메시지 인증은 이 메시지가 정말 원하는 사람으로부터의 메시지인가 메시지 출처, 내용 등을 인증하는 것이다. 또한 메시지 순서 일치와 시간의 적합성도 검증이 가능하다.
디지털 서명은 발신처 부인에서 사용되어 메시지 출처 인증(message origin authentication)에서 디지털서명을 사용하기도 한다.
인증함수는 메시지 암호화, 메시지 인증코드(MAC), 해쉬 함수 등이 있다.
메시지 암호화는 메시지 전체 암호문을 인증 값으로 사용하는 것이다.
MAC은 메시지에 MAC을 붙여서 보내고 받는 쪽에서도 메시지에 MAC을 똑같이 만들어서 동일한지 비교한다. 모든 MAC 기법은 대칭키를 사용하므로 디지털 서명을 제공하지 않는다.
해쉬함수는 MAC 방식과 동일하나 다른 점은 MAC은 키가 있고 해시는 키가 없고 알고리즘만 있다.
통신상에서 발생할 수 있는 공격은 다음과 같다.
노출은 암호키가 없는 다른 사람에게 메시지 내용이 노출되거나 도청되는 것이다.
트래픽 분석은 통신 주체 사이의 어떤 트래픽 형태를 가지고 있는지, 예를 들어 연결주기, 사용시간, 메시지 개수 및 길이 등을 발견하고 이를 공격하는 것을 말한다.
위장은 부정한 출처로부터 나온 메시지를 네트워크상 에 삽입하는 것으로 가짜를 진짜인 것처럼 올리는 경우를 말한다.
내용 수정은 삽입, 삭제, 전치, 수정을 포함한 메시지 내용 자체의 변경을 말한다.
순서 수정은 메시지 내용은 수정하지 않고 상대방간의 메시지들의 순서를 변경하는 것이다. 순서를 변경하는 것만으로도 값이 변경되는 경우가 많다.
시간 수정은 메시지의 지연과 재전송을 일으킨다. 시간을 수정할 경우 재전송되는 문제가 발생할 수 있다.
발신처 부인은 발신자가 메시지의 전송 사실을 부인하는 것으로 보낸 사람이 보낸 적 없다고 전송을 부인하는 것이다.
수신처 부인은 수신자가 메시지의 수신 사실을 부인하는 것으로 받은 적이 없다고 수신을 부인하는 것이다.
이러한 공격의 대처 방안은 다음과 같다.
노출, 트래픽 분석 공격에 대한 방안으로는 기밀성을 이용하는 방식을 사용한다.
위장, 내용수정, 순서수정, 시간수정 공격에 대한 방안으로는 메시지 인증 방식을 사용해 메시지가 잘못되지 않았는지, 제대로 되어 있는지를 확인할 수 있다.
발신처 부인은 전자 서명을 이용해 보낸 사람이 서명을 하도록 해 부인을 방지한다.
수신처 부인은 전자서명과 특별히 설계된 프로토콜들의 조합을 이용해 수신 확인이 되도록 하여 부인을 방지한다.
* 위의 글은 www.kocw.net/home/search/kemView.do?kemId=1320013 9주차 강의를 보고 제가 작성한 내용입니다.