데이터와 인공지능 훑어보기

보안 요구사항 분석(Analyzing Security Requirements) 위험 분석을 통해 공격자가 보안 요구사항을 위반할 수 있는 사례를 정의한다. 오용 사례 정의, 위협 모델링 등 보안 요구사항 정의 시 누락된 보안 요구사항을 발견하고 보완한다. “the security mindset involves thinking about how things can be made to fail. It involves thinking like an attacker, an adversary or a criminal.You don't have to exploit the vulnerabilities you find, but if you don't see the world that way, you'll never n..

SSL (Secure Socker Layer) / TLS (Transport Layer Security) [Security] SSL [Security] SSL SSL 개념 Secure Socket Layer Netscape 사에서 웹 서버와 브라우저 사이의 보안을 위해 개발한 것 Certificate Authority(CA)라 불리는 서드 파티로부터 서버와 클라이언트 인증하는데 사용 전송된 모든 데이터 yumdata.tistory.com TLS 프로토콜은 SSL프로토콜에서 발전 TLS는 다양한 종류의 통신 보안을 제공하도록 설계된 암호화 프로토콜이며, HTTPS는 TLS 위에 HTTP 프로토콜을 얹어 보안된 HTTP 통신을 하는 프로토콜. 두 당사자가 기밀성과 데이터 무결성이 보장된 상태로 서로 식별, ..

공개 키 인증서(PKC, Public Key Certificate) 인증서 소유자의 이름/소속/메일 주소 등의 개인 정보 인증서 소유자의 공개 키, 인증서의 유효기간 인증기관(CA; Certification Authority)의 개인 키로 서명한 전자 서명 값 인증 기관을 통해 공개키가 정당한 소유자의 공개키라는 인증 가능 인증서 사용 시나리오 예시 1) 밥이 키 쌍을 작성한다 2) 밥은 인증기관 트렌트에 자신의 공개 키를 등록한다 3) 인증기관 트렌트는 밥의 공개 키에 자신의 개인 키로 디지털 서명을 해서 인증서를 작성한다 4) 앨리스는 인증기관 트렌트의 디지털 서명이 되어 있는 밥의 공개 키(인증서)를 입수한다 5) 앨리스는 인증기관 트렌트의 공개 키를 사용해서 디지털 서명을 검증하고, 밥의 공개 키..

전자 서명 (Digital Signatures) 전송되는 메시지의 무결성 검증 가능 개인키를 사용하여 암호화(서명값 작성)하고, 공개키를 사용하여 복호화(서명값 검증)함 -> 서명자를 누구든지 공개키로 검증할 수 있음 -> 인증 가능 송신자만 개인키를 사용하여 서명값을 작성할 수 있으므로, 메시지를 작성한 사람이 개인키의 소유자임을 확신할 수 있음. -> 부인방지 효과를 가짐 한계점 서명 검증 시 사용하는 송신자의 공개키에 대한 인증이 필요 서명 알고리즘을 통해 송신자는 메시지에 송신자 개인키를 이용해 서명한다. 수신자는 그 메시지와 서명을 받고 송신자의 공개키를 이용해 검증한다. References http://blog.skby.net/%EC%A0%84%EC%9E%90%EC%84%9C%EB%AA%85-..

메시지 인증코드 (MAC, Message Authentication Code) 데이터가 변조되었는지 검증할 수 있도록 데이터에 덧붙이는 코드 통신하는 양쪽에 공유되어 있는 비밀키를 사용, 비밀키를 알지 못하면 MAC값을 계산할 수 없음 송신자만 가지고 있는 비밀키를 사용 -> 송신자에 대한 인증 가능 송신자와 수신자만 계산하고 검증할 수 있음 -> 전송되는 메시지의 위/변조 여부 파악 가능 -> 무결성 검증 SSL/TLS 암호화 통신 프로토콜에서 무결성 검증을 위해 MAC을 사용 한계점 비밀키를 사용하므로 키분배 문제 존재 (대칭키 암호 알고리즘과 동일) MAC의 유효성 여부를 증명하려면 공유된 비밀키를 제3자에게 공개해야 함 전자 서명과 달리 부인 방지 효과는 없음. 수신자도 동일한 MAC을 계산할 수..

부인 방지 (Non-Repudiation) 상대방이 자신의 행위를 부인하지 못하도록 조치하는 것 위반 또는 잘못된 행동의 상황( 또는 잘못된 상황이 발생하지 않음)이 파악될 수 있도록 충분한 정보 보유가 요구됨 적용 기술 예 : 로그/audit , 전자 서명 등 로그 파일에 저장되는 이러한 정보는 변조 및 비인가 접근으로부터 보호되어야 함 예: 인터넷 뱅킹을 통해 예금을 인출한 후 인출한 사실에 대해 부인 할 경우를 막는 것 모든 계정 관련 작업이 로컬에 기록되고, 별도의 사이트에 미러링

인증(Authentication) 리소스(e.g. 정보, 시스템)에 접근하는 사람/응용 프로그램의 신원을 확인함으로써 해당 주체의 자격을 검증하는 방법. 인증된 사용자 또는 프로세스만이 보호된 리소스에 액세스할 수 있도록 허용하는 것. 정보의 기밀성과 무결성 보호에 기여 예: 사용자 인증, 인증서 기반 인증(PKI, Public Key Infrastructure) 등 사용자 ID와 비밀번호를 입력하여 시스템에 로그인 시, 시스템은 사용자가 입력한 비밀번호 검사하여 사용자를 인증 모바일앱에서 클라우드 서버로 사진을 전송할 때, 모바일앱은 클라우드 서버가 정당한 서버인지 인증 후 사진 전송(스푸핑(신분위장) 공격방어) 권한 부여(Authorization) 리소스/기능에 대한 접근 권한 및 정책을 부여함으로써..

암호화(Cryptography) 암호화: 암호화키와 암호 알고리즘을 사용하여, 평문(Plaintext)을 암호문(Ciphertext)으로 바꾸는 과정 암호화된 메시지는 이해할 수 없음 -> 기밀성이 유지 복호화: 복호화키와 복호화 알고리즘을 사용하여, 암호문(Ciphertext)을 평문(Plaintext)으로 바꾸는 과정 안전한 암호화 알고리즘 키를 모르면 암호문으로부터 평문을 계산하기 어려워야 함 안전한 암호화 알고리즘의 종류, 운영모드, 키 길이 선택 암호화키 길이에 보안 강도는 비례 보안강도: 암호 알고리즘/암호키의 취약성을 찾아내는데 소요되는 작업량을 수치화한 것 112비트의 보안강도? 2112번의 계산을 해야 암호알고리즘/암호키의 취약성을 알아낼 수 있음 암호화키 길이가 길수록 무차별 대입 공격..