[암호학] 사용자 신원확인

1. ID / PW 기반 인증방식의 문제점

   1) P/W를 취약 한 것으로 등록할 수 있음(주소,생년월일 등)
   2) 전송 중의 P/W를 가로챌 수 있음
   3) 내부 관리자가 DB를 유출 할 수 있음
2. 보안접속
   1) 사용자의 P/W와 P/W가 입력된 시간정보를 SSL방식으로 암호화 되어 전송됨 
   2) SSL(Secure Socket Layer)
      -> SSL 구성 : ChangeCipherSpec, Alert, Handshake, RecordLevel
         ① ChangeCipherSpec : 통신을 하는 양 편에 통신을 할 때 사용할 암호화 알고리즘을 

                               정하자는 신호
         ② Alert(얼럿) : 통신을 하는 양 쪽 중 누군가에게 에러 발생 시 상대방에게 알리기 

                          위해 사용되는 신호
         ③ Handshake : SSL통신의 대부분의 메시지가 여기에 해당함. 통신을 하는 양 편에 

                        암호 키 전송과 초기 인증을 담당
         ④ RecordLayer : 암호화 방법과 인증방법을 사용하여 실제 데이터 전송을 담당
   3) 메시지 교환
         ① Client Hello : 지원 가능한 {암호방식, 키 교환방식, 서명방식, 압축방식}을 서버에게 전송.
         ② Server Hello : 수용 가능한 {암호방식, 키 교환방식, 서명방식, 압축방식}을 응답. 
         (필요 시 디지털 인증서 요청 및 전달)
         ③ Server Key Exchange : 서버는 공개 키를 넣어 클라이언트에게 전송.
         ④ Server Hello Done : 서버의 초기화 협상 절차가 완료되었음을 알림.
         ⑤ Client Key Exchange : 클라이언트는 비밀 키를 생성하여 서버의 공개키로 비밀 키를 암호화하고
                                  서버에게 전송. (서버가 인증서를 요청한 경우 클라이언트의 인증서도 함께 전송)
         ⑥ Change Cipher Spec : 클라이언트는 이 메시지를 보내면서 정해진 암호화 알고리즘과 비밀 
                                 키를 적용. 
         ⑦ Finished : 협상을 종료하겠다는 신호(협상과정에서 주고받은 메시지들을 인증)
         ⑧ Change Cipher Spec : 서버는 이 메시지를 보내면서 정해진 암호화 알고리즘과 비밀 키를 적용. 
         ⑨ Finished : 7번과 동일 
   4) Record Level Protocol.	
      -> 암호화 방법과 인증방법을 사용하여 실제 데이터 전송을 담당한다.
    5) Record Layer protocol 메시지형식
      -> 응용프로그램에서 만든 데이터 스트림 을 2^14(16384)byte 보다 작거나 같은 크기로 분할한다.
      -> 분할된 각 블록을 압축
      -> 압축데이터와 이 데이터의 전자서명을 덧붙인 MAC코드를 합하여 이를 암호화
      -> SSL Header를 추가해서 수신측에 전송
3. 교통카드 인증
   1) 교통카드와 단말기에는 대칭 키 암호에서 사용되는 비밀 키가 입력되어있음
   2) 단말기에 교통카드를 인식시키면 단말기는 임의의 난수를 생성해서 교통카드로 전송
   3) 교통카드에서는 난수를 비밀키로 암호화하여 단말기에 전송하고 단말기는 복호화하여 

      난수가 맞는지 확인
4. 인터넷뱅킹 인증
   1) 공개키 방식에 기반한 인증 방식
   2) 은행은 사용자에게 난수 값을 보내고 사용자는 개인 키를 사용하여 난수 값에 서명을 

      하여 전송하면 은행은 서명 값을 사용자의 공개 키를 이용하여 검증
5. 공인인증서
   1) 사용자가 은행에서 온 데이터를 서명을 해서 보낼 때 은행은 사용자의 서명이 정당한지 확인함 
   2) 이때 사용자의 공개키 필요
   3) 공개 키의 소유주가 누구인지 확인하기 위해서 공개 키 인증서가 필요함
6. 공인인증기관 
   1) 최상위 인증기관 : 정보통신부 산하 정보보호 진흥원
   2) 공공기관 부분 : 행정자치부 산하 정부전산정보관리소 -> 정부인증기관