보안11 HTTPS를 위한 간단한 사전 지식 암호학에 대한 이론이 없으면 생각보다 관련 개발하기가 힘들다. 또한 이는 자주 접하는 부분도 아니기 때문에 공부를 해도 까먹기 마련이다. 다시 한번 기본 개념을 빠르게 훑어보자! Checksum 데이터의 오류 여부 확인 방법으로 널리 사용된다. 데이터 원본을 클라이언트에게 전송했는데, 이 데이터의 원본과 사본이 완벽하게 일치하는지 확인하는데 비교하는 방법론이다. 원본 + 체크섬(원본 데이터로 만든 데이터)을 같이 보내서 클라이언트에서 재 검사를 통해 만든 체크섬과 받은 체크섬 값과 비교하여 같으면 원본 데이터이고 같지 않으면 위조 데이터로 취급한다. 이는 일정 자릿수를 정하고 범위를 넘는 자리올림은 버려서 자릿수를 유지한다. 하지만 체크섬을 위조한다면 클라이언트에서는 위조 여부를 알지 못한다. 이를 대안.. 2022. 11. 12. 암호 보호되어 있는 글 입니다. 2022. 4. 9. 컴퓨터 보안 정보보호. 우리는 여러 정보를 보호하려고 한다. 허락되지 않은 접근, 수정, 훼손, 유출 등을 막기 위한 정책이나 기법을 정보보호의 개념이라고 한다. 컴퓨터 보안은 정보보호의 한 영역으로 컴퓨팅 환경이 관여된 모든 상황에 대한 정보보호를 뜻 한다. 기밀성, 무결성, 가용성을 정보보호의 목표로 삼는다. 이를 CIA traid라고 한다. 기밀성 - 허락되지 않은 자가 정보의 내용을 알 수 없도록 하는 것 만약 특정 서비스를 제공할 때 우리는 개인정보 활용동의서를 통해서 고객에게 개인정보를 저장한다고 요청한 후 해당 고객 정보를 우리의 데이터베이스에 저장을 한다. 서비스 업체는 기밀성을 지킬 의무가 있으며 반드시 노력을 해야 한다. 이러한 기밀성을 지키기 위해서는 권한이 없는 사람이 정보에 접근을 일체 못하게.. 2022. 4. 9. TLS/SSL 아키텍처 TLS/SSL 적용하기 위해서 SSL 아키텍처를 모두 뜯어볼 생각이다. 사실 SSL 인증서 관련 문의도 많고, SERVER TO SERVER 통신 시 SSL 관련 로직도 상당히 많아서 이번에 확실히 잡고 HTTPS 구축을 진행하려고 한다. 개발자로 느낀 거지만 어중간하게 아는 것은 치명적인 독으로 작용한다는 사실!!.. 하지만 배울 건 넘치고.. 기억력은 한계에.. 그래서 반복하는 게 최선이라고 생각한다. [ SSL 사용 이유 ] 네트워크 보안을 공부하신 분들이라면 대칭키, 비대칭키를 공부하셨을 것입니다. 대칭키는 통신하려는 서로 간 모두 키를 알고 있어야 데이터를 암호화, 복호화할 수 있습니다. 동일한 키를 사용하기 때문에 속도도 매우 빠르지요. 대신 대칭키를 공유하는 과정에서 노출된다면 암호화된 모든.. 2022. 1. 27. SOP 동일 출처 정책(same-origin policy)은 어떤 출처에서 불러온 문서나 스크립트가 다른 출처에서 가져온 리소스와 상호작용하는 것을 제한하는 중요한 보안 방식입니다. 동일 출처 정책은 잠재적으로 해로울 수 있는 문서를 분리함으로써 공격받을 수 있는 경로를 줄여줍니다. - mozilla- 다음은 모질라에서 sop에 대한 정의입니다. 한 origin으로부터 로드된 document 또는 script가 다른 origin의 리소스와 상호 작용을 제한하는 중요한 보안 방식입니다. 여기서 주목해야 할 것은 문서와 스크립트입니다. 우선 개발자 도구를 켜서 현재 origin이 어떻게 구성되어 있는지 확인해 보겠습니다. 현재 페이지의 오리진입니다. 오리진은 3가지로 구성되어 있습니다. 1. SCHEME : htt.. 2021. 5. 22. 운영체제 보안 모델 보안 모델이란 컴퓨터 시스템과 사용자의 보안 성질을 설명하는 추상적인 형태로서 모델의 설정과 접근권한에 대한 제어가 핵심 개념이 된다. 보안 모델을 적용하기 위해서는 보안 정책과 보안 메커니즘이 필요하다. 보안 정책 - 권한 부여(Authorization) : 어떤 객체를 어떻게 액세스 할 수 있는지를 결정한다. 운영체제는 모든 주체와 객체는 신분 확인 및 인증이 가능해야 하며, 자원에 대한 접근제어와 보안등급을 부여하여 사용한다. - 임의적 접근제어 (Discretionary Access Control, DAC) : 관리자 혹은 자원 소유자가 보안 관리자의 개입 없이 자율적 판단에 따라 보유하고 있는 자원의 접근권한을 다른 사용자에게 부여하는 기법을 말한다. - 강제적 접근 제어 (Mandatory A.. 2021. 3. 25. 컴퓨터 시스템의 보호와 보안 컴퓨터 시스템에서 보호란 각 프로세스가 프로세서를 점유하는 시간, 사용하는 자료, 자료가 관리되는 작업, 점유하는 장치 등을 대상으로 컴퓨터 시스템 내부 자원 각각의 영역을 보장해 주는 것을 의미한다. 또한 컴퓨터 시스템에서 보안이란 원거리에서 접근하는 사용자들에 대해서도 인증 메커니즘과 암호화 메커니즘 등을 통하여 합법적인 처리만이 이루어지도록 보장하여 시스템과 그 시스템 내의 자료가 결함이 없도록 보존시키고 신뢰성을 유지하는 기법을 의미한다. 이 보호와 보안은 여러 목적이 존재한다. 첫 번째는 사용자가 자원에 대한 접근 제한을 의도적으로 위반하는 것을 방지한다. 두 번째는 주변 시스템 간의 인터페이스에서의 잠재적인 오류를 검출함으로써 시스템의 신뢰도를 증가시킨다. 세 번째는 시스템의 자원들이 무자격 .. 2021. 3. 24. 웹 보안 프로토콜 기본 적으로 웹 서버와 웹 클라이언트 간의 사용자 인증 방법만으로는 보안을 위해 필요한 요구 사항들을 만족시킬 수 없다. 웹 보안을 위해 사용되는 주요 프로토콜로는 응용 계층에서 동작하는 메일 보안을 위한 PGP, PEM , S/MIME과 HTTP보안을 위한 HTTPS, 원격 로그인 시 통신을 암호화하는 SSH, 전송 계층과 세션 계층 사이에서 동작하는 SSL/TLS, 네트워크 계층에서 동작하는 IPSec 등이 있다. 1. 이메일 보안 인터넷에서 많이 이용되고 있는 이메일은 송신자에서 수신자에 이르기까지 많은 위험과 취약점을 가지고 있어서 그 내용의 보안을 보장할 수 없다. 내용을 암호화함으로써 중간에서 가로채더라도 다른 사람이 알아볼 수 없게 만드는 것이 있는다. 따라서 메일 보안을 위해 PGP,PEM.. 2021. 2. 28. 암호 기법 암호화란 누구나 읽을 수 있는 평문을 권한이 없는 제삼자가 알아볼 수 없는 형태로 재구성하는 과정을 말하며, 암호화의 역 과정으로 암호문을 평문으로 복원하는 것을 복호화라고 말한다. 현재 대부분의 조직이 침입자의 악의적인 공격으로부터 중요한 정보를 보호하기 위해 침입자 차단 시스템 , 침입탐지 시스템, 바이러스 방역 등의 정보 보호 시스템을 운영하고 있다. 그러나 중요 정보에 대한 완벽한 방어는 불가능하므로 정보 자체에 대한 보호 수단으로 암호화가 사용된다. 암호화는 대개로 전달 과정의 기밀성 보장, 정보의 무결성 보장, 송신자와 수신자의 정당성 보장 기능이 잇으며 암호화에 사용되는 기술은 동작 형태, 평문의 처리 방법, 암호화와 복호화에 사용되는 키의 종류에 따라 분류될 수 있다. 암호화 기술 - 암호.. 2021. 2. 28. 네트워크 보안 위협 유형 보안을 위협하는 유형은 먼저 부정하고 악의적인 행위를 수행하는 사람이 누구냐에 따라 두 가지 유형으로 분류될 수 있다. 정보를 송 * 수신하는 두 당사자를 제외한 인가받지 못한 제삼자가 통신 중인 정보를 공격하는 경우와 송 수신하는 두 당사자 중 어느 한쪽이 상대방을 속이는 경우이다. 별개로 악성 프로그램인 컴퓨터 바이러스나 웜 등을 이용하여 시스템을 감염시켜 시스템이나 네트워크의 보안을 위협하는 경우가 존재한다. 1. 제삼자에 의한 불법적인 공격 유형 공격 유형 설명 modification 비인가된 사용자 또는 공격자가 시스템에 불법적으로 접근하여, 데이터를 조작함으로써 원래의 데이터가 다른 내용으로 바뀌는 행위를 말한다. 이는 정보의 무결성 보장을 위협한다. interception 비인가된 사용자 또.. 2021. 2. 28. 이전 1 2 다음
