현대암호화 통신에서 CA 인증서의 위험성과 중요성

1. 현대암호화 통신에서CA인증서의 위험성과 중요성 한양대학교 ICEWALL경기대학교 컴퓨터과학과 정구범

2. TigerTigerTigerTigerTigerTigerTigerTigerTiger • NineTiger • 경기대학교컴퓨터과학과정구범 • http://blog.ninetiger.com • admin@ninetiger.com

3. 앞으로우리는이것을 현대암호화 통신의 기반? 정확한 구현 방식은? 문제점이 뭘까요? TREE형식의 한계 뿌리가 무너진다면? 그 결과는? DEMO: 뿌리썩은 나무 해결책과 앞으로의 방향 Q&A

4. 현대암호화 통신의 기반? • SSL(Secure Socket Layer)처음에는 넷스케이프사에서전자상거래 등의 보안등 위해 개발 • TLS(Transport Layer Security)라는 이름으로 표준화 • 전송계층(Transport Layer)의 암호화 방식으로 구현따라서, HTTP 뿐만 아니라FTP, XMPP등 응용계층(Application Layer) 프로토콜의 종류에 상관없이 사용할 수 있는 장점이 있다. • Authentication, Encryption, Integrity를 보장한다.

5. 현대암호화 통신의 기반? 노란 자물쇠는 연결이 보호되고 있음을 보임. 자물쇠가 없거나 열려있다면 SSL을 사용하지 않는 것 표준 http는 https로 변경되며, 자동적으로 브라우져는SSL을 사용하여통신 EV-SSL인증서만이 이름을 주소창에 표시할 수 있음. 주소창이 녹색으로 변경되면 EV-SSL을 사용하는 것

6. 정확한 구현 방식은? 나는 너의 공개키로 암호화 해서 더 많은 파라미터를보낼께 나는 내 정보를 내 인증서의 개인키를 이용해서 보낼께, 따라서 너는 내가 인증서의 소유자임을 확신할 수 있지 나는 <Ver>들을 지원하고 <Cipher>들을 지원하는데 너와 암호화 통신을 하고 싶엉! ^.^ 다음 메시지는 암호화 해서 보낼꺼야 그래! 나는 그 제안을 받아들이겠어! 나는 <Ver>과 <Cipher>를 선택하겠어! 다음 메시지는 암호화 해서 보낼꺼야 나는 너가 의심스러워, 나에게 CA로 부터 인증받은 인증서를 보여줘.

7. 인증서 상호 인증 certificate authorities Web of trust 모두가 신뢰된 소개자를 선택 가능 모두가 한 두 명의 신뢰를 받을 수 있음 서서히 축적되어 키 집합에 통합 배포됨 모든 공개키들에게비중앙화된 실패-방지 출현을 발현 • 공개키를 발급하고 관리하는 네트웍 상의 기관 • 인증서 요구자에 의해 제공되는 정보를 검증하기 위한 등록기관과 함께 안정성 검사 • 중앙화된 집중식 인증구조

8. SSL Server Test ! • https://www.ssllabs.com/ssltest/

9. 문제점이 뭘까요?

10. TREE 형식의 한계 뿌리가 무너지게 된다면, 그 결과는?

11. DEMO : 뿌리 썩은 나무 신뢰된 CA인증서로 무엇이 가능한가?

12. 해결책과 앞으로의 방향 • EV-SSL • https://hg.mozilla.org/mozilla-central/file/776f6d341b3f/security/certverifier/ExtendedValidation.cpp • FS / PFS • Session key를 네트워크에 흘리지 않는 것 • End Point Security • 의심적인 CA인증서를 설치하지 않는 것 • 여러가지 툴들에 CA인증서가 같이 깔리기도 함 • EX) 백신, 무선랜 연결프로그램, 사내 보안 프로그램… • 위험할 수도 있다!

13. if ( Question ) Ask(Me);else Thank(You);

14. Image 출처 • http://news.netcraft.com/archives/2013/10/16/us-government-aiding-spying-against-itself.html • http://www.springerimages.com/Images/LifeSciences/5-10.1186_1471-2164-10-624-9 • https://hk.globalsign.com/ssl-information-center/what-is-ssl.html • http://www.webhostsrus.com/ssl-security/ • http://honhon20.tistory.com/m/post/87 • http://blog.naver.com/PostView.nhn?blogId=nachtrauern&logNo=20207596654 • http://software-engineer-tips-and-tricks.blogspot.de/2012/08/ssl-in-pictures.html • http://commons.wikimedia.org/wiki/File:Web_of_Trust.svg • http://www.omnisecu.com/security/public-key-infrastructure/certificate-authority-ca-hierarchy.php • http://en.wikipedia.org/wiki/Secure_Sockets_Layer • http://ag.arizona.edu/plp/plpext/diseases/trees/Ash/GRR2.html