필수기출1200 ~ 203

104.
DSS
- DSA를 사용하고, 슈노어 + 엘가말 알고리즘 기반
- 서명 생성이나 암호키 생성은 SHA-1 이용
- 전자서명 관련 대표적인 표준

105.
- 스트림 암호 : A5
- 전자서명 : DSA, KCDSA, ECDSA

106.
ECDSA : 키 길이가 짧지만 높은 안전성 제공
ElGamal : 이산대수, 기밀성x
DSA : ElGamal과 유사하지만 소요 계산량이 줄어듬
Schnorr : 이산대수, p-1인 소수의 p와 q

107.
은닉서명
- 자신의 메시지를 보여주지 않고 서명을 받는 방법. 프라이버시 보호. 전자화폐, 전자투표.

108.
은닉서명
- 제공자의 신원과 (메시지, 서명) 쌍을 연결시킬 수 없는 특성.

109.
전자서명
- 서명문의 변경불가 (*위조 불가가 아님!)
- 은닉서명 : 서명자가 서명문 내용을 알지 못하는 상태에서 서명

110.
PKI
- 인증서 발급, 사용 및 취소와 관련된 서비스
- 기밀성, 무결성, 접근제어, 인증, 부인방지

111.
공개키 기반 구조 CA
- 인증서 소지자 신원 증명
- 인증서 작성, 발행
- 인증서 폐지, CRL 작성

112.
자신의 도메인 내 사용자와 인증기관들이 준수해야 하는 정책을 수립한다.
인증기관의 공개키를 인증하고 인증서, 인증서 취소목록 등을 관리하는 기관
=> 정책인증기관PCA

+ 정책승인기관PAA : PKI 전반에 사용되는 정책과 절차 생성, PKI 구축의 루트 CA 역할

113.
PKI 구성요소
- 인증기관CA에 정책승인기관PAA이 PKI 정책과 절차를 생성
- 인증기관CA에 정책인증기관PCA가 인증서, 인증서 폐지 목록을 등록하여 관리
- 등록기관RA : 인증기관과 멀리 떨어진 사용자들을 위해 인증기관과 사용자 사이에 등록기관을 두어 대리로 사용자들의 인증서 신청시 그들의 신분, 소속을 확인함
- 사용자는 전자서명을 생성하고 검증한다
- 디렉터리 관리 서버는 LDAP를 이용해 X.500 디렉터리 서비스 제공

114.
PKI 구성요소
- 등록기관 : 사용자 신분 확인
- 인증기관 : 인증서 발행
- 사용자들은 공개 디렉터리에 접근해 다른 사용자의 공개키를 얻는다
- 유효기간이 지나지 않아도 특별한 사유가 있으면 인증서를 폐지할 수 있다
- 인증서 폐지 목록은 인증기관이 전자서명을 하여 발행

115.
전자서명 : 제3자에 대한 메시지 검증, 부인방지
인증서 : 사용자의 공개키에 대해 인증기관이 자신의 개인키로 생성

116.
전자인증서
- 사용자 공개키 + 사용자 ID + 인증기관의 서명
- 인증기관은 자신의 개인키를 사용
- 인증서 유효성 확인에는 CA의 공개키 사용

117.
X.509 기본영역
- 일련번호, 알고리즘 식별자
- 발행자, 주체, 주체 공개키 정보
- 버전, 서명, 알고리즘
- 유효 개시시간, 유효 만기시간

118.
X.509 공인 인증서의 기본 영역
- 공개키, 서명 알고리즘, 버전

+ 확장 영역 : 주체 키 식별자

 

119.
인증서 폐지 사유
- 사용자 개인키 노출, 훼손
- CA의 인증 불가 상태
- CA의 인증서 노출, 훼손

* 유효기간 만료는 폐지와 구분된다 

120.
전자서명 인증서 폐지목록CRL 기본필드
- 버전
- 서명 알고리즘 (식별자)
- 다음 발급일자(다음 CRL 발행일자)
- 현재갱신 (현재 CRL 발행일자)
- 폐지된 인증서
- 서명
- 발행자 이름
- 폐지된 인증서 순서번호

+ 폐지목록번호CRL Number는 포함되지 않는다

121.
CRL
- 인증서 폐지 : 인증서 소유자 본인 또는 인증기관의 직권
- 인증서 폐지 메커니즘은 x.509에 정의된 인증서 폐지 목록CRL로 관리
- 폐지된 인증서 목록은 디렉터리에 보관하여 공개하고 네트워크를 통해 접속하여 확인 가능

122.
공개키 기반구조
- 실시간 폐지 유무 확인 : OCSP (온라인 인증서 상태 프로토콜)

+ 델타 CRL : 마지막으로 발표한 CRL 이후 새로 취소된 인증서 목록만 발행
+ 간접 CRL : 다른 개체로부터 CRL이 발행될 수 있게 함(여러 인증기관 묶음)

123.
공개키 기반구조
- 최상위 인증기관 CA : Root CA

124.
전체 사용자가 10명인 시스템내에서 대칭키 암호를 사용하여 교환하고자 한다.
서로 다른 2명씩 대칭키를 사전에 공유한다고 가정할때 서로 다른 대칭키의 개수
=> 45      식: n(n-1)/2

125.
16비트 키를 가진 암호시스템에 대해 공격자가 키 전수조사 공격을 시행한다
초당 1024번 암호화를 시도할때 키를 찾는데 걸리는 시간은?
=> 64초

해설: 공격자는 초당 2의 10제곱번 암호화를 시도한다
16비트 키의 경우의 수는 2의 16제곱.
2의 16제곱 / 2의 10제곱 = 2의 6제곱 = 64초

126.
- 마스터키: 반복적으로 사용하는 대표키로 안전한 보관이 필요
- 세션키: 한 번만 사용하는 키로 사용종료시 폐기
- 공개키: 비대칭 암호시스템에서 전자서명용 검증키, 평문데이터 암호화용.

127.
- SSO: 한 번의 로그인만으로 각종 시스템, 서비스에 접속할 수 있게 해주는 보안 응용 솔루션
- HSM: 하드웨어 암호 장비, 보안토큰
- DRM: 디지털 콘텐츠 저작권 보호를 위해 개발된 기술

128.
소프트웨어로 구성되는 난수 생성기 : PRNG Pseudo
=> 소프트웨어만으로는 진정한 난수를 생성할 수 없으므로,
의사pseudo 난수 생성기라고 부른다

129.
인증 시스템의 구성 요소
- 식별 특성(식별), 인증 메커니즘(인증), 접근제어 메커니즘(인가)

130.
접근통제의 세 가지 중요한 요소는 식별, 인증, 인가
[식별]은 인증 서비스에 스스로를 확인시키기 위해 정보를 공급하는 주체의 활동
[인증]은 주체의 신원을 검증하기 위한 사용자 증명의 두 번째 부분
[인가]는 인증을 통해 식별된 주체의 실제 접근 가능 여부와 주체가 수행가능한 일을 결정하는 과정

131.
관리적 접근통제
- 보안 정책, 보안 절차, 직원 통제

기술적 접근통제 : 네트워크 분리

132.
물리적 접근통제
- 네트워크 분리, 경계선 보안, 데이터 백업

관리적 접근통제 : 보안 인식 훈련 

133.
소유기반 : 스마트 카드, USB 토큰, OTP
존재기반 : 홍채, 음성, 지문

134.
지식 : 사용자 ID, 패스워드
존재 : 지문, 망막, 홍채
소유 : 스마트 카드, 신분증, OTP
위치 : 사용자 IP 주소, 콜백

135.
시도/응답 : 서버가 신분증명요청을 클라이언트에 보내면, 비밀정보를 이용해 응답하여 증명
지식기반 : ID, 패스워드, 신용카드 식별번호 등을 기초로 접근제어 수행하는 사용자 인증기법

136.
OTP : 패스워드가 노출되어도 다음 패스워드를 예측하기 어렵다

137.
무작위 대입공격, 디렉토리 공격 등 패스워드 크래킹 약점을 점검하기 위한 도구
- John the Ripper, L0phtcrack, Pwdump

+ WinNuke : 청색폭탄. 처리 불가능한 과도한 양의 네트워크 대역을 넘어서는 패킷.

138.
자신의 비밀을 노출하지 않으면서 자신이 비밀을 알고 있음을 증명하는 인증방법
=> 영지식 인증

139.
OTP
- 대칭키 암호 방식 (암복호화키 동일)
- 암호화하려는 평문의 길이와 같거나 긴 길이의 임의 난수열을 키로 사용한다. 재사용X
- 키 배송 우선(키 관리의 어려움)
- 무조건 안전을 보장

140.
스마트카드
- 접촉식 스마트카드는 리더기와 접촉부CHIP 자리의 물리적 접촉에 의해 작동
- SIM 카드 : 가입자 식별 모듈을 구현한 IC 카드
- 인증 데이터 저장을 위해 서명된 정적 응용 프로그램 데이터 & 인증기관CA의 개인키로 발행자 공개키를 암호화한 데이터를 저장한다

141.
OTP 전달 방식
- OTP 토큰, 스마트폰 앱, 단문메시지

+ Email 전달은 보안상 적절하지 않다고 한다.... .. (현실적으로 쓰는데도!)

142.
OTP
- 재사용 불가, 유추 불가, 사전공격에 안전

143.
ID를 서버에 보내면 서버는 난수를 생성하여 사용자에게 전달한다
사용자는 서버에 등록된 사전 공유키를 이용해 난수를 암호화하여 서버에 전달
서버는 ID에 대응되는 사전공유키를 이용해 이를 확인
=> 챌린지-응답 방식

+ S/KEY 방식 : 해시 체인에 기반하며 역연산을 하기 어렵다는 점에 착안

144.
OTP
- S/KEY 방식 : 클라이언트에서 정한 임의의 비밀키를 서버로 전송하면,
서버는 해당 값을 첫 값으로 사용하여 해시체인방식으로 이전 해시값에 대한 해시값을 구하는 작업을 N번 반복한다
생성된 N개의 OTP를 서버에 저장하여 사용

145.
생체기반 사용자 인증
- 지문, 홍채, 장문, 음성 등
- 생체정보 리더기를 통해 사전에 등록
- 생체인식 정보는 잊어버릴 염려가 없다 (단, 훼손은 별도)

146.
행동학적 특징을 이용한 바이오인식
- 서명, 음성, 키 스트로크

147.
얼굴인식
- 특장점(눈, 코, 입) 이용
- 비접촉 인식
- 열적외선, 3D 얼굴인식, 멀티모달
- 노화, 안경, 가발, 조명 등에 영향을 크게 받는다

148.
SSO(Single Sign On)
- 하나의 아이디로 여러 사이트 이용
- 응용 서비스 로그인 시간 감소
- 중앙집중관리를 통한 효율적 관리, 보안성 향상
- 어떤 응용서비스에 접속하여 무엇을 하는지에 대한 로그정보 저장

149.
EAM
- 인트라넷, 엑스트라넷 및 일반 클라이언트/서버 환경에서 자원의 접근 인증, 이를 기반으로 한 접근권한을 부여, 관리하는 통합 인증 관리 솔루션
- SSO 기술 포함
- 시스템 접근 제어 기능 포함
- 사용자 권한을 중앙에서 모니터링, 제어

150.
커버로스Kerberos 구성요소
- 클라이언트, SSO 서버(AS+TGS=KDC), 서버 (* 사용자 없음 )

 

151.
커버로스 재전송공격 방지
- 티켓에 타임스탬프를 이용한 시간제한을 둔다

152.
커버로스 키분배 프로토콜
- Needham-Schroeder 프로토콜을 기반으로 한다

153.
온라인 열쇠 분배방법 커버로스
- 패스워드 추측 공격에 취약
- 대칭키를 이용해 사용자 인증을 제공하는 중앙 집중형 인증 방식
- 데이터의 기밀성과 무결성 보장
- 비밀키가 사용자 워크스테이션에 임시로 저장되어 유출 가능성 있음
- 비밀키 변경 필요
- 단일실패지점SPoF이 될 수 있음
- tgs & as는 물리적 공격과 악성코드 공격에 취약

154.
커버로스 프로토콜
- 무차별 대입 암호 공격방식에 취약하다
- 다중 응용 서버가 존재하는 클라/서버 환경을 고려
- 커버로스 서버는 클라가 여러 응용 서버 인증에 이용할 수 있는 티켓 발행
- 인증정보 재전송 공격 방지 메커니즘 있음 (타임스탬프)

 

155.
강제적 접근통제MAC
- 접근 규칙수가 적어 통제가 용이
- 보안관리자 주도 하에 중앙 집중적 관리
- 사용자, 데이터는 보안 취급허가를 부여받아 적용

+ DAC : 객체의 소유주가 주체와 객체간 접근통제 관계 정의

156.
강제적 접근통제
- 접근통제 모델 : BLP, Biba
- 보안레이블 부여, 주체와 객체의 보안레이블 비교

+ DAC : CL, ACL

157.
임의적 접근통제DAC
- 사용자 기반 및 ID 기반 접근통제
- 모든 개개의 주체와 객체 단위로 접근권한 설정
- 객체의 소유주가 주체와 객체간 접근통제 관계 정의
- 분산형 보안관리

158.
역할기반 접근제어RBAC
- 권한의 최소화
- 직문의 분리
- 데이터 추상화

+ 다단계 보안 등급 : MAC과 관련됨

159.
- 벨라파듈라 : No Read Up, No Write Down, 기밀성
- 비바모델 : No Read Down, No Write Up, 무결성
- 강제적 접근통제 : 정보에 비밀등급, 주체에 인가등급. 규칙을 만족하는 주체에게 접근권한 부여
- 임의적 접근통제 : 정보 소유자의 임의적 판단으로 접근권한 결정
- 역할기반 접근통제 : 권한을 역할과 연관지어 사용자에게 역할 할당. Non-DAC

160.
접근통제
- DAC : 리눅스
- MAC : 주체의 중요도 레이블, 객체의 중요도 레이블에 따라 수행 가능한 오퍼레이션 제한. SELinux
- 광의적 의미에서의 접근통제는 Identification 등의 핵심 보안 서비스를 제공함

161.
접근통제행렬과 접근통제리스트
- 접근통제행렬 : 주체에 의해 수행되는 객체를 관리하는 규칙의 집합
- 2차원의 행에 주체, 열에 객체
- 읽기, 쓰기, 붙이기, 실행

+ 권한리스트 : 한 주체당 객체 목록과 허용되는 접근모드를 리스트로 관리

162.
강제적 접근통제 모델 BLP
- 기밀성 보호
- 모든 주체의 객체에 보안 레이블 부여, 접근 통제
- 조회 : simple security 규칙 적용. 주체의 보안 레이블이 객체의 보안 레이블을 지배할 때 조회 허용. = No Read Up
- 주체가 객체에 정보를 기록할때 *star 규칙 적용. 객체의 보안 레이블이 주체의 보안 레이블을 지배할때 기록 허용 = No Write Down

163.
접근통제 - BLP 모델
- 낮은 보안 권한을 가진 사용자는 높은 레벨의 문서를 쓸 수는 있으나 읽을 수 없다

164.
BLP
- 정보를 Top secret, Secret, Unclassified 등으로 분류
- 주체: 취급등급, 객체: 비밀등급

165.
클락/윌슨 모델
- 무결성 중심의 상업용 모델로 설계됨
- 예측가능하고 완전하게 처리되는 자료처리 정책 필요
- 불법수정 방지를 위해 상업환경에 적합하게 개발됨
- 금융, 회계 데이터

+ 만리장성모델 : 이해충돌이 발생할 수 있는 상업용 응용을 위해 개발

166.
무차별 대입 공격 : 사용가능한 모든 패스워드들을 일일이 시도
사전 공격 : 패스워드 모음을 만들고 이들에 대해 로그인을 시도하여 패스워드를 찾아내는 공격

167.
감사추적기술Audit Trail
- 정보시스템이 수립한 사용정책 및 보안정책에 준하여 안전하게 운용되고 있는지 확인하고,
정보시스템에 기록 및 저장된 각종 사용자 행위에 대한 상세내용을 조사/분석하는 것
보안 운영체제에 적용됨

168.
접근통제 과정
- 주체가 객체에 접근을 요청하면 [보안커널]은 이를 가로채 자신이 가지고 있는 기본 규칙에 따라 접근권한을 결정하고, 접근을 허가 혹은 거부한다. 모든 접근 요청은 이후의 추적 및 분석을 위해 기록된다.

+ 보안커널 : Reference Monitor 개념을 구현한 TCB의 H/W F/W S/W 요소.

169.
운영체제의 보안을 위해 요구되는 하드웨어 및 소프트웨어를 탑재한 시스템 요소
=> 신뢰 컴퓨팅 기반 TCB (Trusted Computing Base)

+ 캐시일관성CC : 공유메모리 시스템에서 각 클라이언트가 가진 로컬 캐시간의 일관성

170.
TPM
- 민감한 암호연산을 하드웨어로 이동함으로써 시스템 보안을 향상시키고자 나온 개념
- 인증된 부트, 인증, 암호화 기능 제공
- 안전한 입출력에 사용되는 암호 프로세서 제공
- TCG 컨소시엄에 의해 작성된 표준

171.
트로이목마
- 백도어를 포함
- 특정 조건, 배포자 의도에 따라 정보유출 또는 자료 파괴
- 유틸리티 프로그램 내 악의적 코드를 내장 또는 그 자체를 유틸리티 프로그램으로 위장

+ 자기자신을 복제하는 것은 웜의 특징

172.
트로이목마
- 시스템 파일 파괴, 원격 조정, 패스워드 가로채기, 시스템 파일 파괴

173.
컴퓨터 바이러스 : 자신 또는 자신의 변형을 컴퓨터 프로그램이나 매크로 등 실행가능한 부분에 복제하는 명령어들의 조합
웜 : 자신을 복제하고 전파하는 악성코드
봇넷 : 봇마스터와 C&C 서버

174.
키로그 SW
- 공용 PC 사용시 개인정보 입력에 주의
- 키로그로 입력된 내용은 실시간 또는 지정시간에 전송된다
- 설치를 확인하면 즉시 안전한 곳에서 비밀번호를 변경해야 한다

175.
바이러스 유형
원시형 -> 암호형 -> 은폐형-> 갑옷형 -> 매크로형

176.
악성코드 : 의도적으로 피해를 주기 위해 만든 프로그램, 스크립트들을 총칭
웜 : 자기복제, 전파
트로이목마 : 복제X, 위장

177.
악성프로그램
- 스파이웨어 : 사용자 동의없이 설치되어 개인정보를 수집하고 전송하는 악성프로그램
- 백도어 : 트랩도어. 고의로 남겨둔 보안 허점

178.
랜섬웨어 : 문서 등을 암호화하여 금전요구를 하는 악성코드

179.
스파이웨어 / 안티스파이웨어

180.
키로거 프로그램
- 일반적으로 부팅시 자동실행되도록 레지스트리에 등록됨

181.
autorun.inf
- 미디어 장치의 루트 디렉터리에 위치하며 미디어 연결시 특정 프로그램이 자동으로 실행되도록 제어한다.
악성코드에 감염되면 감염확산 또는 정보유출 피해 발생

182.
HTTP 요청 메시지 순서
Request line -> header -> blank line -> body

183.
POST 방식
- URL에 요청 데이터를 기록하지 않고 HTTP 바디에 데이터를 전송한다

184.
Referer
- HTTP 헤더의 정보 중 클릭한 링크 주소, 즉 어디로부터 접속했는지 정보가 표시되는 항목

185.
http 메소드
- OPTIONS : 요청 받은 리소스에서 가능한 통신 옵션 확인
- PUT : 내용이 주어진 리소스에 저장되기를 요청
- TRACE : 루프백 검사용

186.
100번대 : 정보
200번대 : 성공
300번대 : 리다이렉션
400번대 : 클라이언트 오류
500번대 : 서버 오류

187.
HTTP 상태코드
- 304 : Not Modified
- 400 : Bad Request
- 404 : Not Found
- 408 : Request Timeout

188.
Cookie : 웹 브라우저가 웹서버에게 쿠키값을 전송할 때 사용하는 헤더
( 서버가 웹브라우저에게 전송시 : Set-cookie )

189.
인터넷 익스플로러 - 보안설정 지정할 웹 콘텐츠 영역
- 인터넷
- 로컬 인트라넷
- 신뢰할 수 있는 사이트
- 제한된 사이트

190.
운영체제 설치시 파티션을 분할하는 이유
- 문제가 다른 볼륨으로 전이되는 것 방지
- 시스템 영역과 사용자 영역이 분리되어 백업 용이
- SUID 공격에 대해 단일 파티션보다 안전
- 성능이 향상됨

191.
파일 디스크립터
- 파일 제어 블록
- 파일을 관리하기 위해 시스템이 필요로 하는 정보를 보관
- 파일시스템이 관리하므로 사용자는 직접 참조할 수 없다
- 보통 보조기억장치내 저장되어 있다가 Open 될 때 주기억장치로 옮겨진다
- 파일마다 독립적으로 존재

192.
사용자 PC가 언제 부팅되었는지 확인하기 위해 입력해야 하는 명령어
=> net statistics workstation

193.
윈도우 운영체제가 지원하는 파일시스템
- exFAT, FAT32, NTFS

+ 유닉스 파일 시스템 : UFS

194.
NTFS 파일시스템
- 클러스터는 512바이트, 1/2/4킬로바이트 지정가능
- 일반적으로 최대 16EB까지 지원
- FAT32보다 보안성 향상
- 네트워크를 통해 접근하는 사용자에게도 적용

195.
NTFS
- 파일과 폴더에 개별 권한 설정 가능
- 파일 압축 및 암호화를 위한 구조
- FAT 파일 시스템에는 없는 보안속성(사용자 접근제어) 정보 내장
- 감사기능 제공

196.
NTFS
- 파일, 디렉터리, 메타 정보까지 파일 형태로 관리하여 분석하는데 유용함

197.
파일시스템
- FAT 뒤의 숫자는 표현가능한 최대 클러스터 수와 관련됨
- NTFS : 대용량 볼륨, 보안 및 암호화 지원
- FAT : 저용량 볼륨에서는 NTFS보다 빠르다. NTFS보다 호환성 좋음

198.
NTFS
- 기본 : Everyone 그룹에 대해 모든 권한이 허용

199.
$MFT (Master File Table)
NTFS에서 모든 파일과 디렉터리에 대해 이름, 위치, 속성 등의 정보를 포함하는 메타 파일

200.
윈도우 부팅 순서
- POST : 하드웨어 자체가 시스템 체크
- CMOS : 사용자가 설정한 기본사항을 읽어서 적용
- MBR : 부팅매체 대한 파일시스템 정보 읽음
- NTLDR : 부팅파티션에 있는 프로그램. boot.ini 읽음
- NTDETECT.com : 설치된 하드웨어 검사
- ntoskrnl.exe : HAL.dll 로드

201.
SYSTEM
윈도우 시스템 설치시 기본적으로 생성되며 시스템에서 최고 권한을 가진 계정으로 사용자가 원격 접속이나 로그인할 수 없는 계정

202.
윈도우 Administrators 그룹
- 대표적인 관리자 그룹, 윈도우 시스템의 모든 권한
- 사용자 계정 생성, 삭제 가능
- 윈도우가 사용 가능한 모든 자원에 대한 권한 설정 가능

203.
Users 그룹
- 워크스테이션 종료 가능
- 로컬 그룹 생성 가능, 자신이 만든 로컬 그룹만 관리 가능
- 구성원은 관리자가 설치, 배포한 인증된 프로그램 실행 가능
- 자신에 속하는 부분 HKEY_CURRENT_USER를 완전하게 제어 가능

+ 서버 종료 권한은 관리자만 가능하다