기본 콘텐츠로 건너뛰기

Electronic signature

Electronic signature

전자 서명

전자 서명이란

전자 서명이란 메시지 인증 코드가 가지는 인증과 변조 검출 두가지 기능에 부인방지를 추가한 것이다.

메시지 인증 코드는 메시지에 MAC을 부여하므로 메시지 전송자가 키 소유자임을 증명하기 위한 구조이다.

  1. A가 메시지와 MAC 및 MAC 생성을 위해 사용한 키를 B에게 보낸다.
  2. B는 전달 받은 메시지와 키를 이용하여 MAC을 생성하고 A에게 전달 받은 MAC과 일치하는 지 확인한다.

이것으로 전송자가 A인 것과 메시지가 변조되지 않았음을 확인할 수 있다. 하지만 메시지 인증 코드는 공통 키를 사용하는 구조이므로 키를 가진 누구나가 메시지 전송자가 될 수 있다.

예를 들어 A가 B에게 메시지를 전송한 후에 해당 메시지는 B가 임의로 작성한 것이라 주장할 수 있다. 또한 공통 키를 사용하므로 A가 B 이외의 사람에게 메시지를 보내기 위해서는 다른 키를 준비해야하는 문제가 있다.

전자 서명 구조에서는 MAC이 아닌 전송자만 작성할 수 있는 전자 서명이라는 데이터를 이용하여 메시지 작성자가 누구인지 식별할 수 있다. 이를 전자 서명이라 한다.

특징

부인 방지

  1. Sig라는 전자 서명은 A만 작성할 수 있다고 할 때, A가 전자 서명이 첨부된 메시지를 전송한 경우, 전송자가 A인 것이 보장된다.
  2. 메시지를 맏은 B는 전자 서명이 A의 것인지 확인할 수 있지만 동일한 전자 서명을 만들 수는 없다.

키 분배 문제

메시지 인증 코드와 달리 공통 키를 사용하지 않으므로 A는 동일 전자 서명을 사용해 불특정 다수와 통신할 수 있다. 전자 서명 작성 시 공개 키 암호 방식 순서를 응용한다.

동작 흐름

공개 키 암호 방식과 반대로 전자 서명은 비밀 키로 암호화하고 공개 키로 복호화하는 방식으로 비밀 키를 가진 A만 암호화할 수 있지만, 공개 키를 이용해서 누구나 복호화할 수 있는 암호문이 작성한다.

암호로서는 의미가 없지만, 이 암호문은 비밀 키를 가진 A가 작성한 것이라는 것이 보장된다. 이러한 A만 만들 수 있는 암호문을 서명으로 활용한다.

  1. A가 전송하고 싶은 메시지와 비밀 키, 공개 키를 준비한다. (메시지 전송 측이 비밀 키와 공개 키를 준비하는 점에서 공개 키 암호 방식과 차이가 있다.)
  2. A는 B에게 공개 키를 전달한다.
  3. A는 비밀 키를 이용하여 메시지를 암호화한다.
  4. A는 메시지와 메시지를 암호화한 데이터(서명)을 B에게 보낸다.
  5. B는 공개 키를 사용해서 암호문(서명)을 복호화한다.
  6. B는 복호화한 데이터와 메시지의 일치 여부를 확인한다.

이것으로 메시지 전송자가 A라는 것과 메시지가 변조되지 않았다는 것을 확인할 수 있다. 또한 A의 서명은 공개 키만 가진 B는 작성할 수 없으므로 부인 방지 역할도 하게 된다.

단, 공개 키 암호 방식은 암호화와 복호화 시간이 오래 걸리므로 메시지를 직접 암호화하지 않고 메시지의 해시 값을 생성하여 이를 암호화하여 서명으로 사용한다. (메시지를 전달받은 B는 메시지의 해시 값을 구한 뒤 서명을 공개 키로 복호화하여 일치 여부를 확인하게 된다.)

문제점

B는 전자 서명을 통해 전달 받은 메시지가 A가 전송했다고 믿고 있지만 실제로는 A로 위장한 X와 데이터를 주고 받을 가능성이 있다.

문제는 공개 키가 누구의 것인지 보장할 수 없다는 것에 있다.

해결책

  • 전자 인증서
  • 공개 키에 작성자의 정보를 첨부한 것을 인증서로 사용한다.
라벨:

이 블로그의 인기 게시물

Remove-Server-Header

응답 메시지 내 서버 버전 정보 제거 1. Apache 1) 조치 방법 “/etc/htpd/conf/httpd.conf” 파일 안에서 1. ServerTokens OS → ServerTokens Prod 2. ServerSignature On → ServerSignature Off 로 변경한 후 아파치를 재시작하면 헤더 값의 아파치 버전 정보 및 OS 정보를 제거할 수 있다. 2) 참고 URL http://zetawiki.com/wiki/CentOS_ 아파치_보안권장설정_ServerTokens_Prod,_ServerSignature_Off 2. IIS 1) 조치 방법 IIS 6.0 urlscan_setup 실행. 설치. \windows\system32\inetsrv\urlscan\urlscan.ini 파일을 열어 다음 수정(RemoveServerHeader=0 을 RemoveServerHeader=1 로 변경) 서비스에서 IIS Admin Service 재시작. IIS 7.0 IIS 관리자를 열고 관리하려는 수준으로 이동합니다. 기능 보기에서 HTTP 응답 헤더를 두 번 클릭합니다. HTTP 응답 헤더 페이지에서 제거할 헤더를 선택합니다. 작업 창에서 제거를 클릭하고 예를 클릭합니다. 2) 참고 URL IIS 6.0 : http://gonnie.tistory.com/entry/iis6- 응답헤더-감추기 IIS 7.0 : https://technet.microsoft.com/ko-kr/library/cc733102(v=ws.10).aspx 3. jetty 1) 조치 방법 “jetty.xml” 파일에서 jetty.send.server.version=false 설정 2) 참고 URL http://attenuated-perspicacity.blogspot.kr/2009/09/jetty-61x-hardening.html 4. Nginx
자세한 내용 보기

X-Frame-Options-Test

X-Frame-Options 테스트하기 X-Frame-Options 페이지 구성 시 삽입된 프레임의 출처를 검증하여 허용하지 않는 페이지 URL일 경우 해당 프레임을 포함하지 않는 확장 응답 헤더이다. 보안 목적으로 사용되는 확장 헤더로 아직 적용되지 않은 사이트들이 많지만 앞으로 점차 적용될 것으로 보인다. X-Frame OptionsDENY, SAMEORIGIN, ALLOW-FROM 옵션을 이용하여 세부 정책을 설정한다. 옵션 설명 DENY Frame 비허용 SAMEORIGIN 동일한 ORIGIN에 해당하는 Frame만 허용 ALLOW-FROM 지정된 ORIGIN에 해당하는 Frame만 허용 크롬 4.1 , IE 8 , 오페라 10.5 , 사파리 4.0 , 파이어폭스 3.6.9 이상에서는 DENY , SAMEORIGIN 이 적용되며, ALLOW-FROM 은 각 브라우저 마다 지원 현황이 다르다. https://developer.mozilla.org/ko/docs/Web/HTTP/Headers/X-Frame-Options 해당 확장헤더는 브라우저에서 처리하는 응답 헤더이므로 미지원 브라우저 사용 시 설정과 무관하게 페이지 내 포함된 모든 Frame을 출력한다. (검증 테스트: Opera 5.0.0) 테스트 코드 DENY <!DOCTYPE html> < html lang = "en" > < head > < meta http-equiv = "X-Frame-Options" content = "deny" /> < title > Deny option Test </ title > </ head > < bod
자세한 내용 보기

데일 카네기 인간관계론 정리

자세한 내용 보기