루니프의 짤막보안강의 루니프의 짤막보안강의

[2021/01/26][짤막한 이야기 - 종단자 공격] 많은 사람들이 “중간자 공격”은 알고 있지만, “종단자 공격”은 상대적으로 잘 알려져 있지 않다. 주로 소프트웨어나 프로그램에 적용되는 공격이다(물론, 다른 객체에도 적용될 수 있다.). 간단히 말해서 소프트웨어의 지적재산권을 침해하거나 취약점을 익스플로잇하기 위한 목적의 공격이다. 소프트웨어를 획득(합법 구매 혹은 불법 다운로드를 모두 포함)한 공격자는 이의 분석을 위한 제약이 더 이상 없어지게 된다. 분석에 투자하는 시간, 분석의 능력, 분석에 사용 가능한 도구가 모두 무한하다고 가정할 수 있다. 예를 들어 “앨리스(Alice)”가 “이브(Eve)”에게 소프트웨어를 팔았다. 앨리스가 이브의 소프트웨어 구매 후의 행위를 멈출 수 있을까? 이것이 “..

[2021/01/26][짤막한 공지 - 페이스북 계정 생성] 안녕하세요, 루니프입니다. 페이스북 계정을 생성하였습니다. 페이스북에는 기본적으로 인스타그램에 포스팅되는 내용이 동일하게 게시됩니다. 페이스북의 주소는 “https://www.facebook.com/lootnip.lootnip”입니다. 페이스북에서 “LootNiP”를 검색하셔도 됩니다. ※ 참고로 인스타그램의 계정명은 “@lootnip”입니다. #공지 #루니프 #페이스북 #계정 #생성 [2021/01/26][Short Notice - Facebook Account Created] Hello, this is LootNiP. I have created a Facebook account. By default, the same content poste..

[2021/01/25][짤막한 이야기 - 케르크호프스의 원칙] “암호의 안전성은 알고리즘이 아니라 키의 안전성에만 의존되어야 한다.” 암호학자인 케르크호프스는 위와 같은 말을 하였다. 이 말은 암호학에서는 매우 기본이 되는 문장으로 자리잡았으며, 지금도 암호알고리즘 설계의 기본 원칙이 되고있다. 케르크호프스는 1883년 암호시스템 설계 원칙과 관련한 글을 작성하였으며, 그 글에는 6가지의 원칙이 존재한다. 그 중 2번째 원칙이 현대에 알려진 케르크호프스의 원리인 것이다. 2. (암호)시스템은 비밀스럽지 않아야하며, 적의 손에 넘어가도 문제가 되지 않아야 한다. 물론, 앞선 짤막한 이야기(평문 & 암호문[2021/01/20])에서의 암호알고리즘은 알고리즘 자체가 취약하기 때문에 키가 안전하더라도 적의 손에..

[2021/01/23][짤막한 이야기 - 중간자 공격] “이브(Eve)”가 “앨리스(Alice)”와 “밥(Bob)” 사이의 메시지를 가로챌 뿐 아니라 이브가 원하는 메시지로 보낼 수 있다면 어떤 상황이 벌어질까? 키 합의 과정에서는 “이산 대수 문제”에 의하여 “G^(Ra)” 혹은 “G^(Rb)”를 알더라도 “Ra” 혹은 “Rb”를 알 수 없는 부분이 있었다. 그러나 중요한 점은 “Ra” 혹은 “Rb”를 모르는 공격자(이브)가 두 개체(앨리스 & 밥) 사이의 키를 알게되는 상황이 있다는 점이다. 이것을 “중간자 공격”이라고 한다. 위 예시에서는 이브가 앨리스와 밥의 메시지를 탈취하고 그 후에 이브가 각자의 개체에 자신이 원하는 메시지를 전송한다. 이 경우에 이브는 “Ra”와 “Rb”를 계산할 수는 없지만..

[2021/01/23][짤막한 이야기 - 이산 로그] 암호학에서 이산 로그(“이산 대수 문제”라고도 알려짐)는 매우 중요한 개념 중 하나이다. 만약 당신이 “2^x = 16”이라는 표현식을 본다면, “x = 4”임을 쉽게 알 수 있다. 그러나 일반적인 로그 연산이 적용될 수 없는 상황도 있으며, 이를 “이산 로그”라고도 한다. 이산 로그의 정확한 조건은 “구글” 혹은 “네이버”에서 “이산 로그 문제”로 검색할 수 있다. 해당 예시에서 밑이 “G”이고 지수가 “Ra”, “Rb”인 수를 도청 공격으로 획득할 수는 있지만, “Ra”와 “Rb”를 추출할 수는 없다. (G가 공개되었다고 하더라도.) “앨리스(Alice)”는 “Ra”를 알고 있으며 “G^Rb”를 “밥(Bob)”으로부터 받았으니 “G^(Ra*Rb)를..

[2021/01/23][짤막한 공지 - “짤막한 이야기” 게시 일정] “짤막한 이야기”는 기본적으로 평일에 포스팅됩니다. 그러나 본인의 일정에 따라 주말에도 비정기적으로 포스팅될 수도 있습니다. 읽어주셔서 감사합니다. 좋은 주말 되십시오. #공지#루니프#짤막한이야기#게시#일정#주말#비정기 [2021/01/23][Short Notice - “Short Story” Posting Schedule] “Short Story” is posted on weekdays by default. However, depending on my schedule, it may be posted irregularly even on weekends. Thanks for reading. Have a nice weekend. #Noti..

[2021/01/22][짤막한 이야기 - 도청 공격] 암호학에서 도청 공격이란, 공격자가 쉽게 수행할 수 있는 기본적인 공격이다. 이는 공격자가 인터넷을 통해 흐르는 패킷을 획득하거나 누군가가 목적을 가지고 다른 사람에게 보내는 메시지를 가로채는 종류의 공격이다. “앨리스(Alice)”와 “밥(Bob)”은 키 교환을 위하여 키 전송 과정을 수행하고 있으며, “이브(Eve)”라는 공격자가 이 키를 가로채고 있다. 이것이 도청 공격의 기본적인 예이다. 이제 이브는 키(K)로 암호화된 앨리스와 밥 사이의 모든 암호화된 메시지를 복호화할 수 있다. 도청 공격은 메시지를 변경 혹은 제거하지 않고 단순히 가로챈다는 점에서 “수동적 공격”으로 분류된다. 이 경우 키 전송 과정에서의 키가 안전하게 보호되어서 전송되어야..

[2021/01/21][짤막한 이야기 - 키 합의 & 키 전송] 당신이 타인과 “안전한 통신 채널”을 형성하고자 한다면, 우선 “키”를 타인과 교환하여야 한다(이를 “키 수립” 혹은 “키 교환”이라고 한다.). 어떻게? 당신이 직접 키를 그들에게 전달할 수도 있을 것이다(오프라인으로). 그러나 키를 직접 전달할 수 있다면 키 대신 메시지를 전달할 수도 있고 그것이 더 효율적이며, 그럴 경우 키를 교환할 필요가 없기 때문에 항상 유용하다고 할 수는 없다. (물론, 오프라인에서의 키 교환은 당신이 타인과의 “신뢰점(Root of Trust, RoT)”을 형성하기 위한 방법으로는 유용할 수 있지만, 그것은 또 다른 이야기이다.) 이번 예시에서는 “앨리스(Alice)”와 “밥(Bob)”이 비밀키를 공유하려고 한..