정보보호개요1, 암호학1

정보보호의 개요
1. 정보보호의 목표
- 기밀성 : 오직 인가된 사람/프로세스/시스템만이 알 필요성에 근거하여 시스템에 접근해야 한다는 원칙
- 무결성 : 정보의 내용이 불법적으로 생성/변경/삭제되지 않도록 보호되어야 하는 성질
- 가용성 : 정당한 사용자가 정보시스템을 필요로 할 때 지체없이 접근하여 사용할 수 있는 성질
- 인증성 : 임의 정보에 접근할 수 있는 객체의 자격이나 내용을 검증하는데 사용되는 성질 ( ex 사용자 인증, 메시지 인증 )
- 책임추적성 : 개체의 행동을 유일하게 추적하여 찾아낼 수 있어야 한다
- 부인방지 : 행위/이벤트의 발생을 증명하여 나중에 부인할 수 없도록 함
(3대 목표 : 기무가 CIA 기밀성 무결성 가용성)

 

X.800 표준
기밀성, 무결성, 가용성, 접근제어, 인증성, 부인방지

 

위협요소

기밀성 ↔ 도청, 사회공학

무결성 ↔ 논리폭탄, 백도어

가용성 ↔ DoS, DDoS

 

2. 정보보호 관리와 정보보호 대책
- 기술적 보호대책 : 정보 시스템, 통신망, 정보를 보호하기 위한 가장 기본적인 대책 (접근통제, 암호기술, 백업)
- 물리적 보호대책 : 자연재해로부터 정보시스템이 위치한 정보처리시설을 보호하기 위한 자연재해 대책 (CCTV, 카드키)
- 관리적 보호대책 : 법, 제도, 규정 등. 보안계획 수립 운영, 보안감사 시행, 정보시스템의 안전성과 신뢰성을 확보하기 위한 대책 (정책, 지침, 절차)

 

( 관리적 보호대책 > 물리적 보호대책 > 기술적 보호대책 )

 

3. 보안 목표와 관련된 공격의 분류
기밀성 (소극적 공격)
- 스누핑Snooping
- 트래픽 아날리시스Traffic analysis (트래픽 분석)

무결성
- 모디피케이션Modification (변조)
- 마스커레이딩Masquerading (가장)
- 리플레잉Replaying (재연, 재전송)
- 리퓨데이션Requdiation (부인)

가용성
- DOS 공격

 

 

4.

소극적 공격 : 시스템으로부터 정보를 획득하거나 사용하려는 시도. 자원에 영향을 끼치지 않는다 (탐지가 어려움)
적극적 공격 : 시스템 자원을 변경하거나, 시스템 작동에 영향을 미치는 공격 (탐지가 쉽다)

 

 

5. 수동적 공격과 능동적 공격의 분류

수동적 공격 : Snooping, Traffic analysis
능동적 공격 : 수동적 공격을 제외한 나머지 전부 

 

 

6. 시점별 통제Control
- 예방통제 : 사전에 위협과 취약점을 대처 (정책, 경고문, 울타리 등)
- 탐지통제 : 위협을 탐지 (IDS침입탐지시스템: 접근기반로그)
- 교정통제 : 탐지된 위협/취약점에 대처하거나 감소시킴 (BCP/DRP, 백업(트랜잭션로그))

 

7. 보안용어 정리
- 공격자 : 시스템을 공격하거나 위협하는 존재
- 공격 : 보안서비스를 회피해 보안 정책을 위반하려는 의도된 시도
- 대응 : 피해 최소화 및 대응을 위해 탐지, 보고하여 위험, 노출, 공격을 제거하거나 방지하는 행위/장비/기법
- 위험 : 특정 위협이 가져올 피해의 확률적 예상 손실 (가능성)
- 보안정책 : 중요한 시스템 자원들에 보안 서비스를 제공하기 위해 명시한 규정/업무
- 자산 : 데이터, 서비스, 처리 기능 펌웨어, 시스템 장비 설비 등 무형자산 포함
- 위협 : 보안을 침해하고 손해를 가져올 수 있는 상황이나 행위가 존재할 때의 잠재적 보안 위반
- 취약점 : 보안 정책을 위반할 수 있는 설계, 구현, 혹은 운영, 관리상의 오류 및 약점

( 위험의 3대 요소 : 취약점, 위협, 자산 / 4대 요소 : 취약점, 위협, 자산, 보안대책)

 

( 가로채기-기밀성, 가로막기-가용성, 변조-인증, 위조-무결성&인증 )

(변조 : 송신자가 보낸 데이터를 조작함.
 위조 : 송신자가 보낸 이력과 관련없이 데이터를 조작하여 보냄)

 

 

키워드 정리

기밀성 - 인가된 / 도청, 사회공학 / 스누핑, 트래픽분석 / 소극적 / 접근통제, 암호화
무결성 - 변조위조 / 논리폭탄, 바이러스 / 변경, 가장, 재연, 부인 (변가재부) / 적극적, 접근통제, 메시지/사용자 인증 / 해시함수
가용성 - 정당한 사용자, 지체없이 사용 / DOS, DDOS / 적극적 / 백업, 중복성 유지 / BCP/DRP

 

( BCP 업무 연속성 계획

DRP 재해 복구 계획

메시지 인증 : MAC

사용자 인증 : PKI

SSL : 응용 계층의 서비스를 제공하는 프로토콜인데, 암호화 전송으로 기밀성, 무결성 보장. 단, 부인방지X )

 

 

정보보호의 개요 1 END --

 

 

암호기법의 분류

 ● 치환암호(대치암호) : 비트/문자/문자의 블록을 다른 비트/문자/블록으로 대체
 ○ 전치암호 : 비트/문자/블록이 원래 의미를 감추도록 재배열
◆ 블록 암호 : 특정 비트 수의 집합을 한 번에 처리하는 암호 알고리즘
◇ 스트림 암호 : 한번에 1비트 or 1바이트의 스트림(데이터 흐름)을 순차적으로 처리하는 암호 알고리즘 
 ■ 링크 암호화 : 모든 정보는 암호화되고, 라우터, 중계장비가 패킷의 목적지를 알아야 하므로 각 홉에서 복호화됨
 □ 종단간 암호화 : 헤더와 트레일러가 암호화되지 않으므로 각 홉에서 복호화할 필요 없음
▲ 하드웨어 암호 : 컴퓨터와 통신기기의 내부버스와 외부 인터페이스에 전용 암호처리용 하드웨어를 설치해 암호화
△ 소프트웨어 암호 : 암호처리용 소프트웨어를 사용한 암호화

 

원본이 2x10=20이라면           치환 (대체) vs 전치 (위치 변경) ＠x☆=＊※ (평문문자=암호문문자) vs 20x1=02 (평문문자 ≠ 암호문문자)

 

( 엔트로피 : 시스템에서 사용되는 비밀키의 무작위성 정도. 증가되면 암호화된 데이터 복호화가 어려워진다. )

 

스트림 암호 (XOR 연산)
- 평문 XOR 키 = 암호문
- 암호문 XOR 키 = 평문

( XOR 연산 ?
 0 XOR 0 = 0
 0 XOR 1 = 1
 1 XOR 0 = 1
 1 XOR 1 = 0 )

 

 

스트림암호와 블록암호

스트림암호	속도빠름, 에러전파X	낮은확산	LFSR, FSR	비트 단위	음성, 스트리밍
블록암호	높은확산	속도느림, 에러전파O	DES, SEED	블록 단위	일반 데이터

 

+ 암호문이 키스트림을 만드는데 영향을 준다 = 비동기식(종속적)

+ 암호문과 키스트림은 별개이다 = 동기식(독립적)

+ 확산 : 높을수록 통계적성질을 퍼뜨려 숨기며 알고리즘 패턴을 추출하기 어렵게 만든다

 

 

링크 암호화와 종단간 암호화

링크 암호화	ISP나 통신업자가 암호화 전체 암호화 알고리즘 통제X	트래픽 분석이 어려움 (보안↑) 온라인 암호화 운영 간단	중간노드에서 복호화됨 다양한 서비스 제공에 한계 네트워크 비용 과다 키관리 어려움
종단간 암호화	사용자가 암호화 헤더정보는 평문 알고리즘 통제O	높은 수준의 보안 서비스 중간노드에서도 암호화상태 키관리 용이	트래픽 분석이 쉬운 취약점 오프라인 암호화

링크:    암호화→복호화/암호화→복호화/암호화→복호화
종단간: 암호화→           유           →          지     →복호화

+ 링크 암호화는 중계지에서만 복호화되므로 중계지 정보를 알 수 없어 트래픽 분석이 어렵다

+ 종단간 암호화는 중계지 정보(헤더)가 평문이므로 트래픽 분석이 쉽다 (내용은 볼 수 없음)

 

스테가노그래피	메시지 은닉	트래킹X	불법예방-하	저작권증명-하	쉽게 파괴됨 (연성)
워터마크	판매자 저작권 표시	트래킹O	불법예방-중	저작권증명-중	쉽게 파괴X (강성)
핑거프린트	구매자 추적	트래킹O	불법예방-상	저작권증명-상	쉽게 파괴X (강성)

 

 

DRM 구성요소

- 메타데이터 : 콘텐츠 생명주기 범위 내에서 관리되어야 할 각종 데이터 구조 및 정보
- 패키지 : 보호 대상 컨텐츠를 메타데이터와 함께 패키징하는 모듈
- 시큐어 컨테이너 : 콘텐츠의 배포 단위
- 식별자 : 콘텐츠 식별자
- DRM 제어기 : 이용자의 PC나 디바이스에서 라이선스에 명시된 범위 내에서 보호될 수 있도록 프로세스 제어
- 클리어링 하우스 : 소비자에게 디지털 허가를 발급하고, 제공자에게 로열티 수수료를 지불하고, 배급자에게 배급 수수료를 지불하는 재정적 거래 담당

 

 

암호분석의 분류
1. 암호문 단독 공격COA : 암호문 C만 갖고 평문 P나 키K를 찾아내는 방법 (통계적 성질, 문장 특성 활용)
- 해독자에게 가장 불리한 방법

2. 기지(알려진) 평문 공격KPA : 암호문 C와 평문P의 관계로부터 키K나 평문P를 추정하는 방법
- 암호문에 대응되는 일부 평문을 알고 있는 상태에서 사용

3. 선택 평문 공격CPA : 평문P를 선택해 해당하는 암호문C를 만들어 키K나 평문P를 추정하는 방법 (암호기에 접근)
- 평문을 선택해 대응하는 암호문을 얻을 수 있는 상황에서 사용

4. 선택 암호문 공격CCA : 암호문C에 대한 평문P를 얻어 해독하는 방법 (복호기에 접근)
- 암호문을 선택해 대응하는 평문을 얻을 수 있는 상황에서 사용

 

(암호문C, 평문공격은 중간에 P, 선택C)

 

암호기술 평가
- 암호 알고리즘 평가 : 알고리즘 안정성
- 암호 모듈 평가 : 알고리즘과 별도로 암호모듈의 안전성
- 정보보호제품 평가 : 모듈을 탑재한 제품에 대한 안정성
- 응용시스템 평가 : 각 제품을 상호연동한 시스템 안정성 평가

 

 

 

* 암호학의 전체 틀은 암기가 필요하다

양방향 (복호화O)
- 대칭키 ┌ 스트림Stream 방식┌  동기식 : 키스트림 독립적
 (키동일) │         XOR연산         └  비동기식 : 키스트림 종속적
              │
              └ 블록Block 방식┌ 파이스텔Feistel : DES, SEED (암호화=복호화)
                        블록단위     └ SPN : ARIA (암호화≠복호화)
- 비대칭키 RSA, SHA-1 등 (무결성)
   (키 다름)
일방향 (복호화X)
- 해시함수┌  MDC 해시 (무결성)
                ├  MAC 해시+대칭키 (무결성, 인증)
                └  전자서명 해시+비대칭키 (무결성, 인증, 부인방지)

 

 

 

 Q. 기술적 보호대책은 법, 제도, 규정등을 통해 정보를 보호하기 위한 가장 기본적인 대책으로 접근통제, 암호기술 등이 있다 ( O / X )
A. X. 법, 제도, 규정등은 관리적 보호대책의 예시이다.