LDAP(Lightweight Directory Access Protocol) 디렉터리 시스템이란 어떠한 대상에 대한 형식화되고 정렬된 정보를 저장하는 데이터 저장소 혹은 특수한 데이터베이스 시스템이다. 1988년에 CCITT(Consultative Committee on International Telephony and Telegraph) 의 X.500 Standard는 디렉터리 서버와 클라이언트 간의 송수신을 위해 DAP(Directory Access Protocol)이라는 프로토콜을 정의했다. DAP은 OSI Protocol Stack을 사용하는데, 이것은 소규모 환경에서는 적합치 않은 까다로운 리소스를 요구하며 비실용적인 면이 많았다. 그리하여 보다 간결하고 실용적인 대안이 필요하게 되었는데, 그..
DH방식은 세션키 공유를 위한 키분배 방식으로 이산대수문제의 어려움에 기반하고 있다. 즉, 공개 정보 Y를 알더라도 X를 알아낼 수 없음을 의미한다. DH방식에 참여하는 A와 B는 K로부터 둘만이 공유하는 비밀키(흔히 해당하는 세션동안만 사용하므로 세션키라고 한다.)를 유도하여 사용한다. 객체 A와 B가 서로 비밀 정보(Xa, Xb)를 생성한 후 그 비밀 정보로 교환할 공개 정보(Ya, Yb)를 만든다. 각자 Ya와 Yb를 교환한 후 객체 A는 Xa와 Yb를 사용해 Key를 생성하고 B도 같은 방식으로 Xb와 Ya를 사용해 Key를 생성한다. 즉, 키를 공유하고자 하는 양측에서 각각 한 번의 통신을 통해 서로의 공개 정보를 교환한 후, 자신의 비밀 정보와 상대방의 공개정보를 사용하여 안전하게 세션키를 생..
소개할 해쉬 알고리즘 SHA256 : FIPS 180-4 Secure Hash Standard HAS-160 : TTAS.KO-12.0011/R2 해쉬함수표준-제2부 : 해쉬함수알고리즘표준 SHA-1 : FIPS 180-4 Secure Hash Standard 해쉬함수 활용 해쉬 함수는 일방향 함수(one-way function)로 다양한 길이의 입력을 고정된 짧은 길이의 출력으로 변환하는 함수이다. 시스템 구성 과정에서 해쉬함수가 필요했던 이유는 데이터들의 중복 여부를 검사를 쉽게 하는 것이다. 대용량의 데이터가 서로 같은 내용 인지를 검사하기 위해서 데이터 전체를 일일이 비교할 수도 있으나, 그렇게 하면 속도와 시간 면에서 엄청난 손해를 초래할 수 있다. 그러므로 두 데이터 간의 해쉬값을 기반으로 하..
비밀키 암호방식, 대칭키 암호방식이라고 하며 비밀 정보를 교환하고자 하는 상호 암호통신망 가입자가 사전에 비밀 공통키 K를 제삼자에게 노출되지 않게 나누어 가진 다음, 암호통신을 필요로 할 때 평문M을 암호 알고리즘 E와 공통키 K로 암호문 C를 생성시켜 공중통신 채널을 통해서 전달하고 암호문 C를 수신한 가입자는 복호화 알고리즘 D와 공통키 K로 평문 M을 얻는 방법으로 오래전부터 사용되어 온 암호방식으로 암호화키와 복호화키가 동일하며 공개키방식보다 암호화 및 복호화 속도가 빠르다. 128비트 이상의 키 길이를 가지면서 안전성이 널리 인정된 암호 알고리즘을 사용하여야 한다. 또한, 국가·공공기관용 표준 블록암호인 ARIA를 지원할 수 있어야 한다. 대한민국 행정전자서명에서 사용하는 암호화 알고리즘은 다..
데이터에 대한 무결성은 메시지 인증 코드(MAC - Message Authentication Code), 또는 전자서명을 이용하여 제공한다. 인증서와 비밀키가 이미 발급된 사용자의 경우에는 전자서명 알고리즘을 사용하여 데이터에 대한 무결성을 제공할 수 있지만, 그렇지 않은 경우에는 패스워드에 기반한 메시지 인증 코드 방식을 사용한다. 패스워드에 기반인 인증코드 방식을 알고리즘 식별자(Algorithm Identifier)로 기술할 때에는 이 방식을 명확히 기술해 주는 인자들에 대한 설명이 포함되어야 한다. 본 상세서에서는 메시지 인증 알고리즘으로 해쉬 함수를 이용한 MAC, 즉 HMAC의 사용, 또는 SEED를 이용한 MAC의 사용을 권장한다. HMAC HMAC은 메시지의 무결성과 함께 메시지의 출처 인..
행정전자서명 프로파일 및 알고리즘 상세서 분석 중 정보처리기사, 정보보안기사 등 전산 유관 시험의 용어 설명이 잘 되어 있어 게시글로 옮긴다. 국가기술검정 시험이다보니 국가에서 규정한 용어집을 참고한다. 출처 : "행정전자서명 프로파일 및 알고리즘 상세서"(https://gpki.go.kr/pds/WebTrustAction.action) ANSI(American National Standards Institute) : 미국에서의 임의(Voluntary)표준 활동을 관리 조정하고, 표준의 적합성여부에 따라 미국국가표준(ANS:American National Standard)으로서 승인여부를 결정하는 비영리 민간단체로써 직접 표준을 개발하지는 않으나, 각 기구들의 표준과정을 관리하여 여러 기구들이 작성․처리..
디지털 포렌식 법적 목적으로 사용을 위한 디지털 증거 분석과 관련된 컴퓨터 과학 및 법적(수사) 절차의 적용 해당 증거물을 법적인 목적으로 사용할 수 있도록, 반드시 수사 관련 법 절차를 고려하여 컴퓨터 과학 기술이 활용되어야만 함. 수사 또는 조사, 대응 절차에 컴퓨터 과학 기술이 적용되더라도 관련 법 절차를 고려하지 않으면, '디지털 포렌식'이라고 할 수 없음. 디지털 포렌식 일반원칙 정당성의 원칙 적법절차의 원칙 디지털 포렌식으로 획득된 모든 증거는 적법한 절차를 거쳐서 정당하게 획득한 것이어야 함 디지털포렌식 절차 중에서 자료 수집(Data Collection)이 가장 중요한 단계 무결성의 원칙 증거가 최초 수집된 이후 법정에 제출될 때까지 변경이나 훼손 없이 보호되어야 한다는 원칙 내용을 위변조..
리눅스에서 Zombie 프로세스를 검사하는 방법 좀비 프로세스는 부모 프로세스가 자식 프로세스를 fork()함수로 생성한 상태에서 부모 프로세스는 자식 프로세스의 종료를 대기(Wait())하고 있어야 하는데, 부모 프로세스가 자식 프로세스보다 먼저 종료되어 자식 프로세스는 메모리 영역을 점유하고 있는 상태로 있는 프로세스 top -b -n 1|grep zombie ps -ef|grep defunct 다음은 공격자가 어떤 공격을 수행한 것인가? hping 192.168.85.255 —icmp —flood -a 192.168.85.128 풀이 네트워크 전체에 icmp Echo Request 패킷을 보내고 있다. 마지막 IP 주소가 255이므로 ICMP프로토콜을 Broadcast한다. 정답 : Smurf 다음..
정보보호 관련 법규 정보통신망 이용촉진 및 정보보호 등에 관한 법률 용어의 정의 정보통신망 정보통신서비스 정보통신서비스 제공자 이용자 전자문서 개인정보 : 생존하는 개인에 관한 정보로써, 특정한 개인을 알아볼 수 있는 부호/문자/음성 등의 정보 침해사고 : 해킹/바이러스 등으로 정보통신망 또는 관련된 정보시스템을 공격하는 행위 정보보호산업 전자적 전송매체 개인 정보 수집, 이용 시 주의사항 개인정보를 수집. 이용하려면 수집.이용목적, 수집하는 개인정보의 항목, 개인정보의 보유 및 이요기간 등을 충분히 알리고 정보주체의 동의를 얻어야 한다. 수집 목적 외 다른 목적으로 사용할 수 없으며 각 항목의 변경도 동의를 얻어야 한다. 단, 정보통신서비스의 제공에 과한 계약이행, 요금정산 다른 법률에 특별한 규정이 ..
개인정보보호법 정리 개인정보의 정의 "살아있는 개인을 식별할 수 있는 정보"로 성명, 주민등록번호 등 특정 개인을 식별할 수 있는 정보 특정 개인을 알아볼 수 없더라도 다른 정보와 결합하여 특정 개인을 알아 볼 수 있는 정보도 포함된다. 개인정보의 종류 일반적 정보 : 성명, 주민번호, 주소 정신적 정보 :사상, 성향, 기호 재산/신체적정보 : 금융 및 신용정보/의료 및 건강정보 통신 및 위치정보 : 통화내역, IP주소, GPS정보 개인정보보호법에서는 정보통신망법과 달리 이용자이외의 임직원, 협력업체 등 모든 사람의 개인정보에 적용된다. 개인정보의 수집. 이용이 가능한 경우 정보주체의 동의를 받은 경우 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 공공기관이 법령 등에서 정하는..
