본문 바로가기
Major/#정보보호(Data protection)

전자 서명 공격 방법들 (Electronic signature attack methods)

by Bright_Between 2023. 4. 24.
반응형

전자 서명은 중요한 정보를 안전하게 전송하고, 정보의 무결성과 인증을 보장하기 위해 사용됩니다. 하지만, 악의적인 공격자가 전자 서명을 위조하거나 변조하여 서비스 거부 공격과 같은 공격을 시도할 수 있습니다. 따라서, 전자 서명에 대한 보안성 강화가 필요합니다.

 

중간자 공격 (출처: https://www.appsealing.com/kr/%EC%A4%91%EA%B0%84%EC%9E%90-%EA%B3%B5%EA%B2%A9/)



전자 서명에 대한 공격 방법 중 가장 대표적인 것은 중간자 공격(man-in-the-middle attack)입니다. 이 공격은 공격자가 통신 경로에 끼어들어서, 정보를 도청하거나 변경하는 공격입니다. 중간자 공격은 전자 서명에서 발생할 수 있는 가장 큰 위협 중 하나입니다.

중간자 공격을 막기 위해서는 공개키 인증서를 사용해야 합니다. 공개키 인증서는 서비스 제공자의 공개키를 검증할 수 있는 인증서이며, 이를 통해 공격자가 서버와 클라이언트 사이에 끼어들기 어렵게 됩니다.

하지만, 공개키 인증서를 통해 보안성을 강화하는 것만으로는 충분하지 않습니다. 인증서가 해킹당하거나 위조된 경우에는 보안성이 크게 저하될 수 있습니다. 이를 방지하기 위해서는 신뢰할 수 있는 인증서 발급 기관에서 인증서를 발급받아야 합니다.

 

해시함수에 대한 공격 방법 (출처: https://www.uname.in/132)



또한, 해시 함수에 대한 공격도 전자 서명에 대한 공격 중 하나입니다. 해시 함수는 임의의 길이의 데이터를 고정된 길이의 데이터로 변환하는 함수입니다. 전자 서명에서는 해시 함수를 사용하여 메시지에 대한 요약 정보를 생성하고, 이를 전자 서명하는 과정에서 사용됩니다.

해시 함수에 대한 공격 중 가장 대표적인 것은 충돌 공격(collision attack)입니다. 충돌 공격은 서로 다른 메시지가 동일한 해시값을 가지는 경우를 찾아내는 공격입니다. 이를 통해 공격자는 전자 서명을 위조할 수 있습니다.

충돌 공격을 막기 위해서는 안전한 해시 함수를 사용해야 합니다. 안전한 해시 함수는 임의성, 저항성, 비파괴성 등의 특징을 가지며, SHA-256, SHA-3 등이 대표적인 안전한 해시 함수입니다.

 

공인인증서의 전자 서명 기능 (출처: https://m.blog.naver.com/kangyh5/222094566418)



마지막으로, 인증서의 필요성에 대해 알아보겠습니다. 인증서는 서버와 클라이언트 간의 통신에서 보안성을 보장하기 위해 사용되는 디지털 인증 도구입니다. 인증서는 일종의 전자적인 신뢰 문서로, 공개키 암호화를 이용하여 서버와 클라이언트 간의 통신에 사용되는 공개키를 검증하는 역할을 합니다.

인증서는 보통 인증 기관이 발급하며, 인증 기관은 서버의 신원을 확인한 후 해당 서버의 공개키를 인증서에 기록합니다. 클라이언트가 해당 서버에 접속할 때, 서버는 자신의 인증서를 전송하고 클라이언트는 해당 인증서의 인증 기관을 신뢰하는지 확인한 후, 인증 기관의 공개키를 사용하여 서버의 공개키를 검증합니다. 이를 통해 서버의 신원을 확인하고 통신의 보안성을 보장할 수 있습니다.

하지만, 인증 기관도 해킹 등의 공격에 취약할 수 있으며, 인증서의 신뢰도를 검증하는 과정에서 중간자 공격 등의 공격이 발생할 수 있습니다. 이를 방지하기 위해, 인증서의 검증 과정에서는 인증 기관의 공개키가 신뢰할 수 있는지를 검증해야 합니다.

또한, 인증서는 일정 기간이 지나면 만료되어 더 이상 사용할 수 없게 됩니다. 만료된 인증서는 보안에 취약하므로, 정기적으로 갱신해주는 것이 좋습니다.

 



정리하자면, 인증서는 서버와 클라이언트 간의 통신에서 보안성을 보장하기 위해 사용되는 디지털 인증 도구입니다. 인증 기관이 발급하며, 서버의 공개키를 검증하여 통신의 보안성을 보장합니다. 그러나 인증 기관이 해킹 등의 공격에 취약할 수 있으며, 검증 과정에서 중간자 공격 등의 공격이 발생할 수 있습니다. 따라서, 인증서 검증 과정에서는 인증 기관의 공개키를 신뢰할 수 있는지를 검증해야 하며, 정기적으로 인증서를 갱신해야 합니다.

반응형
저작자표시 변경금지

'Major > #정보보호(Data protection)' 카테고리의 다른 글

URL과 URI (URI vs URL Differences)  (0) 2023.05.05
개인정보의 종류와 보호 필요성 (Types and Necessity of Personal Information)  (0) 2023.04.25
전자 서명의 공개키 암호 알고리즘 (Public key algorithms for electronic signatures)  (0) 2023.04.24
대칭키 암호와 공개키 암호 (Symmetric & Public key encryption)  (0) 2023.04.24
해시함수의 안전성 (security of hash function)  (0) 2023.04.24

관련글

댓글

티스토리툴바