3.4 ddos - kisa블록암호 공개키암호 전자서명 난수발생기 해쉬/mac...
TRANSCRIPT
김우환
3.4 DDoS
<3.4 DDoS 전체 개략도>
7.7 DDoS 대란의 업그레이드판
2
SK컴즈 해킹, 최고 해커 개입
3500만명 개인정보 中으로 유출…경찰, 개인정보 유출 수사 발표
보안업체 이스트소프트가 SK컴즈 해킹도구'충격'
3
중국
4
'스마트폰 도청 및 해킹, 순식간에…'
5
Ubiquitous ComputingUSN
사물통신SmartGrid
SCADASupervisory Control And
Data Acquisition
Smart MobileMobile OfficeSmart Work
6
무선 구간 증가◦ 유선 구간에 비해 도청 용이◦ 취약할 수 있는 지점 증가
중요 정보의 유통 증가◦ 스마트 오피스◦ 클라우드 컴퓨팅
기반 시설의 네트워크화◦ SCADA
스마트 디바이스의 증가◦ 스마트폰, 스마트패드 등 다기능 디바이스⇒ 해킹 가능성 증가
7
보안기술과 암호기술◦ 보안기술 수명주기가 짧다 공격과 방어의 연속 zero-day attack
◦ 암호기술 수명주기가 길다 근본적인 해결책
어떤 기술을 적용할 것인가? 어떻게 적용할 것인가?◦ 요소기술의 단순 조합?◦ 전체적, 종합적 안전성 제공 필요◦ 안전성, 효율성(비용) Trade-Off
8
인증기관
UpdateFile
UpdateFile
UpdateFile
해킹파일 변조
UpdateFile
다운로드
해킹DB 유출
개인정보도청
안전한 암호기술의 적용◦ 암호 분석, 해독 기술의 발전에 따른 기존 기술 취약점 발생증가 Supercom, Cloud Computing, Rainbow Table
◦ 검증된 암호기술의 적용 CF) Security by obscurity
암호기술의 안전한 적용◦ 가이드라인 개발, 보급◦ 유기적 결합을 통한 종합적 안전성 제공
암호정책◦ 기존 암호 취약성 발견에 따른 대처◦ 신기술 개발 계획 수립◦ 산학연 공동 논의를 통한 최적 Solution 개발
9
기밀성 인증
부인봉쇄무결성
도청
누가 엿듣지는 않나?
변조
누가 내용을 바꾸지는 않나?오리발
누구 말이 옳은가?
보낸적
없음 !
위조
상대방이 맞나?
10
봉인된 봉투
각종 신분증
서명
기밀성
무결성
인증
부인봉쇄
암호화(Encryption)
인증서(Certificate)
전자서명(Digital Signature)
물리적인 방법 암호학적인 방법
해쉬 / MAC
11
암호기술 개발◦ 새로운 요구사항의 등장◦ 기존 문제 해결 공개키 암호, 전자서명◦ 기존 암호기술의 취약점 발견 AES가 DES를 대체
암호기술 분석◦ Conference 등을 통한 논의, 암호기술 성숙 기간
표준화 및 보급◦ 상호운용성 확보, 공개 라이브러리 개발
12
대표적 표준암호
IBM의 설계를 기반으로 NSA 수정
1977년 미국 표준암호로 공표
DES(Data Encryption Standard)
DES의 한계가 도래하여 1998년부터 국제 암호공모사업 추진
2000년 벨기에 알고리즘 Rijndael이 AES로 선정
AES(Advanced Encryption Standard)
국내 민간암호기술 활성화를 위하여 개발
2005년 ISO 표준으로 선정
SEED
전자정부의 안전성 강화를 위하여 개발
2004년 KS 표준, 2008년 행정기관 VoIP 규격으로 선정
ARIA(국가공공기관 표준)
13
DES의 역사
1999. 01. 19
1998. 07. 03
1993.
1991.
1977.
1974.
1972.
RSA DES-III Challenge를 22시간 15분 만에 해독
RSA DES-II challenge를 56시간 만에 해독
선형 공격 (Linear Cryptanalysis) 소개
차분 공격 (Differential Cryptanalysis) 소개
Lucifer를 개선한 DES를 선정
NBS(현재의 NIST)에서 알고리즘 공모
Lucifer 개발(IBM, banking security 용)
DES Cracker(초당 900억개 키 테스트)
+Distributed Net(초당 2450억개 키 테스트)
14
AES의 역사
2011. 08.
2009. 06.
2001. 11. 26
2000. 10. 02
1999. 08. 09
1998. 08. 20
1997. 09. 12
AES 단일키 공격 발표 (“Biclique technique”)
AES-192/256 이론적인 취약성 발표 (연관키 공격)
미 연방표준으로 등재 (FIPS 197)
Rijndael (덴마크)이 최종 선정
5개의 2라운드 후보 알고리즘 선정
15개의 1라운드 후보 알고리즘 선정
Call for Algorithm (NIST)
1997
현재
15
해쉬함수란?◦ Digital Fingerprint, Message Digest◦ 디지털 정보의 고유값
적용 분야◦ 무결성 제공◦ 전자서명◦ 난수발생기, 키유도함수, 패스워드 저장 등
해쉬함수의 (가져야 할) 특성◦ 충돌저항성(Collision Resistance) 동일한 해쉬값을 갖는 두 메시지를 찾기 어려워야 함
◦ 역상저항성(Pre-image Resistance) 해쉬값의 역상을 찾기 어려워야 함
◦ 제 2 역상 저항성(Second Pre-image Resistance)
16
2007 ~ 2012
2005
2004
2001
1993
1991
1990
SHA-3 공모사업 진행 중 (NIST)
SHA-1 취약성 발표 (X. Wang)
MD4, MD5, SHA-0 취약성 발표 (X. Wang)
SHA-2 (NSA)
SHA-1 (NSA)
MD5 (R. Rivest)
MD4 (R. Rivest)
17
SHA-3 공모사업 (2007 ~ 2012)
현재 최종 라운드 진행 중
Skein Keccak Gröstl BLAKE JH
18
Fileh = hash(FILE)
Remote Storage
File
File…
h = hash(FILE)?
무결성
충돌저항성 파일 위변조 감지
19
전자서명
Signer VerifierFile
Hash
File
File
Hash
서명알고리즘
전자서명
개인키
검증알고리즘
공개키
공개키
공개키 인증서
충돌저항성부인 방지 기능
위조불가능성
20
패스워드 저장
아이디
비밀번호
gildong
828282
ID hash
gildang 0ef145b2
gildeng 145234ae
gildong f3e54bcd
gildung cdae315a
인증 서버
gildong, 828282
hash(gildong,828282) = f3e54bcd?
충돌저항성 패스워드 확인
역상저항성 패스워드 보호
서버 해킹에 대비하여 해쉬값을 저장
21
패스워드 기반 암호기술의 특성◦ 별도의 저장장치가 필요 없음(기억하기만 하면 됨)◦ 복잡도가 낮음(전수조사에 취약, 안전성 낮음) TMTO (Time-Memory Trade Off)◦ 분실대책이 필요함(별도의 인증 수단 필요)
공격◦ 전수조사 공격 가능한 모든 패스워드 시도◦ 사전(dictionary) 이용, 사전 계산(Pre-Computation) 테이블 구성 언어적 특성을 이용 Rainbow Table 등 TMTO 기법 적용
22
안전성 강화 기술◦ Stretching 복잡한 연산을 반복 적용하여전수조사 등 공격량을 증가시킴
◦ Salt 패스워드 ‘처리’시 난수값을 함께사용하여 off-line 공격에 대비
PKCS #5 (RFC 2898)에서는 N≥1000 권고
Quiz: hN가 아니라 h를 사용하는 이유?
PW, Salt
hash h1
hash h2
hash hN
...= h
(h, Salt) 저장
N회
23
충돌쌍 공격 (Collision Attack)◦ 동일한 해쉬값을 가지는 메시지 찾기◦ 생일 역설 23명이 있으면 생일이 같은 사람이 있을 확률이 ½ 이상임◦ 해쉬값의 길이가 n비트 일 때, 2n/2개의 메시지가 있으면높은 확률로 충돌쌍 존재◦ 충돌쌍 공격에 대한 안전성
해쉬함수 출력 길이 이론적 안전성 알려진 공격
MD4 128비트 264 1.2MD5 128비트 264 224
SHA-1 160비트 280 263
SHA-256 256비트 2128 -
24
충돌쌍 공격◦ Practitioners 랜덤 메시지에 대한 해쉬 충돌쌍은 의미가 없다! 보기: MD5(M1)=MD5(M2), M1, M2는 랜덤해 보이는 메시지◦ Poison Message Attack on Post Script file Daum and Lucks, Eurocrypt 2005 rump◦ 이후 PDF, Tiff, MS word 97 등에 대해서도 적용가능함이 알려짐
25
충돌쌍 공격◦ Practitioners 아직 이론적인 취약성에 불과 일부 고급 언어로 작성된 파일(.ps 등)에만 적용가능한 시나리오이며 잘 들여다보면 위조된 흔적을 찾을 수 있다!
◦ Sotirov et al., MD5 considered harmful today (2008) MD5를 사용하는 공개키 인증서 위조에 성공 Chosen Prefix Collision (2007) 기법 적용 PKI(공개키 기반구조)의 취약성으로 직결 Web site phishing 공격 가능
26
27
공개키 인증서◦ X.509 Serial Number Validity Period Issuer Name(CA) Subject Name Subject Public Key Extensions CA = True or False 등
Digital Signature<인증 체인>
* CA: Certificate Authority, 인증기관* root CA: 최상위 인증기관
공개키 인증서:공개키와 사용자 정보에 대한CA의 전자서명
서명할내용
CA가서명
28
웹사이트 인증 방식1. CA: 자신의 인증서를
browser vendor에게 배포2. Web Site: CA에게 인증서
요청, 발급 받음3. 사용자: Web site의 인증서
와 CA의 인증서를 이용하여 검증
29
공격 시나리오1. X.509 형식에 맞는 해쉬
충돌쌍 생성 Chosen Prefix Collision 위조 인증서는 CA 기능
가능하도록 생성2. CA로부터 인증서 발급 적법한 인증서임
3. 전자서명 복사 인증서 위조
4. 원하는 인증서 생성
적법한 인증서 위조 인증서
Serial serialValidity Period
IssuerValidity Period
IssuerSubject Name Subject NameCA=False CA=True
Public key
Public Key Comment
Extensions Extensions
Chosen PrefixColliding BlockIdentical Suffix
Copy & Paste
CA의 전자서명
PlayStation3 200대18시간
30
공격 시나리오
31
2004년, MD5에 대한 충돌쌍 공격 발표됨 2008년, Rapid SSL, RSA 등 6개 CA에서 공개키인증서 발급에 MD5가 사용되고 있었음
2008년 11월, Rapid SSL의 인증서 위조 성공 2008년 12월, Rapid SSL은 인증서 발급에 MD5 사용을 중지함
2011년 3월, RFC 6151◦ “Updated Security Considerations for the MD5”◦ 충돌저항성이 필요한 분야에서는 MD5 쓰지 말 것◦ MD5-HMAC 사용은 시급히 중지할 필요는 없으나 새로운 프로토콜에서는 사용하지 말 것
32
블록암호 공개키 암호전자서명
해쉬/MAC난수발생기
비밀요소 저장
사용자 인증
암호프로토콜
엔트로피소스
예측가능성Forward Security
DC, LCRelated Key…
기반문제 해독-인수분해-이산대수공개키 인증서 관리
충돌쌍 공격위조 공격
Coldbootattack
PW 전수조사지문 위조
로그 관리
탬퍼방지
부채널공격
Low Entropy
로그 위변조
다양한 암호기술 필요
패스워드,생체인식
TLS, IPsec
RSA-OAEP, PSS SHA-2,HMACAES,SEED,ARIA
보안 정책
33
가장 취약한 부분의 안전성이전체의 안전성을 결정!
34