1. 접근통제 모델 1-1. 강제적 접근통제 (MAC, Mandatory Access Control) 객체 소유자가 변경할 수 없는 주체들과 객체들 간 접근통제 관계 정의 즉, 객체의 보안 레벨(Level)과 주체의 보안 취급인가(Clearance)에 근거한 모델 전통적 MAC은 다중수준 보안에 기반 특징 중앙집중형 보안관리 객체 복사 시 MAC의 제약사항이 전파됨 정책이 모든 주체에 대해 일정해, 하나의 단위로 접근제한 설정 불가 문제점 제한적인 사용자 기능으로 상업적 환경이 아닌 군 환경에서 주로 쓰임 많은 관리적 부담과 비용, 성능 저하 등 1-2. 임의적 접근통제 (DAC, Discretionary Access Control) 객체 소유자에 의해 변경 가능한 주체와 객체의 관계를 정의 주체의 신분..
1. 인증 1-1. 메시지 인증 전달되는 메시지의 이상 유무를 확인 암호화 방식 (관용 암호 또는 공개키 인증 모드), MAC, 해시 함수 등을 활용함 1-2. 사용자 인증 정당한 가입자의 접속인지 확인하는 절차 개인 식별 사용자 인증의 발전된 형태 사용자 인증은 A를 확인해준 B가 제3자 D에게 A인 것처럼 가장할 수 있음 사용자 인증 유형 Type 1 (지식), Type 2 (소유), Type 3 (존재, 행위) 위치기반 인증 (위치, IP, 콜백 등 활용) Two Factor: 서로 타입이 다른 인증 방식을 결합 Multi Factor: 세 가지 이상 인증 방식 사용 2. 사용자 인증 기법 2-1. 지식 기반 인증 특징 장점: 다양한 분야에 활용 가능, 검증 확실성, 저렴한 관리 비용 단점: 패스워..
1. 문제 설명 문제 링크에서 view-source를 클릭해 바로 소스 코드를 얻을 수 있다. 아래 php 코드를 살펴 보면, id의 값이 'admin'이면 풀린다는 사실을 알 수 있다. 2. 문제 풀이 1. preg_match 우회 하지만 preg_match() 함수에서 id의 값에 'admin'을 넣으면 exit()가 실행되어 solve()가 있는 if문에 도달할 수 없게 된다. 그러나 다음 라인에서 urldecode 함수가 실행되고 있으므로, 'admin'을 인코딩한 값을 넣으면 preg_match를 우회하면서 urldecode에서 'admin'으로 디코딩될 수 있다. 따라서 id의 값으로 admin을 인코딩한 값(%61%64%6D%69%6E)을 대입한다. 하지만 다시 'admin'으로 디코딩되며 ..
1. 문제 설명 문제 링크로 이동하면 아래의 alert 팝업이 뜬다. 2. 문제 풀이 1. 자바스크립트 차단 일단 alert 팝업이 뜬 후 사이트 홈으로 리다이렉션되는 것을 무력화해야 한다. 해당 상호작용은 자바스크립트에서 구현되므로, 브라우저 기능으로 자바스크립트를 차단한다. (크롬의 경우 사이트 고급 설정에서 차단할 수 있다.) 2. 소스 코드 확인 접속이 가능해지면서, DevTools를 통해 소스 코드를 확인할 수 있게 됐다. 9번째 라인의 document.write() 부분을 확인하면, '?getFlag'을 url에 추가함으로써 flag를 얻을 수 있는 것으로 보인다. 3. 정답 URL 접속 아래의 URL을 입력해서 접속하면, 문제가 바로 풀리게 된다.
1. 접근통제 개요 1-1. 접근통제 개념 비인가된 사용자의 접근을 막음 인가된 사용자의 비인가된 방식의 접근을 막음 인가된 사용자가 인가된 방식을 사용해도, 실수나 의도적으로 정보를 훼손하는 것을 방지함 구성 주체: 접근을 요청하는 능동적인 개체 객체: 접근대상이 되는 수동적인 개체 접근: 주체와 객체 사이의 정보 흐름 1-2. 접근통제 절차 식별 본인의 정체를 시스템에 밝힘 책임추적성 분석에 중요한 자료가 됨 인증 주체의 신원을 시스템이 검증 인가 인증된 주체에게 권리를 부여 알 필요성에 의해, 즉 최소 권한을 부여해야 함 최근에는 책임추적성 단계가 추가됨 (하나의 계정을 여러 명이 공유하면 추적이 어려움) 1-3. 접근통제 요구사항 입력의 신뢰성 입력되는 사용자 정보를 믿을 수 있어야 함. 따라서 ..
1. 키 1-1. 특징 평문과 같은 가치를 지님 키 공간의 크기가 클수록 무차별 공격에 강함 1-2. 키의 종류 세션키 한 번만 사용되는 키 (통신할 때마다 재생성) 마스터키 반복적으로 사용되는 키 CEK (Contents Encrypting Key) 정보를 암호화하는 키 주로 세션키를 사용함 KEK (Key Encrypting Key) 키를 암호화하는 키 주로 마스터키 사용 1-3. 패스워드를 기초로 한 암호 솔트 의사난수 생성기에서 만들어져, KEK을 만들 때 패스워드와 함께 해시함수에 입력됨 사전공격 또는 레인보우 테이블을 이용한 공격을 방어 PBKDF (Password-Based Key Derivation Function) 비밀번호, 반복횟수, 생성할 키의 길이를 입력으로 비밀키 출력 암호키 저장..
1. 전자서명 1-1. 전자서명의 특징 서비스 데이터 근원 인증, 무결성, 부인방지 제공 기밀성 제공 X 방식 송신자는 서명 알고리즘, 수신자는 검증 알고리즘 사용 형식 공개키 서명 방식: 공개키 암호 사용 중재서명방식: 관용 암호 사용 주요 기능 위조 불가 합법적인 서명자만 전자서명 생성 가능 서명자 인증 서명자를 누구든지 검증 가능해야 함 부인방지 서명한 사실 부인 불가능함 변경 불가 서명한 문서는 변경 불가 재사용 불가 다른 전자문서 서명으로 재활용 불가 1-2. 전자서명 구조 RSA 전자서명 구조 소인수분해 문제 기반 ElGamal 전자서명 구조 이산대수 문제 기반의 최초 서명 방식 Schnorr 전자서명 구조 ElGamal 기반의 더 짧은 서명 구조 제안 전자서명 표준 (DSS, Digital ..
1. 일방향 해시함수 임의 길이 메시지를 입력으로 고정된 길이의 해시값을 출력하는 다대일 대응 함수 1-1. 특징 고속으로 고정 길이 해시값 계산 일방향성을 가져 역산 불가 메시지가 다르면 해시값도 다름 (충돌 내성) 1-2. 보안 요구사항 해시함수 전자서명 설명 프리이미지 저항성 (역상 저항성) 약 일방향성 $y$가 주어졌을 때, $y = h(x)$를 만족하는 $x$를 찾는 건 불가능해야 함 제2프리이미지 저항성 (두 번째 역상 저항성, 약한 충돌 내성) 강 일방향성 $x$가 주어졌을 때 $h(x) = h(x^{'})$를 만족하는 $x^{'}$를 찾는 건 불가능해야 함 충돌 저항성 (충돌 회피성, 강한 충돌 내성) 충돌 회피성 $h(x) = h(x^{'})$를 만족하는 $x, x^{'}$를 찾는 건 불..
