[정보보안] 정보보안기사 필기 Part4. 정보보호일반

정보보안기사 Part4.hwp

0.07MB

정보보안기사 Part4_pdf.pdf

0.16MB

정보보안기사 Part4. 정보보호 일반

정보보호목표

기밀성(Confiedentiality): 인가된 사용자만이 정보에 접근할 수 있음.

비인가 사용자에게 정보가 노출되지 않음 (보안등급 설정)

무결성(Integrity): 인가된 사용자만이 권한에 따라 정보를 변경할 수 있음.

비인가 사용자의 정보 변경을 금지함. (해시함수)

가용성(Availablity): 인가된 사용자가 시스템 자원을 필요로할 때 접근 가능함 (RAID, DRS-Mirror)

 

정보보호 공격유형

변조(Modification): 원래의 데이터를 조작, 소스프로그램 변경 후 악성코드 실행, 특정 URL 접속 ( Redirection >> )

가로채기(Interception): 네트워크상에서 전송되는 데이터를 복사, 열람하는 공격으로 수동적공격 ( Sniffing )

차단(Interruption): 정상적인 서비스를 방해하는 행위 ( Dos, 프로세스 자원 고갈 공격 )

위조(Fabrication): 송신되는 메시지를 볁조하여 사용자를 속임

 

정보보호 대책

구체성분류

① 일반통제: 소프트웨어 생명주기에 대한 통제 ( 직무분리, 시스템 개발, 논리/물리적보안, 하드웨어통제, 비상계획 수립 )

② 응용통제: 트랜잭션, 데이터 무결성 확보를 위한 통제 ( 입력, 처리, 출력 통제 )

 

통제시점분류

① 예방통제: 능동적인 통제로 문제점을 사전에 식별하여 통제 수행

물리적 접근통제- 승인받지 못한 사용자의 정보시스템 접근을 금지

논리적 접근통제- 인증받지 못한 사용자의 정보시스템 접근 금지 ( 담장, 자물쇠, 보안 경비원 , 직무분리 )

② 탐지통제: 발생한 사건(위협)을 식별하는 통제 ( CCTV, 보안 감사, 감사로그, 침입탐지, 경보 )

③ 교정통제: 발생한 사건을 교정 탐지된 위협과 취약점에 대응 ( 백신 소프트웨어 )

 

사용자인증 방식 및 원리

① 지식기반인증 (Something you know : Password)

- 패스워드 공격 기법: 무차별공격 （BruteForce Attack, John the Ripper, hydra), 사전공격 (Dictionary Attack), 트로이목마, 사회공학, 스니핑

② 소유기반인증 (Something you have : 스마트카드, OTP)

③ 존재(생체)기반인증 (Something you are : 손바닥, 손, 홍채, 망막, 지문)

존재기반 : 생채특성, 지문, 얼굴, 홍채

생채인증 특징 : 보편성, 유일성, 지속성, 성능, 수용성(거부감이 없어야함), 저항성(위조 불가능)

생채인증 평가항목 : FRR(False Reject Rate, Type 1 Error): 잘못된 거부율

FAR(False Acceptance Rate, Type 2 Error): 잘못된 승인률

④ 행동기반 인증 (개인의 고유한 행동적 특성을 사용해 인증하는 기술: 서명, 키스트로크, 마우스 움직임, 걸음걸이, 모바일 패턴)

 

커버로스 인증

- 중앙집중형 사용자 인증 프로토콜 (RFC1510)

- 대칭키 암호화 기법을 기반으로하는 티켓기반 인증 프로토콜

- 윈도우서버 운영체제의 기본 인증프로토콜

커버로스 구성요소

KDC(Key Distribution Center): TGS+AS / 사용자와 서비스 암호화키 유지, 인증서비스 제공, 세션키 생성 및 분배

AS(Authentication Service): 실질적 인증 수행

Principals: 커버로스 프로토콜을 사용하는 모든 실제

TGS(Ticket Granting Service): 티켓을 만들고 세션키, 티켓 분배

Ticket: 인증토큰

 

접근통제(Access Control)

정보접근의 단계

식별-인증-인가

식별(Identification): 사람이나 객체의 유일성을 확인하는 절차

인증(Authentication): log-on 정보를 확인하는 보안 절차

인가(Authorization): 접근 권한 유무 판별 후 접근 권한 부여

 

 

 

접근통제(Access Control): 주체에 대한 객체의 접근을 통제

비인가된 접근을 감시

객체의 기밀성, 무결성, 가용성을 보장

 

인증방식에 따른 분류

인증	내용	기반	종류
Type 1	Something you know	지식	Password, Pin
Type 2	Something you have	소유	Smart Card, OTP
Type 3	Something you are	존재	홍채, 지문 , 정맥
Type 4	Something you do	행동	음성, 서명, 패턴

 

2-Factor 인증

인증방식 2가지를 동시에 사용하는 인증 방법

 

접근통제기술

① MAC(Mandatory Access Control : 강제적 접근 통제)

오직 관리자에 의해서 권한과 자원이 할당 됨

관리자로 부터 권한을 부여 받은 목록을 Security Lable에 작성

 

② DAC(Discretionary Access Control : 임의적 접근 통제, 신분기반 )

자원에 대한 접근을 객체의 소유자가 권한을 부여 한다.

 

③ RBAC(Role Based Access Control : 역할 기반 접근통제)

관리자는 사용자에게 권리와 권한이 정의된 Role(역할)을 만들어 사용자에게 Role(역할)기반으로

권한을 할당하고 관리한다.

항목	MAC	DAC	RBAC
권한 부여자	System	Data Owner	Center Authority
접근 여부 결정 기준	Security Label (보안 등급)	신분 (identity)	역할 (Role)
장점	중앙 집중관리 안정적 시스템	유연 구현 용이	관리 용이
단점	구현 및 운영의 어려움 고비용	트로이목마 , ID 도용문제	제어정책이 제대로 반영되기 어려움
예시	방화벽 UNIX / Linux	ACL	HIPAA(보건보험)

 

접근통제 방법

① Capablity List : 주체별로 객체를 linked리스트로 연결하고 권한 할당

탐색시간이 오래걸림

② Access Control List : 주제와 객체간의 접근 권한을 테이블로 구성

사용자가 분포도가 안정적일 때 적합

 

접근통제 모델

① Bell-Lapadula

높은 등급의 정보가 낮은 레벨로 유출되는 것을 통제하는 모델 (기밀성 모델)

최초의 수학적 모델

TCSEC 근간

② Biba

주체에 의한 객체 접근의 항목 (무결성보장 모델)

No Read Down, No Write Up

③ Clark and Wilson (클락 윌슨 모델)

무결성중심의 상업용 설계, Application 보안 요구사항을 다룸

④ 만리장성 모델 (Chinese Wall = Brewer-Nash)

서로 상충 관계에 있는 객체간의 정보 접근을 통제하는 모델

기밀성중심의 상업용 설계

 

 

 

 

키분배 프로토콜

① 대칭키 암호화 (=비밀키):

암호화키와 복호화키가 동일한 암호화 기법 키교환 알고리즘 중요도 높음

- 기밀성 제공 무결성 인증 부인방지 X

- 암호화, 복호화 속도 빠름

- 대용량 Data 암호화 적합

스트림 암호 / 블록암호

구분	스트림암호 (Stream Cipher)	블록 암호(Block Cipher)
개념	Bit, 바이트 단위 암호화	Bit x n 블록단위로 암호화
방법	평문을 XOR 1Bit 단위 암호화	블록단위 치환 대칭 반복 (Feistel , SPN)
장점	실시간암호/복호화, 속도	대용량의 평문 암호화
종류	RC4, SEAL, OTP	DES, 3DES, AES, IDEA, SEED

 

② 공개키 암호화 (=비대칭키, 개인키) : 공개키로 암호화 개인키로 복호화하는 암호화 방법

인증, 서명 암호화 수행

키 배분, 공유, 키 저장문제 해결

인증, 부인방지 O

 

공개키암호화 종류

구분	특징	수학적 이론	장점	단점
Diffie Hellman	최초의 공개키 알고리즘 키 분배 전용 알고리즘	이산대수	키 분배에 최적화	인증불가 위조에 취약
RSA	대표적 공개키 알고리즘	소인수분해	Library 다양화	키 길이 증가
DSA	전자서명 알고리즘 표준	이산대수	간단한 구조	전자서명 전용 암호화, 키 교환 불가
ECC	PDA, 스마트폰 핸드폰	타원곡선	오버헤드 적음	키 테이블 필요

 

전자서명 서명과 인증

전자서명(Digital Signature): 서명자가 해당 전자문서에 서명하였음을 나타내기 위해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보

- 개인의 고유성 인증, 무결성/ 추적성 확보

전자서명 특징

① 위조불가 : 합법적 서명자(개인키 有)만이 전자서명 생성 가능

② 변경불가 : 서명한 내용을 변경 할 수 없음

③ 재사용불가 : 서명을 다른 전자문서의 서명으로 사용불가

④ 부인방지 : 서명후 서명자는 서명한 사실을 부인할 수 없음

⑤ 서명자인증 : 전자서명 서명인을 검증 가능 (서명자의 공개키)

 

메세지, 전자서명, 키교환

--------------------------송신자---------------------------

메시지 1

① Message Digest 생성 - 해쉬함수

② 전자서명 - 송신자의 개인키 (RSA)

③ 전자서명 암호화 - 송신자의 비밀키(대칭키) (DES)

 

메시지 2

④ Message - 송신자의 비밀키(대칭키) (DES)

⑤ 암호문 생성

-------------------------전자서명 완료---------------------

 

⑥ 송신자의 비밀키(대칭키) 암호화 전달 - 수신자의 공개키 (RSA)

 

--------------------------수신자---------------------------

⑦ 송신자의 비밀키 획득 (DES) - 수신자의 개인키

 

메세지 1

⑧ 전자서명 획득 - 송신자의 비밀키(대칭키) (DES)

⑨ Message Digest 획득 - 송신자의 공개키 (RSA)

사용자인증

 

메세지 2

⑩ Message 획득 - 송신자의 비밀키(대칭키) (DES)

⑪ Message Digest 획득 - 해쉬함수

메시지인증

 

⑫ 전자서명확인 -⑨,⑪Message Digest 비교

 

------------------- 인증완료------------------------------

 

송신자: 개인키 - 전자서명

공개키 - 전자서명 확인

수신자: 개인키 - 복호화

공개키 - 암호화

 

전자서명 기법의 종류

RSA	소인수분해 암호화/복호화 송신자의 개인키와 공개키 사용
EIGamal	이산대수
Schnorr	EIGamal기반 크기 축소 IC 카드 활용
DSS (Digital Signature Standard)	EIGamal기반 계산량 감소 미국 전자서명 표준 전자서명만 지원
KCDSA (Korea Certificate-based Digital Signature Algorithm)	이산대수 국내 전자서명 표준
ECC	타원곡선 짧은 키 사용 짧은 시간 내 전자서명 생성 ECDSA(Elliptic Curve Digital Signature Algorithm)

 

 

PKI(Public Key Infrastructure)

공개키 암호 방식을 바탕으로 디지털인증서를 활용하는 SW, HW, USER, 정책 및 제도 총칭

은행, 증권, 카드 보험에서 사용하는 공인인증 구조로 공인인증서(X.509, ITU-T표준)을 통해 인증받는 구조

 

PKI 기능

인증 (Authentication)	사용자에 대한 신원 확인 (공개키 인증)	인증서 X.509
기밀성 (Confidentiality)	송/수신정보 암호화	암호/복호 화 AES, SEED, 3DES
무결성 (Integrity)	송/수신정보 위조불가 보장	해시함수 SHA, MD5
부인봉쇄 (Non-Repudiation)	송/수신자 송수신 사실 부인 불가	전자서명
접근 제어 (Access Control)	허가된 수신자만 정보 접근	DAC, MAC, RBAC
키 관리 (Key Management)	공개키 생성, 등록, 분배, 폐지, 관리	CA

 

PKI 구성

인증관련기관

① 인증기관(CA :Certification Authority): 인증정책 수립, 인증서 관리

② 등록기관(RA :Registration Authority): 신원확인, CA인증서 발급요청

인증서 암호/키 관리

③ CRL(Certificate Revocation List): 인증서 폐기 목록

④ Directory : 인증서, 암호키 저장 및 관리 (X.500, LDAP)

인증도구

⑤ X.509: CA 발행하는 인증서 기반 공개키 인증서 표준 포맷 (사용자신원 + 키정보)

⑥ 암호키 : 개인키,공개키

 

X.509 인증서 내용

인증서버전, 인증서 고유번호, 발급자의 서명, 발급자 정보

인증서 유효기간, 주체 정보, 공개키, 주체키

 

암호학(Cryptology)

암호화기법

① 치환(Substitution): 혼돈 ,문자열을 다른 문자열로 이동하면서 교체

A-C B-D C-E

② 전치,순열(Transposition, Permutation): 확산, 문자의 순서를 바꿈

A-C B-E D-A

③ 대칭키(비밀키) 암호화: 송/수신자의 키가 동일

④ 공개키 암호화: 개인키(사설키), 공개키

⑤ 양자암호: 양자역학의 원리를 이용한 암호화 방식

 

정보이론(Claud Shannon- Infomation Theory):

혼돈(chaos): 암호문과 평문과의 상관관계를 숨김 (대치)

확산(diffusion): 통계적 성질을 암호문 전반에 퍼뜨려 숨김 (전치, 순열)

 

대칭키 암호화

⑴ 스트림암호화 기법(RC4, SEAL, OTP):

비트/바이트 단위로 암호화 수행

고속암호화, 하드웨어 구현용이

wifi, OTP

 

⑵ 블록암호화 기법(DES, 3DES, AES):

고정된 길이의 입력 블록 - 고정된길이 출력블록 변환하는 알고리즘

Feistel(역추적가능), SPN(역추적 불가능)구조

① ECB(Electronic Code Book): 가장 단순한 모드 블록을 순차적으로 암호화 (독립적)

② CBC(Cipher Block Chain): 블록 / IV(Initialization Vector) XOR 연산 (독립적)

③ CFB(Cipher FeedBack): 암호화 IV / 블록 XOR 연산 (연쇄적)

④ OFB(Output Feedback): IV 암호화 - (블록2전송) XOR 블록1 연산 (연쇄적) 영상데이터, 음성데이터

⑤ CTR(CounTer): 블록 / 키스트림 XOR 암호화시 1증가하는 카운터 암호화

 

블록암호화 알고리즘

① DES(Data Encryption Standard): Feistel

대칭키 암호화 알고리즘으로 미국/국제표준 알고리즘

입력:64Bit 출력:64Bit 치환암호+전치암호(혼합암호)

*현재는 128Bit이상 사용

 

② IDEA(International Data Encryption Algorithm): SPN

스위스에서 개발한 대칭키 암호화 알고리즘

입력:128Bit 출력:64Bit

전자우편 PGP방식에 사용

HW/SW 구현 용이

DES 2배 빠른속도

 

③ RC5(Ron&s Code 5):

DES 10배 빠른속도

32/64/128Bit

 

④ AES(Advanced Encryption Standard): SPN

NIST(미국국립표준연구소) 표준 알고리즘

크기제한 없음

128/192/256Bit

 

⑤ SEED: Feistel

KISA/ETRI 대칭키 블록 암/복호화 알고리즘

128Bit

 

 

 

 

 

암호분석 방법의 종류

① 암호문 단독 공격 (COA : Ciphertext only Attack):

암호문만으로 공격 , 통계적 성질/문장특성 추정

 

② 알려진 평문 공격 (KPA : Known Plaintext Attack):

암호문에 대응하는 일부 평문 가용

 

③ 선택 평문 공격 (CPA : Chosen Plaintext Attack):

평문 선택시 대응되는 암호문을 얻을 수 있는 상태에서의 공격

 

④ 선택 암호문 공격 (CCA : Chosen Ciphertext Attack):

암호문 선택시 대응되는 평문을 얻을수 있는 상태에서의 공격

 

비대칭키암호화

① 디피헬먼(Diffie-Hellman):

최초의 공개키 암호화 알고리즘

IPSEC IKE 키교환 알고리즘

중간자 공격에 취약

 

② RSA(Rivest, Shamir, Adelman):

공개키 암호화방식의 산업표준

소인수분해

전자서명

 

해시(Hash)함수 (MD5, SHA-256, LSH):

복호화가 불가능한 일방향 암호기술

무결성만 지원

 

해시함수 조건

① 압축: x 길이 평문을 고정된 길이의 출력값으로 변환

② 일방향 (One Way Function, 선이미지 회피성): 역방향 계산 불가능

③ 효율성: 해시값 계산에 시간이 많이 소요되지 않아야 함

④ 충돌회피 (Collision free, 강한 충돌회피성): h(M1)=h(M2) M1,M2 계산불가능

⑤ 2차 선이미지 회피성 (약한 충돌회피성): h(M1) = h(M2) M1!= M2 계산불가능