네트워크 보안
Confidentiality: 주고받는 메시지는 제3자가 알 수 없어야 한다.
Authentication: 내가 이야기하고 있는 사람이 내가 생각하는 사람이 맞는지 확신
Message integrity: 보낸 메시지 그대로 받아야한다.
Access and availability: 24시간 내내 서비스를 제공해야한다.
암호화: plaintext message를 Trudy가 봐도 모르게 바꿔주는 것, key를 가지고 있다면 복호화 가능
대칭키 암호화
-엘리스와 밥이 가진 키가 같다
-효율적이고 빠르다. 그러나 사전에 키를 공유해야 한다.
공개키 암호화
-각자 두가지 키를 가지고 있다. Public key와 private key
-public key는 공개 가능
-public key로 암호화한 것은 private key로 복호화 가능
-RSA 알고리즘
-키의 적용 순서는 관계없다.
-단점: CPU에게 부담스러운 연산
Authentication
-랜덤 넘버를 보내서 확인한다.
Message integrity
-메세지와 암호화된 메세지를 보내어 서로의 메시지를 비교
-메시지의 해시 값을 암호화하여 사용
-digital signature: 자기 private key를 이용해서 암호화하는 작업
Public key를 확인하기 위해서는 인증서를 이용한다. 인증서는 인증기관의 private key로 암호화 되어있다.
TCP는 security를 제공하지 않는다. Application에서 SSL(=TLS)를 이용하여 보안을 충족한다.
HTTPS: HTTP+SSL
SSL: Handshake, Key derivation, Data transfer, Connection closure
1. public key certificate를 이용해 handshake, 여기서 제공한 secret key를 사용하여 4가지 다른 키 생성할 때 사용
2. application message를 record 형태로 만들어서 TCP로 보낸다. Length+data+MAC 형태이다. MAC은 message authentication code의 약자, 해시 함수에 데이터와 key를 같이 넣어서 만듬, data와 MAC부분은 또 암호화된다.
3.re-order을 막기위해 데이터+key+sequence number를 합쳐서 MAC으로 만든다.
4.attacker가 TCP FIN을 보내서 연결을 끊어버릴 수 있다. Record에 type 필드를 추가하여 보낼 데이터가 없으면 1을 할당한다. MAC에 추가한다.
Firewall: 게이트웨이에 위치하여 외부로 가고 내부로 오는 패킷을 감시
-drop시키는 룰은 운영자가 결정, TCP헤더까지 봐야한다.
-ACL(access control list): rule 테이블
