인증제도
ISMS-P
정보 보호 및 개인 정보 보호를 위한 일련의 조치와 활동이 인증 기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
ISMS-P 관리체계 수립 및 운영
- 관리체계 기반 마련
- 위험관리
- 관리체계 운영
- 관리체계 점검 및 개선
CC(Common Criteria)
컴퓨터 보안을 위한 국제 표준
BS7799
영국표준협회 주관으로 산업계의 보안관련 표준을 수렴
TCSEC
Trusted Computer System Evaluation Criteria
미국의 신뢰성있는 컴퓨터 시스템 평가 기준
SSH
Secure Shell의 줄임말로, 원격 호스트에 접속하기 위해 사용되는 보안 프로토콜
- SSH 전송 계층 프로토콜
- 서버 인증, 기밀성, 무결성 등의 보안 서비스 제공
- 암호 알고리즘의 협상
- 키 교환 방법
- SSH 인증 프로토콜
- 공개키/패스워드/호스트기반 방식 등의 클라이언트 인증 다룬다
- SSH 전송 계층 프로토콜 상위에서 수행된다
- SSH 접속 프로토콜을 위해 인증된 단일 터널 제공
- SSH 접속 프로토콜
- 대화형 로그인 세션, 원격 명령 실행, TCP/IP 접속 전달
- 이 모든 통신이 암호화된 단일 터널을 통한 다중화 채널을 사용해서 이루어 진다.
PKI
공개 키 기반 구조
(PKI = Public Key Infrastructure)
공개 키를 효과적으로 운용하기 위해 정해진 많은 규격이나 선택 사양의 총칭
공개키를 이용하여 송수신 데이터를 암호화하고 디지털 인증서를 통해 사용자를 인증하는 시스템으로, 공개키 암호 알고리즘을 안전하게 사용하기 위해 필요한 서비스를 제공하는 기반 구조
구성 요소
이용자: PKI를 이용하는 사람
인증기관: 인증서를 발행하는 사람
저장소: 인증서를 보관하고 있는 DB
- 이용자 인증서를 등록하고 인증서를 사용하는 주체
- 인증기관 (CA, Certification Authority)
- 정책 승인 기관 (PAA, Policy Approving Authority) PKI 시스템 내에서 수행되는 정책을 설정하는 당국 모든 사용자와 사용자의 연합 및 인증 기관들이 지켜야 할 정책 생성
- 정책 인증 기관 (PCA, Policy Certification Authority) PAA에서 승인된 정책을 확장하거나 세부적 정책을 생성
- 인증 기관 (CA, Certification Authority) RA(등록 기관)의 요청에 의해 사용자의 공개키 인증서를 발행, 취소, 폐기하고 DB 관리
- 정책 승인 기관 (PAA, Policy Approving Authority) PKI 시스템 내에서 수행되는 정책을 설정하는 당국 모든 사용자와 사용자의 연합 및 인증 기관들이 지켜야 할 정책 생성
- 등록기관 (RA, Registration Authority) 공개키의 등록 및 사용자 신원 확인, 인증 기관에 인증서 발행 요청
영지식 증명
자신이 알고 있는 지식이나 정보 등을 상대방에게 공개하지 않고도 자신이 그 내용을 알고 있다는 것을 증명할 수 있는 방법
- 완전성: 어떤 문장이 참이면, 정직한 증명자는 정직한 검증장에게 이 사실을 납득시킬 수 있어야 한다.
- 정당성: 어떤 문장이 거짓이면, 어떠한 부정직한 증명자라도 정직한 검증자에게 이 문장이 사실이라고 납득시킬 수 없어야 한다.
- 영지식성: 어떤 문장이 참이면, 검증자는 문자의 참, 거짓 이외에는 아무것도 알 수 없어야 한다.
부채널 공격
Side Channel Attack
공격 대상 통신 기기가 작동하고 있을 때 사용하는 소비 전력 또는 방사되는 전자파 정보등을 이용하여 통신 기기 내부에 있는 암호키와 같은 중요한 정보를 알아내는 공격
- SPA(Simple Power Analysis)
- 차분 전력 분석(DPA)
- EM(Electro-Magnetic)
풀다 보니 비슷한 문제가 보이기 시작..... 이제야 눈이 떠졌어요
