Server Infra/Security Server Infra/Security 2023. 9. 17. 보안 스터디 - 보안 전송(7/?) 이 장은 많은 인프라담당자와 개발자에게 매우 익숙한 내용이 많이 나온다. 바로 보안 전송 프로토콜에 대한 내용이다. 아마 암호학 부분에서도 실무에 가장 많이 사용되는 부분이 아닌가 싶다. 여기서는 특히 TLS 프로토콜에대해 주로 거론된다. 자 그러면 TLS에 대해 이해하기 위해선 아주 간단한 HTTP 프로토콜에 대해 알아볼 필요가 있다. HTTP는 메시지 전송 제어 프로토콜(TCP)에 정의된 TCP 프레임이라는 다른 유형의 메시지로 캡슐화 된다. TCP는 이진 프로토콜이기 때문에 사람이 읽을 수 없다. 자 그렇다면 HTTP 프로토콜을 사용하는 example.com이라는 웹 서버가 있다고 가정해볼때 클라이언트가 해당 서버를 요청하고 응답받고 있다고 하자. 이때 악의적인 사용자가 있다면 MITM 공격을 통해.. Server Infra/Security 2023. 9. 17. 보안 스터디 - 서명과 영지식 증명 (6/?) 이전 과정에서 공부한 인증키에서 이야기된 서명에대한 내용이다. 일반적으로 서명 체계는 세 가지 알고리즘으로 구성된다. 서명자가 새로운 비밀키(개인키)와 공개 키를 생성하는데 사용하는 키 쌍 생성 알고리즘 개인 키와 메시지를 사용하여 서명을 생성하는 서명 알고지름 공개 키, 메시지, 서명을 사용하여 성공 또는 오류 메시지를 반환하는 알고리즘 이렇게 만들어진 서명은 메시지의 원본과 메시지의 무결성을 인증하는 데 유용하다. 원본 : 내 서명이 있는 경우 내가 보낸것 무결성 : 누군가가 메시지를 수정하면 서명이 무효화 된다. 그러면 어디에 사용될까? 우리는 아주자주 서명이 들어간 인증 키 교환을 사용한다. 예를 들어서 https://naver.com과 같은 tls 적용된 키 교확 그리고 웹 PKI(Web Pub.. Server Infra/Security 2023. 9. 10. 보안 스터디 - 비대칭/하이브리드 암호화 (5/?) Security를 공개키에 담기 위한 비대칭 암호화와 데이터를 공개 키에 담기 위한 하이브리드 암호화에 대해 요약해보려 한다. 책에서는 Chapter6에 해당한다. 비대칭 암호화? Chapter1을 요약하면서 간단하게 설명하였는데 비대칭 암호화(공개 키 암호화 라고도 한다)를 자세히 알아보는 Chapter이다. 여기선 간단한 실 사례로 암호화된 이메일을 예로든다. 간단하게 다양한 사용자가 메일을 암호화 하여 특정 A라는 사용자에게 보낸다. A라는 사용자는 모든 메일을 복호화 하여 읽을 수 있다. 따라서 비대칭 암호화에 사용되는 키 생성 알고리즘에서는 개인키라고도 불리우는 비밀키과 공개키 두개를 생성하는 키 생성 알고리즘이 이 존재한다. 이렇게 생성된 키 쌍을 가지고 upstream과 downstream간.. Server Infra/Security 2023. 9. 10. 보안 스터디 - 인증 암호화 (4/?) 리얼월드암호학 4장을 요약해보았다. 이 장은 인증에 대해 암호화가 무엇인지와 어플리케이션에서 암호화를 어떤식으로 사용하는지에 대해 다룬다. 만약 A라는 사용자와 B라는 사용자가 메시지를 서로 주고 받는다고 생각해보자. 이전의 MAC을 사용하기 이전에 1, 2장의 내용을 보면 이들은 cipher라는 암호화 알고리즘을 사용할 것이다. 만약 이 둘이 메시지 플랫폼을 사용한다면 메시지 플랫폼에서는 메시지를 암호화 하고 무작위로 보이는 문자열로 변환한뒤 대상하게 전달하고 이 암호를 푸는 형태의 로직을 가지고 있어야 한다. 이때 이 플랫폼은 아래의 두 가지를 포함한 암호화 알고리즘(encryption algorithm) 비밀 키 : 예측할 수 없고 임의적인 특성을 지니고 있는 키 평문(Plain Text) : 암호.. Server Infra/Security 2023. 9. 10. 보안 스터디 - 메시지 인증 코드 (3/?) 리얼월드 암호학의 3장은 메시지 인증코드(Message Authentication Code, MAC)에 대한 이야기 이다. 앞서 1장 2장의 요약에서 말한 해시 함수나 대칭/비대칭 키에서닌 비밀 키라는 공통의 요소를 기반으로 만들어진 개념들이다. 이런 키가 없다면 기밀성, 인증 무엇도 있을 수 없다. 3장은 이러한 비밀키를 활용한 인증을 어떻게 구현할 수 있는지에 대한 주요 내용을 전당한다. 그래서 MAC을 어떻게 활용할까? 대표적으로 우리가 웹 브라우저에서 무지성으로 동의하는 쿠키(Cookie)가 있다. 고객의 보다 나은 경험을 위해 인증을 매번 실행 하는 것이 아니라 각 요청에 필요한 정보들을 저장하고 관리 할 수 있다. 예를 들어 보면, 우리가 어떠한 사이트를 들어갔다고 하자. 계정과 암호를 입력하.. Server Infra/Security 2023. 9. 3. 보안 스터디 - 해시 함수 (2/?) 이전 글에서 이야기 한것처럼 이번 장에서는 해시 함수(Hash Function)을 정리해보고자 한다. 우선 아래의 두 유투브를 보고 오자 https://www.youtube.com/watch?v=67UwxR3ts2E https://www.youtube.com/watch?v=HraOg7W3VAM 사실 해시 함수, 해시 테이블이란건 Key-Value 기반의 데이터 스토리지 또는 Map, HashMap 객체를 쓰는 개발자들이라면 알게 모르게 모두들 사용하고 있는 기법이다. 다만 암호화에서는 어떤 프로그램을 다운로드 할때 sha256sum이라는 파일을 다운 받는 경우가 있을것이다. 이건 해당 파일의 무결성을 확인하기 위해 digest를 비교하여 파일이 무결한지 확인하기 위해 서로 문자열을 비교한다. 아마 파일 .. Server Infra/Security 2023. 9. 3. 보안 스터디 - 암호학 (1/? - 실무에 쓸만한 것만 요약할거임...) 최근 AWS의 Hacking과 보안 관련 스터디를 하고 있다. 나는 인프라를 안전하게 보안하는 것이야 기본적으로 권장하는 Base를 지키는게 제일 중요하다 생각한다. 참고로 관련된 정보를 다루는 곳이라면 아래의 사이트를 참조하면 된다. https://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/security-reference-architecture/foundations.html 보안 기반 - AWS규범적 지침 이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오. docs.aws.amazon.com 위 정보 말고도 다양한 정보들이 있으며 Con.. Server Infra/Security 2023. 8. 27. S3 Block all public access 상태에서 Object를 접근 해보자 보안 스터디를 하면서 사용 하는 계정이 회사의 정책으로 Public 하게 오픈하면 아주 혼나는 상황이기에 매우 당황스러웠다. 그래서 Block all public access가 활성화 되어 있는 상태에서 Object를 보다 안전하게 접근하는 방법을 간략하게 설명하려 한다. 참고로 이 방법은 CloudFront와 Route53을 이용한다. 또한 Public DNS가 필요하다. 보안을 위한 일이라 기존에 구매했던 Domain을 연장했다(참고로 나름 마음에 들어서 점유하고 있을 예정이다). DNS는 위와 같이 구매해서 이미 Route53에 등록 해 놓았다. 이제 S3를 생성하고 CloudFront를 연결해보자. S3또한 생성하였다. 여기서 Block Public Access settings for this b.. 이전 1 다음
