(정보보안) 정보보안 종류와 특징

1. 정보보호 개요
  1) 정보보호 개요
    (1) 정보보호 개념
	정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적 기술적 수단, 또는 그러한 행위

    (2) 정보보호 목표
      [1] 기밀성(Confidentiality)
	정보가 허가되지 않은 사용자에게 노출되지 않는 것을 보장하는 보안 원칙
      [2] 무결성(Integrity)
	정보가 권한이 없는 사용자의 악의적 또는 비악의적인 접근에 의해 변경되지 않는 것을 보장하는 보안 원칙
      [3] 가용성(Availability)
	인가된 사용자가 정보시스템의 데이터 또는 자원을 필요로 할 때 원하는 객체 또는 자원에 접근하고 사용할 수 있는 것을 보장하는 보안 원칙

  2) 공격 유형
      [1] 소극적 공격(Passive Attack)
	도청(Sniffing)
	트래픽 분석
	스캐닝 등

      [2] 적극적 공격(Active Attack)
	위장/사칭(Masquerade), 스푸핑 등
	불법수정(Modification)
	방해(Interruption)
	위변조(Fabrication)
	재생공격(Replay Attack)
	서비스거부(DoS)
	분산서비스공격(DDOS) 등

      [3] 기타 공격
	사회공학 공격 : 비기술적인 수단(친분 등)으로 비밀 정보를 얻음

2. 정보보호 시스템 인증(정보보호 시스템, 제품에 대한 인증)
  1) TCSEC 인증 및 ITSEC 인증
    (1) TCSEC(미국, 오렌지 북)
	독립적인 시스템(OS, 제품)을 평가하기 위한 표준, BLP 기반(기밀성 우선시)

    (2) ITSEC(유럽)
	운영체제와 장치를 평가하기 위한 유럽형 지침

  2) CC(Common Criteria, ISO 15408) 인증
	CCRA 가입국 간에 정보보호 제품에 대한 상호인증이다. 
    (1) CC의 주요 제공 기능
      [1] PP(Protection Profile, 보호 프로파일)
	특정 기능의 요구를 충족시키는 제품의 기능성, 보증 관련 요구사항을 묶어 놓은 것
	ex) 방화벽이 일반적으로 가져야하는 기능을 보증

      [2] ST(Security Target, 보안목표명세서)
	벤더 또는 개발자에 의해 작성되는 것으로 특정 제품에 종속되는 보증 관련 요구사항
	ex) Sophos의 방화벽 장비

    (2) 평가 등급
	EAL1 기능 시험
	EAL2	구조 시험
        EAL3	체계적 시험

        EAL4	체계적 설계,시험

        EAL5	설계,시험 정형화

        EAL6	검증

        EAL7	검증	수치화



3. 접근 통제
  1) 접근 통제 개요
    (1) 접근
	주체와 객체의 흐름, 주체(자원의 접근을 요구하는 활동 또는 개체), 객체(자원을 가진 개체)

    (2) 접근의 단계
	식별(Identification, 사용자가 본인이 누구임을 밝힘), 인증(Authentication, 사용자가 맞음을 인정), 인가(Authorization, 권한 부여)

  2) 식별과 인증
    (1) 지식 기반 인증(타입 1, Something you know)
	대표적으로 패스워드, 패스워드 공격 기법 배웠죠?
    (2) 소유 기반 인증(타입 2, Something you have)
    (3) 존재(생체) 기반 인증(타입 3, Something you are)
    (4) 행동 기반 인증(타입 4, Something you do)

  3) 통합인증(SSO, Single Sign On)
	다수의 서비스를 하 번의 로그인으로 기업의 업무 시스템이나 인터넷 서빗에 접속할 수 있게 해주는 보안 시스템
	중앙 집중형 접근 관리, PKI, 윈도우의 Active Directory, 커버로스  등이 대표적
	단점 : SPOF(단일 고장 지점) -> 2단계 인증으로 예방

	[커버로스]
			      	웹 서버		1. 사용자는 인증 서비스에 인증
	사용자---------------	TGS	회계 서버		2. 인증 서비스는 사용자에게 시작 티켓(이름, 발급시간, 유효기간)을 전송
	    |			ERP		3. 사용자는 서비스 접근 요청
	    |					4. TGS 세션키가 포함된 새로운 티켓 생성
	  AS(인증 서비스)				5. 사용자는 하나의 세션 키를 추출하고 티켓을 파일 서버로 전송
						6. 티켓을 받은 서버는 사용자에 대한 서비스 제공 여부를 결정

  4) 접근 통제 기술
    (1) DAC(자율적, 임의적 접근 통제) : 객체의 소유자가 권한을 부여
    (2) MAC(강제적 접근 통제) : 오직 관리자에 의해서 권한이 할당 및 해제, 주체의 비밀 취급 인가 레이블 및 객체의 민감도 테이블에 따라 권한 지정
    (3) RBAC(역할기반 접근 통제) : 권한들의 묶음으로 Role을 만들어서 사용자에게는 Role 단위로 권한을 할당


  5) 접근 통제 모델
    (1) BLP 
	기밀성 모델, NRU(No Read Up), NWD(No Write Down)
    (2) Biba
	무결성 모델, NRD(No Read Down), NWD(No Write Up)

4. 암호학
  1) 암호학 기초
    (1) 암호학 기본 용어
	평문	: 평범한 문자로 이루어진 문자열 또는 글 또는 데이터
	암호문	: 암호화 알고리즘을 이용해서 평문을 암호화시킨 것
	암호화	: 평문을 암호문으로 만드는 행위
	복호화	: 암호문을 평문으로 만드는 행위
	암호화 알고리즘 : 암호화할 때 사용하는 방식
	복호화 알고리즘 : 복호화할 때 사용하는 방식
	암호화/복호화 키 : 암호화 또는 복호화할 때 사용되는 추가적인 값

    (2) 고전 암호 방식
	a b c d e f g h i j k l m n o p q r s t u v w x y z 
	x y z a b c d e f g h i j k l m n o p q r s t u v w 


	i love iu
	i l  v    u


		남자	-------------------------------------------> 	아이유(내연녀)
		평문     : i love iu					i love iu
		키        : r3					r3
		암호문  : f imtb fr					f imtb fr
				수지(여자친구)

  2) 대칭키 암호화
	암호화할 때와 복호화할 때 사용하는 키가 같다.
    (1) 블록 암호 알고리즘
	DES, AES, SEED, ARIA
	  f      s       f       s

      [1] Feistel 구조
	암호화 복호화 구조가 같고 키가 역순

      [2] SPN 구조
	암호화 복호화 구조가 반대, 키는 그대로

    (2) 스트림 암호 알고리즘
	RC4

  3) 비대칭키 암호화(공개키 암호화 방식)
	암호화할 때와 복호화할 때 사용하는 키가 다르다.
      (1) 종류
	RSA, ECC, ElgaMal

      (2) 암복호화 방식
	암호화한 키를 이용해서 복호화 할 수 없고, 암호화키와 쌍이되는 다른 키를 이용해서 복호화해야 한다.
	
      (3) 공개키 암호화 방식
	개인키, 공개키 하나의 쌍을 이루고 있다.
	개인키로 암호화 한 것은 공개키로만 복호화 가능
	공개키로 암호화 한 것은 개인키로만 복호화 가능
	개인키는 절대 공유 불가능
	공개키는 누구나 자유롭게 공유 가능


		남자	-------------------------------------------> 	아이유(내연녀)
			<-------------------------------------------
		공개키(하)					공개키(아)
		개인키(하)					개인키(아)
		공개키(아)

		평문
		암호문(공 아)


				수지(여자친구)
				공개키(수)
				개인키(수)
    


		1. 남자의 개인키로 암호화를 했을 때
		  1) 남자가 개인키로 평문을 암호화해서 암호문(개 하)를 생성
		  2) 남자가 암호문(개 하), 남자의 공개키(하)를 아이유에게 전송
		  3) 아이유는 남자의 공개키(하)로 암호문(개 하)를 복호화
		  4) 아이유가 평문을 획득


		if 수지가 아이유와 주고받는 내용을 모두 훔쳐보고 있을 때

		2. 아이유의 공개키로 암호화를 했을 때
		  1) 남자가 아이유한테 공개키(아)를 공유받고 해당 공개키(아)로 평문을 암호화해서 암호문(공 아) 생성
		  2) 남자가 암호문(공 아)를 아이유에게 전송
		  3) 아이유는 암호문(공 아)를 아이유의 개인키(아)로 복호화
		  4) 아이유가 평문을 획득
		  
		if 수지가 아이유와 주고받는 내용을 모두 훔쳐보고 있을 때


  4) PKI(공개키 기반 구조)
    (1) 인증서
	공개키에 대한 전자 서명을 하여 믿고 쓸 수 있게 함
	발급자, 발급 대상, 공개키 등이 들어있음

    (2) PKI 구성 요소
	PAA(최고 운영 기관, 방통위), PCA(자체 운영 기관, KISA), RootCA(최상위 인증 기관, KISA), CA(인증 기관, YesSign), RA(등록 기관, 은행)

    (3) 통신 절차
	1. 사용자는 네이버에게 공개키를 요청
	2. 네이버는 YesSign에게 인증서 발급 요청(네이버의 공개키를 YesSign에게 전송)
	3. YesSign은 인증서를 생성하고 전자서명 후 네이버에게 전송
	4. 네이버는 사용자에게 인증서 전송
	5. 사용자는 YesSign에게 공개키 요청
	6. YesSign은 RootCA에 인증서를 요청하고 RootCA는 절차대로 발급
	7. YesSign은 사용자에게 인증서 전송
	8. 사용자는 컴퓨터에 설치되어 있는 공개키를 통해 인증서 검증


  5) 일방향 암호화(해시)
	키가 없고 복호화가 불가능한 암호화 방식
	무결성만을 위한 암호화 방식, 기밀성X
	어떠한 길이의 입력을 하든 일정한 길이의 암호문이 출력

    (1) 해시 종류
      MD5, 	SHA128, SHA256, SHA512
      128바이트

    (2) 조건
	역상 저항성, 제2 역상 저항성, 충돌 저항성
					
  6) 전자 서명
	전자문서를 작성자의 신원과 전자문서 변경 여부를 확인할 수 있도록 비대칭 암호화 방식을 이용하여 전자서명 생성킬로 생성한 정보
	메시지 -> 해시 -> 해시 암호문 -> 송신자의 개인키로 암호화 -> 전자서명 -> 송시자가 DES 방식으로 암호화 -> 암호화된 전자 서명