Chapter 8 네트워크 보안

1. Chapter 8네트워크 보안 Computer Networking: A Top Down Approach ,5th edition. Jim Kurose, Keith RossAddison-Wesley, April 2009.

2. Chapter 8 목차 8.1 네트워크 보안이란 무엇인가? 8.2암호학의 원리 8.3메시지 무결성 8.4종단점 인증 8.5전자 메일의 보안 8.6 TCP 연결의 보안: SSL 8.7네트워크 계층의 보안: IPsec 8.8무선 랜의 보안 8.9운영상 보안: 방화벽과 침입 방지 시스템

3. 네트워크 보안의 목표 기밀성(confidentiality):오직 송신자와 정해진 수신자만이 메시지 내용을 “이해”할 수 있다. • 암호화의 과제 인증(authentication):송신자와 수신자는 상호 존재를 확인할 수 있어야 한다. 무결성(integrity):메시지가 전송 중(혹은 후에) 변경되지 않은 것을 보장할 수 있도록 한다. 접근 제어(access control)와 가용성(availability) :사용자는 서비스를 원할 때는 언제든지받을 수 있어야 한다.

4. 친구와 적들: Alice, Bob, Trudy • Bob과 Alice는 안전하게 통신을 하고 싶다. • Trudy (공격자)는 둘 사이의 메시지를 엿보거나 제거하거나 삭제하려고 한다. Alice Bob data, control messages channel secure sender secure receiver data data Trudy

5. 누가 Bob, Alice가 될 수 있는가? • 실제 통신하는 사람들 • 전자 상거래를 하는 웹 브라우저와 서버 • 온라인 뱅킹을 하는 client/server • DNS 서버 • 라우팅 정보를 교환하는 라우터들 • 등등

6. 공격자가 하려는 것은? • 엿듣기:메시지 가로채기 • 적극적으로 거짓 메시지를 추가한다. • 메시지 내용 변경 • 이전 메시지를 새로운 메시지로 다시 전송(replay) • 위장:패킷의 소스 주소를 가짜 주소로 한다.(spoof) • 하이재킹:자신이 송신자 혹은 수신자가 되어 통신을 한다. • 서비스 거부(denial of service): 다른 사람의 서비스를 받지 못하도록 한다. • 서버의 자원이 고갈되도록 한다. • 소프트웨어의 약점을 이용한 웜, 바이러스 공격

7. Chapter 8 목차 8.1네트워크 보안이란 무엇인가? 8.2암호학의 원리 8.3메시지 무결성 8.4전자 메일의 보안 8.5 TCP 연결의 보안: SSL 8.6네트워크 계층의 보안: IPsec 8.7무선 랜의 보안 8.8운영상 보안: 방화벽과 침입 방지 시스템

8. Bob의 복호화 키 (decryption key) Alice의암호화 키 (encryption Key) encryption algorithm decryption algorithm 평문 (plaintext) 평문(plaintext) 암호문(ciphertext) K K A B 암호학 관련 용어 m : 평문 메시지 KA(m) : 키KA 로 암호화된 암호문 m = KB(KA(m))

9. 간단한 암호화 방법 대치 암호(substitution cipher): • 단일 문자 대치 암호 평문: abcdefghijklmnopqrstuvwxyz 암호문: mnbvcxzasdfghjklpoiuytrewq 예: 평문: bob. i love you. alice 암호문: nkn. s gktc wky. mgsbc Key: the mapping from the set of 26 letters to the set of 26 letters

10. 암호화 키(crypto key) • 암호화할 때 보통 암호화 키(key)를 사용한다: • 암호화 알고리즘은 모든 사람에게 알려져 있다. • 오직키(key)만 비밀로 유지된다. • 왜 암호화 알고리즘을 비밀로 하지 않고 키(key)만 비밀로 할까?

11. 암호문 만으로 해독 두 가지 접근 방법: 모든 키에 대해 다 시도해 본다. 통계 분석 알려진 평문 공격:공격자는 어떤 암호문에 대한 평문의 쌍을 알고 있다. 선택 평문 공격:침입자는 평문 메시지를 선택할 수 있고 이에 대응하는 암호문 형태를 얻을 수 있다. 암호 해독 공격 방법

12. 암호화 방법 • 대칭키(Symmetric key) 암호화 • 공개키(Public key) 암호화

13. K K S S 대칭키 암호화 대칭키: Bob과 Alice는 공유키를 사용한다 : K Q: Bob과 Alice는 어떻게 이 키를 서로 약속해서 사용할 수 있을까? - 키 배분의 문제 encryption algorithm 평문 메시지 m decryption algorithm 암호문 평문 m = KS(KS(m)) K (m) S S

14. 대칭키 암호화의 두 유형 • 스트림 암호화(stream cipher) • 한 번에 한 비트씩 암호화 • 블록 암호화(block cipher) • 평문 메시지를 동일한 크기의 블록으로 구분하여 블록 단위로 암호화한다.

15. 스트림 암호화 pseudo random • 키 스트림(key stream)의 각 비트를 평문의 각 비트와 결합하여 암호문의 비트를 생성한다. • m(i) = 평문 메시지의 i번째 비트 • ks(i) = 키 스트림의 i번째 비트 • c(i) = 암호문의 i번째 비트 • c(i) = ks(i)  m(i) ( = exclusive or) • m(i) = ks(i)  c(i) keystream generator key keystream

16. RC4 스트림 암호화 • RC4는 널리 알려진 스트림 암호화 방법이다. • 키는 1바이트부터 256바이트까지 사용 • 802.11의 WEP에서 사용 • SSL에서도 사용할 수 있다.

17. 블록 암호화 • 메시지는 k 비트의 블록으로 나누어서 암호화한다. (예, 64-bit 블록). • K 비트 길이의 평문 메시지 블록과 k 비트 길이의 암호문 블록과 1대1로 매핑된다. 예(k=3): inputoutput 000 110 001 111 010 101 011 100 inputoutput 100 011 101 010 110 000 111 001 평문 010110001111의 암호문은?

18. 블록 암호화 • 블록 크기가 작을 경우: 예를 들면 k=3? • How many 3-bit inputs? • 3-bit 입력값에 대한 순열(permutation)의 수는? • 2k! mappings • 답: 40,320 ; 너무 적다! • 블록 크기가 너무 클 경우, 예를 들면 k=64: • 입력값에 대한 순열의 수는 264! • 하지만, 64비트의 각 스트링에 대해서 264개의 값이 테이블에 존재해야 한다. • 테이블이 너무 커진다.

19. From Kaufman et al 64-bit input 8bits 8bits 8bits 8bits 8bits 8bits 8bits 8bits S1 S2 S4 S3 S6 S5 S8 S7 8 bits 8 bits 8 bits 8 bits 8 bits 8 bits 8 bits 8 bits 64-bit 뒤섞음 n번 순환 64-bit output 블록 암호화의 예 S-box 8-bit to 8-bit mapping

20. 앞의 예에서 왜 n번 반복하는가? • 한번만한다면입력된 1 비트는 출력문의 최대 8비트에 영향을 준다. • 두번째 반복하면 이 8비트는 다시 흩어져서 여러 개의 S-box의 입력으로 들어가게 된다. • 얼마나 반복해야 하나? • 카드를 반복해서 섞는 것과 유사한다. • n이 증가하면 섞는 효과는 감소된다.

21. One Round of DES L R key 28 28 32 32 L R expand 28 28 48 48 Compress 48 S-boxes(8) 28 32 28 P Box 32 32 32 key R L

22. 큰 메시지를 암호화할 때 • 각 블록 마다 독립해서 암호화를 한다면, • 만약 모든 블록에 동일한 키를 사용하면 문제: 왜냐하면 같은 내용의 블록이 다시 나온다면 암호문도 같아진다. 그렇다면 공격자가 예측할 수 있는 정보를 제공해 준다. • 만약 각 블록마다 다른 키를 사용한다면: • 매 블록 m(i) 마다 64-bit의 r(i)를 랜덤하게 발생 • c(i) = KS( m(i)  r(i) )를 계산 • 전송: c(i), r(i), i=1,2,… • 수신자는 해독: m(i) = KS(c(i))  r(i) • 문제는 매번 암호문(블록)을 보낼 때 마다 다른 키를 같이 보내야 한다: c(i)와 r(i)

23. 만약 모든 블록을 동일한 키를 사용하면 • Alice의 압축된 파일을 암호화하여 표시할 때 • 어떻게 이렇게 되었는가? • 동일한 평문의 블록  동일한 암호문!

24. 암호 블록 연결(CBC) • 현재의 블록을 암호화할 때 이전 블록의 결과를 사용한다. • c(i) = KS( m(i)  c(i-1) ) • m(i) = KS( c(i))  c(i-1) • 그러면 첫번째 블록을 어떻게 암호화할 것인가? • 초기 벡터(IV): 랜덤하게 생성된 블록 = c(0) • IV는 비밀값일 필요는 없다. • 각 메시지 마다(혹은 세션마다) IV값을 변경한다. • 동일한 메시지를 반복해서 전송하더라도 암호문은 매번 변경되도록 한다.

25. + Cipher Block Chaining(CBC) m(1) = “HTTP/1.1” c(1) = “k329aM02” block cipher t=1 • 만약 입력 블록이 동일하다면 동일한 암호문이 만들어 진다. … m(17) = “HTTP/1.1” c(17) = “k329aM02” block cipher t=17 • cipher block chaining: i번째 입력 블록과 이전 암호문의 블록을 XOR m(i) c(i-1) block cipher c(i)

26. CBC 모드로 암호화 • Alice’의 압축되지 않은 이미지를 CBC (TEA)를 사용하여 암호화하였다. • 왜 이렇게 되었는가? • 동일한 평문일지라도 다른 암호문을 만들어낸다!

27. 대표적 대칭키 암호화 방법: DES DES: Data Encryption Standard • US 암호 알고리즘 표준[NIST 1993] • 56-bit 대칭키 사용, 64-bit 크기의블록 • 암호문 블록 연결 (cipher block chaining) • DES는 얼마나 안전한가? • 무차별 공격(brute force)으로 하루 안에 암호를 풀 수 있다. • 안전의 문제는 키의 길이와 메시지의 암호를 푸는 컴퓨터의 계산 능력에 달려 있다. • 3DES • 키의 길이를 DES의 3배로 하여 암호화한다.

28. AES: Advanced Encryption Standard • 미국의 새로운 암호 알고리즘 표준 [2001]: DES를 대체 • 블록 크기: 128 bit • 키의 길이: 128, 192, or 256 bits • 무차별 공격(brute force)으로 동일한 암호문을 풀 경우, DES의 경우 1초가 걸린다면 AES는 149 trillion years가 걸린다.

29. 공개키 암호화 • 대칭키 암호화는 송수신자 만이 공유하는 비밀키를 가져야 한다. • Q: 어떻게 둘 만의 비밀키를 가질 수 있는가(특히 둘이 서로 직접 만날 수 없다면)? 공개키 암호화 • 완전히 다른 접근 방법[Diffie-Hellman76, RSA78] • 송신자와 수신자는 비밀키를 공유하지 않는다. • 공개키는 모두에게 공개된다. • 개인키는 오직 각 개인들만 갖고 있다.

30. + K (m) B - + m = K (K (m)) B B 공개키 암호화 + Bob의 공개키 K B - Bob의 개인키 K B encryption algorithm decryption algorithm plaintext message plaintext message, m ciphertext

31. K (K (m)) = m B B - + 2 1 공개키 암호화 알고리즘 요구사항: K 와 K 필요 - + B B - + 공개키 K 에서 개인키 K 를 찾아낼 수 없다. B B RSA: Rivest, Shamir, Adelson algorithm

32. 간단한 modular arithmetic • x mod n = x를 n으로 나누었을 때 나머지(remainder) • 법칙: [(a mod n) + (b mod n)] mod n = (a+b) mod n [(a mod n) - (b mod n)] mod n = (a-b) mod n [(a mod n) * (b mod n)] mod n = (a*b) mod n • 따라서 (a mod n)d mod n = ad mod n • 예: x=14, n=10, d=2:(x mod n)d mod n = 42 mod 10 = 6xd = 142 = 196 xd mod 10 = 6

33. + - K K B B RSA: 공개키와 개인키 생성 1.두 개의 큰 소수p, q를 선택한다. 2. n과 z를 계산: n = pq, z = (p-1)(q-1) 3.e (with e<n)를 선택한다. e와 z는 “서로 소”(공약수가 없다). 4.d를 선택한다. ed-1는 z로나누어진다. (ed mod z = 1 ). 5.공개키:(n,e).개인키:(n,d).

34. 1.m(<n)을 다음과 같이 암호화 d e c = m mod n m = c mod n d e m = (m mod n) mod n RSA: 암호화와 복호화 0. (n,e)과 (n,d)를 앞에서와 같이 계산 2.c를 복호화 Magic happens! c

35. c = me mod n, cd mod n = m • for any x and y: xy mod n = x(y mod z) mod n • where n= pq and z = (p-1)(q-1) • 따라서, cd mod n = (me mod n)d mod n = med mod n = m(ed mod z) mod n = m1 mod n = m

36. d e c = m mod n m = c mod n d c RSA 예: p=5, q=7. Then n=35, z=24. e=5 (따라서e와 z는 서로 소). d=29 (따라서ed-1는 z로 나누어진다). e m m bit pattern encrypt: 0000l000 17 24832 12 c decrypt: 17 12 481968572106750915091411825223071697

37. K (K (m)) = m - B B + K (K (m)) - + = B B RSA: 또 다른 중요한 성질 개인키를 먼저 적용, 다음에 공개키를 적용 먼저 공개키를 적용, 다음에 개인키를 적용 결과는 동일하다!

38. K (K (m)) = m - B B + K (K (m)) - + = B B 왜 ? 다음과 같은 modular 연산에 의해서 성립: (me mod n)d mod n = med mod n = mde mod n = (md mod n)e mod n

39. 왜 RSA는 안전한가? • Bob (n,e)의 공개키를 알고 있을 때, d를 찾는 것이 얼마나 어려운가? • 이것은 n을 인수분해하여 두 개의 소수 p와 q를 얼마나 빨리 찾을 수 있느냐에 달려있다. • 커다란 수의 두 소수 p,q를 찾는 것은 어렵다. RSA 키 생성 • 두 개의 커다란 소수 p와 q를 찾아야 한다.

40. 공개키의 응용 • 공개키 사용의 문제점 • 지수 연산은 계산 시간이 많이 요구된다. • DES는 적어도 RSA 보다 100배 빠르다. • 따라서 공개키를 긴 메시지 전체를 암호화하는데는 사용하지 않는다. • 공개키의 응용 • 공개키를 사용하여 대칭키를 암호화하여 전송하고 메시지의 암호화는 대칭키를 사용한다. • 디지털 서명 • 인증

41. Chapter 8 목차 8.1네트워크 보안이란 무엇인가? 8.2암호학의 원리 8.3메시지 무결성 8.4전자 메일의 보안 8.5 TCP 연결의 보안: SSL 8.6네트워크 계층의 보안: IPsec 8.7무선 랜의 보안 8.8운영상 보안: 방화벽과 침입 방지 시스템

42. 메시지 무결성(integrity) • 통신 개체들이 수신한 메시지가 진짜인 것을 증명 • 메지지의 내용이 변경되지 않았다. • 메시지의 생성자가 내가 그런 것으로 알고 있는 개체이다. • 이전 메시지가 다시 전송되지 않았다. • 전송되는 메시지의 순서가 유지되었다. • 접근 방법 • 메시지 다이제스트(message digest)

43. 함수 H( )는 임의의 길이의 메시지를 입력으로 받아서 고정된 길이의 메시지 스트링을 만들어낸다. H( ) : many-to-1 함수 H( )는 “해쉬함수(hash function)”라고 불리운다. 요구되는 특성: 계산이 용이 단방향: H(m)에서 m을 찾을 수 없다. 충돌 방지: H(m) = H(m’)인 m과 m’을 계산하는 것은 어려워야 한다. 출력값은 랜덤해야 한다. large message m H: Hash Function H(m) 해쉬 함수와 메시지 다이제스트

44. checksum: 불완전한 해쉬 함수 에러 코드로 사용하는 checksum은 해쉬 함수의 특성을 갖고 있다: • 고정된 길이의 메시지 다이제스트(16-bit sum)를 생성한다. • many-to-one • 하지만 어떤 해쉬값을 갖는메시지가 있을 때동일한 해쉬값을 갖는 또 다른 메시지를 쉽게 찾을 수 있다. • 예: 단순한 체크섬: ASCII format message ASCII format message I O U 9 0 0 . 1 9 B O B 49 4F 55 39 30 30 2E 31 39 42 D2 42 I O U 1 0 0 . 9 9 B O B 49 4F 55 31 30 30 2E 39 39 42 D2 42 B2 C1 D2 AC B2 C1 D2 AC 다른 메시지 하지만 동일한 checksum!

45. MD5 (RFC 1321) 널리 사용되고 있다. 4단계의 계산으로 128-bit 메시지 다이제스트를 생성한다. SHA-1 US 표준 [NIST, FIPS PUB 180-1] 160-bit 메시지 다이제스트 해쉬 함수(hash function) 알고리즘

46. s = shared secret s s message message message H( ) H( ) compare 메시지 인증 코드(MAC) • 송신자를 인증한다(authenticate) • 메시지 무결성을 증명 • 암호화는 없음 ! • “keyed hash”라고도 불리움 • MDm = H(s||m) ; 전송 m||MDm

47. HMAC (RFC 2104) • 널리 사용되고 있는 MAC 표준 • MD5나 SHA-1 해쉬 함수와 함께 사용될 수 있다. • 응용 예: OSPF • 공걱 • 메시지 삽입 • 메시지 제거 • 메시지 수정 • 어떻게 라우터는 전송받은 메시지가 진짜인지 알 수 있는가?

48. 종단 개체 인증(End-point authentication) • Bob이 Alice로부터 메시지(m)와 함께 MAC을 받았다. • Bob은 이 메시지가 중간에 변경되지 않았다는 것을 확신할 수 있는가? • Bob은 이 메시지를 Alice가 만들었다는 것을 확신할 수 있는가? • Bob은 이 메시지를 Alice가 보냈다는 것을 확신할 수 있는가?

49. Transfer $1M from Bill to Trudy Transfer $1M from Bill to Trudy MAC MAC 메시지 재사용(playback) 공격 MAC =f(msg,s)

50. Transfer $1M from Bill to Susan MAC 메시지 재사용 공격에 대한 방어: nonce “I am Alice” R MAC =f(msg,s,R)