김우환

3.4 DDoS

<3.4 DDoS 전체 개략도>

7.7 DDoS 대란의 업그레이드판

2

SK컴즈 해킹, 최고 해커 개입

3500만명 개인정보 中으로 유출…경찰, 개인정보 유출 수사 발표

보안업체 이스트소프트가 SK컴즈 해킹도구'충격'

3

중국

4

'스마트폰 도청 및 해킹, 순식간에…'

5

Ubiquitous ComputingUSN

사물통신SmartGrid

SCADASupervisory Control And

Data Acquisition

Smart MobileMobile OfficeSmart Work

6

무선 구간 증가◦ 유선 구간에 비해 도청 용이◦ 취약할 수 있는 지점 증가

중요 정보의 유통 증가◦ 스마트 오피스◦ 클라우드 컴퓨팅

기반 시설의 네트워크화◦ SCADA

스마트 디바이스의 증가◦ 스마트폰, 스마트패드 등 다기능 디바이스⇒ 해킹 가능성 증가

7

보안기술과 암호기술◦ 보안기술 수명주기가 짧다 공격과 방어의 연속 zero-day attack

◦ 암호기술 수명주기가 길다 근본적인 해결책

어떤 기술을 적용할 것인가? 어떻게 적용할 것인가?◦ 요소기술의 단순 조합?◦ 전체적, 종합적 안전성 제공 필요◦ 안전성, 효율성(비용) Trade-Off

8

인증기관

UpdateFile

UpdateFile

UpdateFile

해킹파일 변조

UpdateFile

다운로드

해킹DB 유출

개인정보도청

안전한 암호기술의 적용◦ 암호 분석, 해독 기술의 발전에 따른 기존 기술 취약점 발생증가 Supercom, Cloud Computing, Rainbow Table

◦ 검증된 암호기술의 적용 CF) Security by obscurity

암호기술의 안전한 적용◦ 가이드라인 개발, 보급◦ 유기적 결합을 통한 종합적 안전성 제공

암호정책◦ 기존 암호 취약성 발견에 따른 대처◦ 신기술 개발 계획 수립◦ 산학연 공동 논의를 통한 최적 Solution 개발

9

기밀성 인증

부인봉쇄무결성

도청

누가 엿듣지는 않나?

변조

누가 내용을 바꾸지는 않나?오리발

누구 말이 옳은가?

보낸적

없음 !

위조

상대방이 맞나?

10

봉인된 봉투

각종 신분증

서명

기밀성

무결성

인증

부인봉쇄

암호화(Encryption)

인증서(Certificate)

전자서명(Digital Signature)

물리적인 방법 암호학적인 방법

해쉬 / MAC

11

암호기술 개발◦ 새로운 요구사항의 등장◦ 기존 문제 해결 공개키 암호, 전자서명◦ 기존 암호기술의 취약점 발견 AES가 DES를 대체

암호기술 분석◦ Conference 등을 통한 논의, 암호기술 성숙 기간

표준화 및 보급◦ 상호운용성 확보, 공개 라이브러리 개발

12

대표적 표준암호

IBM의 설계를 기반으로 NSA 수정

1977년 미국 표준암호로 공표

DES(Data Encryption Standard)

DES의 한계가 도래하여 1998년부터 국제 암호공모사업 추진

2000년 벨기에 알고리즘 Rijndael이 AES로 선정

AES(Advanced Encryption Standard)

국내 민간암호기술 활성화를 위하여 개발

2005년 ISO 표준으로 선정

SEED

전자정부의 안전성 강화를 위하여 개발

2004년 KS 표준, 2008년 행정기관 VoIP 규격으로 선정

ARIA(국가공공기관 표준)

13

DES의 역사

1999. 01. 19

1998. 07. 03

1993.

1991.

1977.

1974.

1972.

RSA DES-III Challenge를 22시간 15분 만에 해독

RSA DES-II challenge를 56시간 만에 해독

선형 공격 (Linear Cryptanalysis) 소개

차분 공격 (Differential Cryptanalysis) 소개

Lucifer를 개선한 DES를 선정

NBS(현재의 NIST)에서 알고리즘 공모

Lucifer 개발(IBM, banking security 용)

DES Cracker(초당 900억개 키 테스트)

+Distributed Net(초당 2450억개 키 테스트)

14

AES의 역사

2011. 08.

2009. 06.

2001. 11. 26

2000. 10. 02

1999. 08. 09

1998. 08. 20

1997. 09. 12

AES 단일키 공격 발표 (“Biclique technique”)

AES-192/256 이론적인 취약성 발표 (연관키 공격)

미 연방표준으로 등재 (FIPS 197)

Rijndael (덴마크)이 최종 선정

5개의 2라운드 후보 알고리즘 선정

15개의 1라운드 후보 알고리즘 선정

Call for Algorithm (NIST)

1997

현재

15

해쉬함수란?◦ Digital Fingerprint, Message Digest◦ 디지털 정보의 고유값

적용 분야◦ 무결성 제공◦ 전자서명◦ 난수발생기, 키유도함수, 패스워드 저장 등

해쉬함수의 (가져야 할) 특성◦ 충돌저항성(Collision Resistance) 동일한 해쉬값을 갖는 두 메시지를 찾기 어려워야 함

◦ 역상저항성(Pre-image Resistance) 해쉬값의 역상을 찾기 어려워야 함

◦ 제 2 역상 저항성(Second Pre-image Resistance)

16

2007 ~ 2012

2005

2004

2001

1993

1991

1990

SHA-3 공모사업 진행 중 (NIST)

SHA-1 취약성 발표 (X. Wang)

MD4, MD5, SHA-0 취약성 발표 (X. Wang)

SHA-2 (NSA)

SHA-1 (NSA)

MD5 (R. Rivest)

MD4 (R. Rivest)

17

SHA-3 공모사업 (2007 ~ 2012)

현재 최종 라운드 진행 중

Skein Keccak Gröstl BLAKE JH

18

Fileh = hash(FILE)

Remote Storage

File

File…

h = hash(FILE)?

무결성

충돌저항성 파일 위변조 감지

19

전자서명

Signer VerifierFile

Hash

File

File

Hash

서명알고리즘

전자서명

개인키

검증알고리즘

공개키

공개키

공개키 인증서

충돌저항성부인 방지 기능

위조불가능성

20

패스워드 저장

아이디

비밀번호

gildong

828282

ID hash

gildang 0ef145b2

gildeng 145234ae

gildong f3e54bcd

gildung cdae315a

인증 서버

gildong, 828282

hash(gildong,828282) = f3e54bcd?

충돌저항성 패스워드 확인

역상저항성 패스워드 보호

서버 해킹에 대비하여 해쉬값을 저장

21

패스워드 기반 암호기술의 특성◦ 별도의 저장장치가 필요 없음(기억하기만 하면 됨)◦ 복잡도가 낮음(전수조사에 취약, 안전성 낮음) TMTO (Time-Memory Trade Off)◦ 분실대책이 필요함(별도의 인증 수단 필요)

공격◦ 전수조사 공격 가능한 모든 패스워드 시도◦ 사전(dictionary) 이용, 사전 계산(Pre-Computation) 테이블 구성 언어적 특성을 이용 Rainbow Table 등 TMTO 기법 적용

22

안전성 강화 기술◦ Stretching 복잡한 연산을 반복 적용하여전수조사 등 공격량을 증가시킴

◦ Salt 패스워드 ‘처리’시 난수값을 함께사용하여 off-line 공격에 대비

PKCS #5 (RFC 2898)에서는 N≥1000 권고

Quiz: hN가 아니라 h를 사용하는 이유?

PW, Salt

hash h1

hash h2

hash hN

...= h

(h, Salt) 저장

N회

23

충돌쌍 공격 (Collision Attack)◦ 동일한 해쉬값을 가지는 메시지 찾기◦ 생일 역설 23명이 있으면 생일이 같은 사람이 있을 확률이 ½ 이상임◦ 해쉬값의 길이가 n비트 일 때, 2n/2개의 메시지가 있으면높은 확률로 충돌쌍 존재◦ 충돌쌍 공격에 대한 안전성

해쉬함수 출력 길이 이론적 안전성 알려진 공격

MD4 128비트 264 1.2MD5 128비트 264 224

SHA-1 160비트 280 263

SHA-256 256비트 2128 -

24

충돌쌍 공격◦ Practitioners 랜덤 메시지에 대한 해쉬 충돌쌍은 의미가 없다! 보기: MD5(M1)=MD5(M2), M1, M2는 랜덤해 보이는 메시지◦ Poison Message Attack on Post Script file Daum and Lucks, Eurocrypt 2005 rump◦ 이후 PDF, Tiff, MS word 97 등에 대해서도 적용가능함이 알려짐

25

충돌쌍 공격◦ Practitioners 아직 이론적인 취약성에 불과 일부 고급 언어로 작성된 파일(.ps 등)에만 적용가능한 시나리오이며 잘 들여다보면 위조된 흔적을 찾을 수 있다!

◦ Sotirov et al., MD5 considered harmful today (2008) MD5를 사용하는 공개키 인증서 위조에 성공 Chosen Prefix Collision (2007) 기법 적용 PKI(공개키 기반구조)의 취약성으로 직결 Web site phishing 공격 가능

26

27

공개키 인증서◦ X.509 Serial Number Validity Period Issuer Name(CA) Subject Name Subject Public Key Extensions CA = True or False 등

Digital Signature<인증 체인>

* CA: Certificate Authority, 인증기관* root CA: 최상위 인증기관

공개키 인증서:공개키와 사용자 정보에 대한CA의 전자서명

서명할내용

CA가서명

28

웹사이트 인증 방식1. CA: 자신의 인증서를

browser vendor에게 배포2. Web Site: CA에게 인증서

요청, 발급 받음3. 사용자: Web site의 인증서

와 CA의 인증서를 이용하여 검증

29

공격 시나리오1. X.509 형식에 맞는 해쉬

충돌쌍 생성 Chosen Prefix Collision 위조 인증서는 CA 기능

가능하도록 생성2. CA로부터 인증서 발급 적법한 인증서임

3. 전자서명 복사 인증서 위조

4. 원하는 인증서 생성

적법한 인증서 위조 인증서

Serial serialValidity Period

IssuerValidity Period

IssuerSubject Name Subject NameCA=False CA=True

Public key

Public Key Comment

Extensions Extensions

Chosen PrefixColliding BlockIdentical Suffix

Copy & Paste

CA의 전자서명

PlayStation3 200대18시간

30

공격 시나리오

31

2004년, MD5에 대한 충돌쌍 공격 발표됨 2008년, Rapid SSL, RSA 등 6개 CA에서 공개키인증서 발급에 MD5가 사용되고 있었음

2008년 11월, Rapid SSL의 인증서 위조 성공 2008년 12월, Rapid SSL은 인증서 발급에 MD5 사용을 중지함

2011년 3월, RFC 6151◦ “Updated Security Considerations for the MD5”◦ 충돌저항성이 필요한 분야에서는 MD5 쓰지 말 것◦ MD5-HMAC 사용은 시급히 중지할 필요는 없으나 새로운 프로토콜에서는 사용하지 말 것

32

블록암호 공개키 암호전자서명

해쉬/MAC난수발생기

비밀요소 저장

사용자 인증

암호프로토콜

엔트로피소스

예측가능성Forward Security

DC, LCRelated Key…

기반문제 해독-인수분해-이산대수공개키 인증서 관리

충돌쌍 공격위조 공격

Coldbootattack

PW 전수조사지문 위조

로그 관리

탬퍼방지

부채널공격

Low Entropy

로그 위변조

다양한 암호기술 필요

패스워드,생체인식

TLS, IPsec

RSA-OAEP, PSS SHA-2,HMACAES,SEED,ARIA

보안 정책

33

가장 취약한 부분의 안전성이전체의 안전성을 결정!

34