Key Authentication Protocol 키 인증 프로토콜 - Key를 사용한 사용자 인증 메커니즘을 의미한다. - 대표적인 키 인증 메커니즘은 아래와 같다. Two-Factor Authentication (이중 인증) Authentication using Shared Keys (대칭키를 이용한 인증) Authentication using Public Key Cryptography (공개키를 이용한 인증) Two-Factor Authentication (2FA; 2 요소 인증) - 두 개의 인증수단을 조합 적용하여 안전성을 향상시켜 인증하는 방식을 의미한다. - 인증에 사용되는 수단은 아래와 같이 크게 4가지로 구분된다. Something You Know (당신이 알고있는것) (Password,..
Biometric 생체인증 "You are your key" - Schneier - 생체인증 시스템은 신체의 특징을 이용해 개인을 인증한다. - 생체인증은 아래 표와 같이 Physiological Biometric (Static Biometric; 생리학적 인증, 정적 생체인증)과 Behavioral Biometric (Dynamic Biometric; 행동학적 인증, 동적 생체인증)로 구분된다. Physiological Biometric (Static Biometric) (생리학적 인증, 정적 생체인증) Behavioral Biometric (Dynamic Biometric) (행동학적 인증, 동적 생체인증) - 신체의 정적 특성을 기반으로 인증한다. - Face, Fingerprint, Hand, I..
Password-Based Authentication 패스워드 기반 인증 - 사용자는 시스템에게 이름 혹은 Identifier(ID)와 더불어 비밀번호(패스워드)를 제공하여 본인임을 인증한다. - Cost가 매우 저렴하고, 다루기 간편한 가장 전통적인 인증 수단이다. - 하지만 아직까지도 많은 Issue를 겪고 있는 수단이다. Password Experiment (패스워드 관련 실험) - 3개의 실험군에 대해, 아래와 같이 패스워드를 설정하게 하고 Crack Ratio를 비교했다. Experimental Group Description Crack Ratio Group A At least 6 characters, 1 non letter 30% Group B Password based on passphras..
Authorization 인가 "Are you allowed to do that?" - 인증된 사용자가 특정 Resource에 대한 접근 및 동작에 대한 권한을 부여하는 작업을 의미한다. OAuth 2.0 (URL) [Security] OAuth 2.0 OAuth 2.0 Reference: OAuth 2.0, URL, 2022.04.29 검색 Reference: 2022학년도 1학기 홍익대학교 네트워크 보안 강의, 이윤규 교수님 dad-rock.tistory.com - 한 Application에서 다른 Application으로 하여금 데이터와 기능에 대한 권한을 부여하는 절차에 대한 표준이자 프레임워크이다. (Authorization 절차에 대한 표준 및 프레임워크이다.) OIDC (OpenID Conn..
User Authentication 사용자 인증 "Are you who you say you are?" - Identity를 밝혀, 접근의 허용 여부를 결정한다. - 사람과 기계간 인증, 기계와 기계간 인증이 대표적이다. - RFC 4949 (URL)에서는 Authentication을 아래와 같은 두 단계로 구성하고 있다. Identification Step (식별 단계) - Security System에 Identifier를 제공하는 단계이다. - Identifier는 신중하게 Assign되어야 한다. Verification Step (검증 단계) - 인증 정보들은 Security System과 Identifier가 견고하게 Binding 되도록 생성되고 전달되어야 한다. NIST SP 800-63-2..
Security Protocol 보안 프로토콜 - 프로토콜의 종류는 크게 아래와 같이 나눌 수 있다. Human Protocol - 사람들간의 상호작용을 보장하기 위한 규칙이다. ex) 강의시간에 선생님께 질문하는 과정 (손을 들면 선생님이 학생에게 발언권을 부여) Network Protocol - 네트워크에 적용되는 통신 규칙이다. ex) HTTP, FTP, TCP 등 Security Protocol - 보안 시스템에 적용되는 규칙이다. ex) TLS, IPSec, Kerberos 등 Ideal Security Protocol (이상적인 보안 프로토콜) - 이상적인 보안 프로토콜이 지녀야 할 특성은 아래와 같다. Satisfy Security Requirements (보안 요구사항 충족성) - 보안 요..
Access Control 접근 제어 - Authentication(인증)과 Authorization(인가)을 아우르는 개념이다. User Authentication (사용자 인증) (URL) Authorization (인가) (URL) "Are you who you say you are?" - Identity를 밝혀, 접근의 허용여부를 결정한다. - 사람과 기계간 인증, 기계와 기계간 인증이 대표적이다. "Are you allowed to do that?" - 인증 이후에 사용자의 행위에 제약을 가한다. [Security] Authentication | 인증 Archive [Security] Authentication | 인증 본문 Computer Engineering/Security [Security..
Android Application Hacking Project 안드로이드 애플리케이션 해킹 프로젝트 - 안드로이드 시스템의 구성요소 중 하나인 Broadcast Receiver에 생긴 결함에 대처한다. - 안드로이드 시스템의 Broadcast Receiver에 대한 정보는 아래 포스트를 참고하자. Android Overview (안드로이드 개요) (URL) Vulnerability Analysis (취약점 분석) - Broadcast Receiver가 수신하는 Broadcast Signal은 악의적인 애플리케이션에서 발생하거나, 공격자에 의해 임의로 생성이 가능하다. - Broadcast Receiver는 사용자가 받는 알림(메시지, 전화 등)을 중간에 가로채거나, 특정 상황에 발생하는 작업을 우회하여..
