정보보안 스터디 - 17주차 2일 - TLS 통신의 이점

 

☞ 암호화 방식

 

대칭키 암호화 방식

= 암복호화에 사용하는 키가 동일한 방식

비대칭키(공개키) 암호화 방식 

= 암복호화에 사용하는 키가 서로 다른 방식. (공개키로 암호화, 개인키로 복호화)

 

 

 

☞ RSA 암호화란
RSA는 사실상의 표준 암호화로

전자서명 인증용도로도 사용합니다.

공개키(public key) + 공개해서는 안되는 개인키(private key) 으로 구성
공개키는 메세지를 암호화할 때,
개인키는 암호화된 메세지를 복호화할 때 사용합니다.

 

 

A가 B에게 정보를 보내는 과정

 

 

☞ TLS 통신

TLS의 암호화 방식= 대칭키 + 비대칭키 방식 혼용
TLS 통신은 SSL의 암호화 뿐만 아니라 다른 이점이 있습니다.

 

1. 기밀성(암호화) 

주고받는 데이터 정보를 암호화합니다. 안전하게 암호화된 패킷이라 복호화가 불가능하여 훔쳐보기 힘듭니다.

2. 데이터 무결성

통신 도중 데이터가 제 3자에 의해 악의로 변경될 일이 없습니다. 서로의 대칭키를 RSA 알고리즘을 통해 암호화하여 통신하기 때문에 전송과정에서 제 3자가 중간자 공격으로 데이터를 임의로 수정하지 못합니다.

3. 서버 인증 

서버가 신뢰할 수 있는 서버로 인증해줍니다.
필요한 이유는 크리덴셜 정보를 수집하는 피싱 사이트라던지(HTTP통신을 사용하거나 HTTPS 통신이라 하더라도 신뢰할 수 없는 서버로 자체적으로 서버에서 수집함), 악성 파일을 다운받는 피싱 사이트 접속 후 안전하지 않은 사이트임을 판단하여 피해를 방지할 수 있게 도와줍니다.
피싱 사이트 구현은 DNS 스푸핑으로 인한 방법과 유사한 도메인을 사용하는 방법이 있습니다.
하지만 일반 이용자는 해당 내용을 잘 알지 못하기 때문에 눈치 채지 못하고 클릭하는 게 현실입니다.


인증서는 신뢰할 수 있는 서버임을 이용자가 판단할 수 있게 정보를 주는 역할을 합니다.

인증서는 다음과 같은 정보들을 포함합니다.

1. 서비스 정보(인증서를 발급한 CA, 서비스 도메인 등) 2. 서버 측 공개키(공개키, 공개키 암호화 방법) 3. 지문, 디지털 서명 등

티스토리를 예시로 들어 자세하게 보면

발급 대상 - 도메인이름: *.tistory.com 조직: kakao 발행 기관 - RSA CA, 조직: DigiCert 유효 기간 - 발급일과 만료일(1년정도) 지문 - SHA1, SHA256

 

 

CA(Certificate Authority) 

CA는 신뢰성이 엄격하게 공인된 기업들이라서 믿을만한 인증이 됩니다.
참고로 CA는 자체적으로 공개키와 비밀키를 가지고 있으며 비밀키는 절대 누설되어선 안됩니다.

비밀키가 누설되어 파산한 기관도 있습니다.

 

인증서 발급 과정

 

 

CA 인증없이 인증서 생성도 가능합니다.

사설 인증서로 (Root CA와 마찬가지로 Self-signed 됨) 심지어 TLS 통신도 가능합니다.
하지만 공인 인증서가 아니기 때문에 보증기관이 없으며 여전히 신뢰할 수 없는 사이트로 뜹니다!

클라이언트들, 즉 웹 브라우저 측에서는 CA 리스트들을 업데이트 하여 가지고 있기 때문에 CA 등록 여부를 판단할 수 있습니다. (Mac OS는 OS를 설치할 때 PC에 포함됩니다.)