공부/정보보안기사69 사전 공격(Dictionary Attack), 무차별 대입 공격(Brute-force) 사전 공격, 사전 대입 공격(Dictionary Attack) 자주 사용하는 단어나 문장, 생일 등을 사전(Dictionary)으로 미리 만들어 놓고 이를 대입해 패스워드를 알아내는 공격이다. 많은 사람들이 자신의 이니셜, 생일과 같은 개인 정보를 패스워드로 사용하기 때문에 상대방의 개인 정보를 충분히 알고 있다면 매우 효율적인 공격 방법이다. 무차별 대입 공격(Brute-force) 성공할 때까지 가능한 모든 조합의 경우의 수를 시도해보는 공격 방법 시간과 자원만 충분하다면 확실한 방법으로 암호를 해독할 수 있는 방법이다. 사전 공격과 혼합하여 더욱 효과적으로 공격을 시도할 수 있다. 2020. 2. 3. 보안 모델 (접근 통제, 접근 제어) 보안 모델 벨-라파듈라 모델(BLP, Bell-LaPadula Confidentiality Model) 미 육군에서 근무하던 벨-라파듈라가 고안해낸 군사용 보안 정책이다 오직 기밀성을 강조하는 MAC(Mandatory Access Control)모델이다. 허가된 비밀 정보에 허가되지 않는 방식의 접근을 금지한다. 정보의 불법적인 유출을 막기위해 개발된 최초의 수학적 모델이다. 주체는 특정 보안 허가를, 객체는 특정 보안 분류를 할당받고 이를 기반으로 접근을 판단한다. 읽기, 쓰기, 추가, 실행 4가지의 접근 모드를 정의한다. 벨-라파듈라 모델의 보안 규칙 단순 보안 규칙(No Read Up) : 주체는 자신보다 높은 보안 수준의 객체를 읽을 수 없다. 주체의 보안 수준이 객체와 동일한 보안 수준이거나 객.. 2019. 10. 31. 접근 통제 기술 접근 통제 기술 제한된 인터페이스(Restricted Interfaces) 특정 시스템이나 정보 요청/시스템 자원 접근을 통제하여 사용자의 접근 기능을 제한하는 방법 제한된 인터페이스 3가지 유형 쉘(Shells) : 일반 사용자가 실행할 수 있는 명령어를 제한. 셀은 OS의 명령어 해석기 역할을 담당한다. 데이터베이스 뷰 : DB 안에 있는 데이터에 대한 사용자 접근 제한 물리적 제한 인터페이스 : 결제 시스템 사용 시 입력 가능한 키 랜덤 배치 등등 임의의 접근 통제 기법(DAC) 접근 제어 행렬(Access Control Matrix) 행렬을 이용하여 주체, 객체, 접근 권한의 관계를 기술하는 방법 주체를 행(row), 객체를 열(Column)으로 구성하고 셀에 접근 권한을 기록한다 권한 부여 정책.. 2019. 10. 31. 접근 제어 / 접근 통제 모델(Access Control Model) 접근 제어 / 접근 통제 사람이나 프로세스가 시스템이나 파일에 읽기, 쓰기, 실행 등의 접근 여부를 허가하거나 거부하는 기능을 말한다. 보안 정책에 근거하여 접근을 승인하거나 거부함으로써 비 인가자에 의한 불법적인 자원 접근 및 파괴를 예방한다. 접근 제어 절차 단계 설명 접근 매체 식별 (identification) 시스템에게 주체의 식별자를 요청하는 과정 (본인이 누구라는 것을 시스템에게 밝히는 과정) 인증 서비스에 스스로를 확인시키기 위해 정보를 공급하는 행위 각 사용자들은 시스템이 식별할 수 있는 유일한 식별자(ID)를 가진다. 사용자명 계정번호 메모리카드 인증 (Authentication) 사용자 정보를 확인하는 보안 절차 허가된 사용자인지 확인하고 인정하는 과정 패스워드 토큰, 스마트카드, 생.. 2019. 10. 30. 인증 인증 합법적인 사용자에게 유형 혹은 무형의 자원을 사용하도록 허용할 것 인지 확인하는 제반 행위 사용자 간의 권한은 서로 다르기 때문에 해당 권한을 사용할 사람이 맞는지 아닌지 인증하는 절차는 필수적이다. 메시지 인증 메시지의 무결성을 검증하는 데 사용되는 방법으로 전송받은 정보의 내용이 변조 또는 삭제되었는지 확인한다. 메시지 암호화 방식, MAC(Message Authentication Code) 방식, 해시 함수 방식 등이 있다. 사용자 인증 전송받은 정보의 내용이 변조 또는 삭제되었는지, 올바른 송수신자인지 확인하는 방법 메시지 인증과 다르게 실시간으로 발생하며, 한 번 인증 되면 그 세션 동안은 재인증이 필요 없다. 사용자 인증 기법 지식 기반 인증(What you know) 사용자만이 알 수 .. 2019. 9. 2. PKI(public key infrastructure) PKI 인증기관(CA, Certification Authority)에서 공개키와 개인키를 포함하는 인증서(Certificate)를 발급받아 네트워크상에서 안전하게 비밀통신을 가능하게 하는 기반구조. 특정 수신자만이 풀어볼 수 있는 내용을 전달하고 싶으면 공개 키 방식을 사용하면 되며, 특정 사람이 어떠한 문서를 보냈다는 것을 확인하고 싶으면 문서를 당사자의 공개 키로 암호화화 하는 전자서명 방식을 사용하면 된다. 위 두 가지 공개 키 암호 방식과 전자서명을 사용할 수 있도록 기반을 마련한 것이 PKI이다. PKI는 알고리즘이나 프로토콜이 아닌, 공개 키 암호에 기반을 둔 구조(infrastructure)다. 공개 키 시스템의 규약이나 시스템 외적으로 개인의 책임 절차 등 여러 가지 사향이 정의가 되어있기.. 2019. 8. 24. 이전 1 ··· 8 9 10 11 12 다음
