대칭키는 크기가 큰 메시지를 암호화할 때, 비대칭키를 이용하는 것보다 효율적이다.
하지만 사전에 키를 공유해야 하기 때문에 키 관리가 중요하다.
🔑 KDC (Key-Distribution Center)
- 송신자와 수신자는 KDC에 초기 등록을 한다.
- 송신자는 KDC에 본인 인증을 한다.
- 그리고 수신자와의 session 키를 요청한다.
- KDC는 수신자에게 의사를 확인한다.
- 동의시, session 키를 생성하여 양쪽에 전달한다.
- session키(비밀키)는 송신자와 수신자를 직접 왔다갔다 할 수 없고, KDC를 통한다.
✔ Flat Multiple KDCs
- 이용자가 많아져서 병목 현상이 일어난다.
- KDC를 여러개 만든다.
- 송신자가 자신이 속한 KDC에 요청하면, 해당 KDC가 수신자가 속한 KDC에게 요청한다.
✔ Hierarchical Multiple KDCs
- 더 확장된 KDC이다.
- 국제 KDC, 전국 KDC, 지역 KDC처럼 계층 구조로 되어 요청이 상위 계층을 통한다.
<한개의 KDC를 이용할 경우>
1. 송신자는 KDC에 '자신의 ID'와 '원하는 수신자의 ID'가 담긴 메시지를 보낸다.
2. KDC는 티켓을 만들어 받은 메시지와 session키를 담아 보낸다.
3. 송신자는 티켓에서 session키를 얻는다. 그리고 티켓을 수신자에게 보낸다.
4. 수신자는 티켓을 통해 session키를 얻고 송신자를 신뢰한다.
- 재생공격을 받을 수 있다.
Needham-Schroeder
송신자와 수신자, 양쪽 모두에서 비표를 가지고 시도와 응답을 통해 인증한다.
Otway-Rees
송신자와 수신자, 양쪽 모두에서 비표를 가지고 시도와 응답을 통해 인증한다.
🔑 커버로스 (KDC기반의 인증 프로토콜)
- AS : 인증서버, KDC 역할
- TGS : 티켓-발급 서버
- 데이터 서버(Real Server)
- AS는 사용자 검증을 하고, 송신자와 TGS 사이의 티켓을 발급한다.
- 한번의 인증으로 여러번 TGS와 통신할 수 있다.
- 여러 TGS와 통신하여 다양한 Real Server와 접촉할 수 있게된다.
- TGS는 송신자와 수신자 사이의 session키를 발급하고, 수신자에게 티켓을 발급해준다.
- 클라이언트-서버 FTP용으로 설계된다. 개인 대 개인 X
🔑 KDC 없이 대칭키 합의하기
⦁ Diffie-Hellman 키 합의
이산대수공격과 중간자 공격에 약하다.
⦁ station-to-station (국-대-국 키 합의)
디지털 서명을 이용한 방법이다.
🔑 공개 키 배분 하는법
✔ 신뢰받는 센터를 이용
- 센터에서 디렉토리에 사용자의 공개키를 저장해놓는다.
- 타임스탬프를 포함시켜 더 안전하게 한다.
- 기관이 서명을 하여 공격자가 중간에 수정하지 못하도록 한다.
- 인증서 : CA를 통해 인증된 인증서를 다운받아 공개키를 추출해 사용한다.
- X.509 : 통일성을 위한 인증서 양식
- PKI (공개키 기반) : X.509을 사용하여 공개키를 발급, 갱신, 폐지하는 모델이다.
'보안' 카테고리의 다른 글
네트워크 계층 보안 - IPSec (0) | 2024.08.11 |
---|---|
전송 계층 보안 - SSL, TLS (0) | 2024.08.11 |
개체 인증의 종류 (0) | 2024.08.11 |
디지털 서명 (0) | 2024.08.11 |
암호학적 해시함수 (0) | 2024.08.11 |