NOTE

:암호방식에 따라 공개키 서명 방식, 중재 서명 방식으로 나눌 수 있다.

:공개키 서명 방식은 서명 생성 및 검증이 간편

:중재 서명 방식은 서명 생성 및 검증을 중재하는 방식으로 제 3자의 참여가 있어야 한다.

과정

1. 송신자는 서명 알고리즘을 이용해서 메시지에 서명

2. 메시지와 서명은 수신자에게 전송

3. 수신자는 메시지와 서명을 받고 검증 알고리즘을 적용

4. 결과가 참이면 올바른 메시지, 거짓이면 그 메시지는 송신자가 전송한게 아님

서비스

-메시지 인증

-메시지 무결성

-부인방지(제 3자를 이용)

-기밀성(전사서명을 한다고 해서 기밀성이 보장되는 통신X,기밀성이 필요하다면 암·복호화를 할 수 있는 다른 수단이 적용되어야 한다.)

주요기능

-위조 불가

-서명자 인증

-부인방지

-변경 불가

-재사용 불가

메시지 복원형(RSA)

:메시지에 직접 서명하는 방식

:서명자의 개인키를 이용해 메시지를 암호화하여 전송

:검증자는 서명자의 공개키를 이용하여 서명된 암호문을 복호화하여 검증

:기존의 공개키 암호방식을 이용하므로 별도의 전자서명 프로토콜이 필요하지 않음

:메시지를 일정한 크기의 블록으로 나누어 각각의 블록에 서명을 해야 하므로 많은 시간이 소요되어 실제로는 사용되지 않음

메시지 부가형(EIGamal, DSS, KCDSA)

:메시지의 해시값에 서명하는 방식

:임의의 길이로 주어진 메시지를 해시 알고리즘을 이용하여 일정 길이로 압축

:해시값에 서명자의 개인키를 이용하여 전자서명을 하고 메시지에 붙여 전송

:수신된 메시지의 해시값과 공개키를 이용하여 전자서명을 복호화한 값과 비교

:전자서명을 붙여 전송하므로 전송량이 약간 늘어나지만, 메시지가 아무리 길더라도 한 번의 서명 생성만 필요하므로 효율적이며 실제로 많이 사용

부인방지 서명 : 서명자의 도움이 있어야 검증이 가능한 방식

의뢰 부인방지 서명 : 부인방지 서명의 서명자 익명성을 보장하지 못하는 문제점을 부분적으로 개선한 방식

수신자 지정 서명 : 지정된 수신자만이 서명을 확인할 수 있으며, 서명의 남용을 서명자가 아닌 수신자가 통제할 수 있는 서명 방식

은닉 서명 : 서명자가 문서 내용을 보지 않은 상태에서 서명을 하여 익명성을 제공하는 방식

위임 서명 : 서명자를 대신해서 대리로 서명할 수 있도록 구성한 서명 방식

다중 서명 : 동일한 문서에 여러 사람이 서명하는 방식

:유권자가 투표소에 가지 않고 온라인 시스템을 통해 투표하는 것

:유권자 개인의 인증과 투표 내용의 기밀성 유지 등의 문제점이 있음

전자투표 시스템의 요구사항

-완전성

-비밀성

-재사용 불가

-공정성

-적임성

-검증성

전자투표 방식

-투표소 전자투표(PSEV, Poll Site E-Voting)

-키오스크(Kiosk)

-인터넷 투표(REV, Remote internet E-Voting)

:입찰방식을 인터넷을 통하여 구현

전자칩찰 시스템의 요구사항

-독립성

-비밀성

-무결성

-공평성

-안전성

문제점

:네크워크상의 메시지 유출

:입찰자와 서버 사이의 공모

:입찰자간의 공모

:입찰자와 입찰 공무자간의 공모

인증기관(CA, Certification Authority)

:인증서를 발급해 주는 역할을 하며, 인증서는 사용자가 합법적인 사용자임을 입증한다.

:최상위 인증기관 -> 전자서명인증관리센터(KISA)

:공인인증기관 -> 한국정보인증(주), (주)코스콤, 금융결제원, 한국전자인증(주), 한국무역정보통신

-정책 승인기관(PAA, Policy Approving Authority)

:정책과 절차를 생성하여 수립

:하위 기관들의 정책 준수 상태 및 적성성을 감사

-정책 인증기관(PCA, Policy Certification Authority)

:인증기관의 공개키를 인증하고 인증서

:인증서 폐지 목록 등을 관리 

-인증기관(CA, Certification Authority)

:공개키 인증서를 발행하거나 폐지

:사용자에게 자신의 공개키와 상위 기관의 공개키 전달

:등록 기관의 요청에 의해 인증서를 발행

검증기관(VA, Validation Authority)

:인증서와 관련된 거래의 유효성을 확인하고 신뢰 당사자에게 확인시켜 준다.

:검증기관 없이 인증기관만 존재할 수 있으나, 보안측면에서 불완전하다고 간주될 수 있다.

:검증기관과 인증기관은 통합적으로 운영되거나 독립적으로 운영 될 수 있다.

등록기관(RA, Registration Authority)

:인증기관과 사용자 사이에 등록기관을 두어, 사용자의 인증서 신청 시 인증기관 대신 그들의 신분과 소속을 확인하는 기능을 수행한다.

:등록기관은 사용자의 신분을 확인하고 인증서 요청에 서명을 한 후 인증기관에 제출 -> 인증기관은 등록기관의 서명을 확인 후 사용자의 인증서 발행

:등록기관은 선택적인 요소, 등록기관이 없을 때에 인증기관은 등록기관의 기능을 수행할 수 있다고 가정한다.

저장소(Repository, Directory)

:사용자의 인증서를 저장

:사용자 자신이 원하는 상대방의 인증서를 검색할 수 있다.

:디렉터리 표준형식 X.500

사용자

:PKI 내의 사용자는 사람뿐만 아니라 사람이 이용하는 시스템 모두를 의미한다.

계층 구조

:최상위 루트 CA가 존재하고 그 아래 하위의 CA가 계층적으로 존재하는 트리형태

:최상위 인증기관 간의 상호인증은 혀용하지만 하위 인증기관 간의 상호인증은 원칙적으로 배제

네트워크 구조

:상위 인증기관의 영향 없이 인증기관 각각이 자신의 인증정책에 따라 독립적으로 존재하는 형태

:CA간에 인증을 위해 상호인증서를 발행하여 인증서비스를 한다.

:모든 상호인증이 허용되면 상호인증의 수가 대폭 증가하는 단점이 있다.

혼합형 구조

:계층 구조와 네트워크 구조의 장점을 취한 방법

:임의 길이의 메시지 입력으로 고정 길이의 해시값을 출력한다.

:해시값을 고속으로 계산할 수 있다.

:일방향성을 갖는다.(해시값으로 부터 메시지를 역산할 수 없다는 성질)

:메시지가 다르면 해시값도 다르다.(무결성 확인)

프리이미지 저항성(역상 저항성)

:주어진 임의의 출력값 y에 대해 y=h(x)를 만족하는 입력값 x를 찾는 것이 계산적으로 불가능하다.

제2프리이미지 저항성(두번째 역상 저항성, 약한 충돌 내성)

:주어진 입력값 x에 대해 h(x)=h(x'), x≠x'을 만족하는 다른 입력값 x'을 찾는 것이 계산적으로 불가능하다.

충돌 저항성(강한 충돌 내성)

:h(x)=(x')을 만족하는 임의의 두 입력값 x,x'을 찾는 것이 계산적으로 불가능하다.

블록암호 기반 해시함수

:압축함수 자리에 대칭키 블록암호를 사용

:블록암호의 암호화기능만 사용

전용 해시함수

:(SHA-1, RIPEMD, RIPEMD-128, RIPEMD-160, HAVAL) 등은 모두 MD5를 기초로 디자인

:MD5 해시값 크기 : 128 , 블록 크기: 512

:RIPEMD 해시값 크기 : 128 , 블록 크기: 512

:HAVAL 해시값 크기: 128, 160, 192, 224, 256 , 블록 크기 : 1024

:HAS160은 한국형 전자서명 표준인 KCDSA에서 사용할 목적으로 개발 , 해시값 크기 : 160 , 블록 크기 : 512

모듈 연산 기반 해시함수

:압축함수의 기반을 모듈 연산의 반복적인 수행

:하드웨어/소프트웨어 자체에 내장된 모듈 연산을 사용

:속도가 빠르지 않고 안전성 연구에 대한 역사가 짧음

:메시지 인증 기능을 가진 함수

:함수 자체의 안전성과 키의 비밀성에 안전성을 두고 있음

:CBC모드를 이용하는 방법

:해시함수에 대한 이상적인 수학적 모델

:이진수로 고정된 길이의 메시지 다이제스트를 생성

:다이제스트가 존재하는 메시지가 주어지면, 오라클은 저장되어 있던 다이제스트 제공

:새로운 메시지에 대한 다이제스트는 다른 모든 다이제스트와는 독립적으로 선택될 필요가 있음

비둘기집 원리

:n+1마리의 비둘기가 n개의 비둘기집에 들어가 있다면, 적어도 1개의 비둘기 집에는 2마리의 비둘기가 들어있다는 뜻

생일 공격

:일방향 해시함수의 강한 충돌 내성을 깨고자 하는 공격

:같은 해시값을 생성하는 2개의 메시지를 구하는 것

무차별공격

:약한 충돌 내성을 깨고자 하는 공격

일치블록 연쇄공격 

:h(M)=h(M'), M≠M', 같은 해시값을 갖는 메시지(M')를 골라 사용하는 공격이다.

중간자 연쇄공격 

:전체 해시값이 아니라 해시 중간의 결과에 대한 충돌쌍을 찾는다.

고정점 연쇄공격 

:메시지 블록, 연쇄변수 쌍을 얻어 연쇄변수가 발생하는 특정한 점에서 임의의 수의 동등한 블록들을 메시지 중간에 삽입해도 전체 해시값이 변하지 않는다.

차분 연쇄공격

다중 라운드 블록암호 공격 : 다중 라운드 블록암호를 사용하는 해시함수에서, 입력값과 그에 대응하는 출력값 차이의 통계적 특성을 조사하는 기법

해시함수 공격 : 압축함수의 입출력 차이를 조사하여 0의 충돌쌍을 주로 찾아내는 방법

:무결성을 확인하고 메시지에 대한 인증을 하는 기술

:키가 있는 해시함수

:전자서명보다 빠름

:키 배송 문제가 있음

축소 MAC(nested MAC)

:해싱이 2 단계(키와 메시지를 이어 붙이는 해시 과정이 2번 있음)

HMAC(Hash MAC)

:일방향 해시함수를 이용하여 메시지 인증코드를 구성하는 방법

:RFC 2104로 출판

:TLS, IPSec, SET(Secure Electronic Transaction) 프로토콜에서 사용

CMAC(Cipher-based MAC)

:NIST는 CMAC or CBC-MAC이라 부르는 FIPS 113을 정의

:암호블록연쇄(CBC)모드와 유사한 방법, N개의 평문 블록으로 부터 N개의 암호문 블록을 만든는 것이 아님

카운터 암호 블록 연쇄 - 메시지 인증 코드(CCM, Counter with Cipher Block Chaining - MAC)

:NIST에 의해 IEEE802.11 무선랜의 보안 요구사항을 지원하기 위해서 표준화되었으나, 인증 암호를 요구하는 다양한 네트워크 응용에서 사용

:CCM의 주요 알고리즘 구성요소는 (AES 알고리즘, CTR 모드, CMAC) 이다.

MAC에 대한 공격

:재전송 공격

:키의 추측에 의한 공격(무차별 공격, 생일 공격)

재전송 공격 방어 방법

순서번호

:송신 메시지에 매회 1회씩 증가하는 번호를 붙이고 MAC 값을 계산

:통신상대마다 마지막 순서번호 기록해두어야 하는 번거로움이 있음

타임스탬프

:송신 메시지에 현재 시각을 넣고, 그 이전에 메시지가 왔을 경우에 MAC 값이 바르더라도 오류라고 판단

:송·수신자 사이에 시계를 일치시켜야 함

비표

:수신자는 송신자에게 일회용의 랜덤한 값을 줌(비표)

:비표를 포함해 MAC 값을 계산하며, 데이터의 양이 약간 증가

MAC으로 해결할 수 없는 문제

제 3자에 대한 증명 : 키를 송·수신자만 가지고 있기 때문에 제 3자를 증명할 수 없음 , 전자서명을 사용하면 제 3자에 대한 증명이 가능함 

부인 방지 : 송수신자가 송수신 사실을 부인하지 못하게 하는 것인데 MAC에서는 확인할 수 없음 , 전자서명을 사용하면 부인방지 가능

:키 관리기관(TA,Trusted Authority)이 임의의 두 사용자에게 비밀 경로를 통하여 임의 키를 선택하여 전달 하는 방법

:n 명의 사용자 , n-1가지 키 관리

TA는  가지 키를 관리

:암호 통신이 필요해질 때마다 키 분배 센터에 의해서 개인과 키 분배 센터사이에서만 키를 사전에 공유하는 방법

:n명의 사용자가 있다면 n개의 키가 필요

:공개키 암호 알고리즘(최초의 비밀키 교환 프로토콜)

:KDC없이 대칭 세션키를 생성

:대칭키를 만들기 전에는 양쪽은 두 개의 수 p와 g를 선택(p는 소수, 300자리가 넘는 십진수(1024bit))

:키 교환이라는 이름이 붙어 있지만 실제로는 키를 교환하는 것이 아니라 공유할 키를 계산하여 만들어 내는 것

:이산대수 문제 사용( 에서 n을 구하는 문제)

:완전 순방향 비밀성 = 비밀키가 노출되더라도 그 후의 키 분배 과정에서 얻는 세션키의 안전성에는 영향을 미칠 수 없어야 한다는 성질

공격

-이산대수 공격

:이브(Eve)가 x,y값을 구할 수 있다면 대칭키를 계산 할 수 있게 된다.

-중간자 공격(Man In The Middle Attack)

:키 교환의 중간에 끼어들어 정상적인 전송이 되는 것처럼 보이게 하는 공격

:이런 공격에 취약한 이유는 인증단계가 없기 때문

국대국 프로토콜(STS,Station-To-Station protocol)

:공개키 인증서를 이용한 전자서명을 사용

:중간자 공격을 해결

1. 수신자는 미리 암호화키(공개키)를 송신자에게 알려 준다. 이 암호화키는 도청자에게 알려져도 괜찮다.

2. 송신자는 암호화키로 세션키를 암호화하여 수신자에게 보낸다.

3. 수신자는 복호화키(개인키)로 암호문을 복호화한다.

:공개키와 개인키는 서로 밀접한 관계(수학적 관계)가 있기 때문에 각각 별개로 만들 수는 없다.

:전자문서의 무결성과 부인방지 기능을 갖고 있는 전자서명 구현, 다양한 암호 프로토콜에 사용 가능

:느린 암호화 속도

:공개키 암호의 표준

:개발자 세 사람의 이름, Rivest-Shamir-Adleman

:인수분해 문제해결의 높은 난이도를 이용 

:암호화, 전자서명의 용도로 사용

:SSL 프로토콜을 가진 웹 브라우저, PGP 등 RSA 사용

키 생성

p,q 선택 , p,q는 소수 (p≠q) , (개인,선택)

N=p×q를 계산 , (공개,계산)

ø(N)=(p-1)(q-1)를 계산

정수 e를 선택, gcd(ø(N),e) = 1 , 1 < e < ø(N) , (공개,선택)

확장된 유클리드 호제법을 이용 d를 계산 de mod ø(N) = 1  , (개인,계산)

공개키 PU={e,N}

개인키 PR={d,N}

ex)

p=17, q=11

N=17×11=187

ø(N)=16×10=160

e=7 선택

d<160, de mod 160 = 1 , d=23 ∵23×7=160×1+1

PU = {7,187}

PR = {23,187}

암호화와 복호화

RSA에서는 두 개의 지수 e,d 사용(e:공개값, d:비밀값) , 공개 : e,n 비밀 : d,p,q

(암호화)

(복호화)

공격

-소인수분해 공격

:현실적인 시간 내에 소인수분해를 마칠 수 있는 효율적인 소인수분해 알고리즘이 개발되지 않는 한 RSA는 안전하다고 말할 수 있다.

:Factoring Attack

-중간자 공격

:기밀성에 대해 매우 유효한 공격

:송신자와 수신자 사이에 들어가서 송신자에 대해서는 수신자처럼, 수신자에 대해서는 송신자처럼 행세하는 공격이다.

:RSA뿐만 아니라 어떤 공개키 암호에서도 사용 가능

:중간자 공격을 막기 위해서는 공개키 인증서가 필요

권장사항

p,q (p≠q) 거의 같은 크기의 소수이어야 한다.

p-1,q-1은 커다란 소인수를 각각 가져야 한다.

p-1,q-1의 최대공약수는 작은 수이어야 한다.

메시지는 OAEP를 사용해서 패딩되어야 한다.

:합성수 모듈러에 관하여 제곱근을 찾기 어렵다는 사실로부터 안전성을 얻음

암호화와복호화

:연산은 오직 한 번의 곱셈으로 이루어져 있고, 이 연산은 매우 빠르게 수행된다.

:성능이 낮은 플랫폼에서 잘 활용된다. ex)스마트카드

:복호화를 하면 동등한 확률로 4개의 평문 후보가 나타난다.

Rabin 시스템의 보안

:p,q가 충분히 크기만 하다면 안전

:시스템 복잡도는 큰 수 n을 두 개의 소수의 곱으로, 소인수분해하는 수준의 복잡도와 동일

:이산대수 문제에 근거해서 만든 공개키 암호시스템

:암호문의 길이는 평문의 약 2배

:많은 메모리 공간이 필요하며 전송 속도가 느림

:키 교환,인증,짧은 메시지의 암/복호화에 사용

:암호 소프트웨어 GnuPG에 구현

:이산대수의 문제에 근거해서 만든 공개키 암호시스템

:ECC는 전자상거래의 핵심 기술

:160bit ECC는 1024bit의 RSA키와 동일한 보안수준

:H/W와 S/W로 구현 용이

:스마트카드, 무선통신 단말기 등과 같이 메모리와 처리능력이 제한된 응용분야에 효율적

:대칭키 암호로 속도를 높이고, 공개키 암호로 세션키를 보호

:의사난수 생성기, 대칭키 암호, 공개키 암호라는 3가지 암호기술 사용

:메시지는 대칭키 암호로 암호화, 암호화 한 세션키는 의사난수 생성기로 생성, 세션키는 공개키 암호로 암호화

:PGP, SSL/TLS에서 하이브리드 암호시스템 사용

:PGP에서는 하이브리드 암호시스템에 (전자서명+전자서명의 검증+개인키 관리)를 추가하여 사용