. 4 Chap. 5) 수학적 함수를 기본으로 구성 공개키는 모든 사용자들이 접근 가능 개인키는 각 개인이 비밀리에 보유 RSA, Diffie-Hellman

인증 및 디지털 서명 (Chap. 5) 디지털 서명 요구 사항 DSS, KCDSA 메시지에 의존하는 비트 형태이다. 위조와 부인을 방지하기 위하여 서명자에게 있어서 유일한 어떤 정보를 이용해야 한다. 서명을 인식하고 확인하기 쉬워야 한다. 서명을 위조하는 것이 계산량 적으로 실행 불가능해야 한다. 서명의 복사본을 유지하는 것이 실용적이어야 한다. DSS, KCDSA

받은 메시지가 의도한 출처에서 왔고, 변경되지 않았다는 것을 확인 인증자 (Authenticator) 사용 인증자 만드는 함수 인증 메커니즘 받은 메시지가 의도한 출처에서 왔고, 변경되지 않았다는 것을 확인 인증자 (Authenticator) 사용 인증자 만드는 함수 메시지 암호화, 암호학적 점검값, 해쉬 함수

침입자, 바이러스 및 웜 (Chap. 6) 암호 알고리즘 (Chap. 7) 네트워크 기반 컴퓨터 시스템의 취약성을 공격하는 해커 및 프로그램에 의한 다양한 정보 접근 및 서비스 위협에 대한 연구 비인간된 사용자가 침입자에 의한 공격의 유형 침입자에 대한 예방 및 발견방법 바이러스와 웜을 포함한 프로그램에 의한 위협 암호 알고리즘 (Chap. 7) DES 및 RSA 외의 여러가지 암호 알고리즘 고찰 MD5, SHA, IDEA, SKIPJACK

인증의 응용 (Chap. 8) Kerberos 관용 암호 방식에 기초를 둔 인증 프로토콜 X.509 인증 알고리즘을 명세하고 인증구조를 정의 공개키의 유효성을 신뢰할 수 있게 하기 위하여 사용자들이 공개키에 대한 증명을 받을 수 있다. X.500이나 다른 응용의 기본으로 사용될 수 있음 DSS (Digital Signature Standard) 디지털 서명 표준 미 연방 표준안으로 NIST에 의해 제안 Diffie-Hellman 키 교환 프로토콜 공개키 기법으로 임시 키의 교환 수단으로 이용

전자 우편 보안 방식 (Chap. 9) 네트워크 관리 보안 (Chap. 10) PGP (Pretty Good Privacy) PEM (Privacy Enhanced Mail) 네트워크 관리 보안 (Chap. 10) 네트워크상의 보안요구 증가 SNMP (Simple Network Management Protocol) Ver 1.0 은 단순한 패스워드기반의 인증 Ver 2.0 은 기밀성 및 인증을 위한 개선된 성능 포함

6. 알고리즘 및 응용간의 관계 IDEA X. 509 DSS Kerberos SNMPv2 PEM PGP SHA MD5 DES RSA 전자우편 네트워크 관리 인증 해쉬 함수 암호 알고리즘