현재 위치

›› Forums ›› 재미 ›› 자유 게시판

공인인증서 개인키 보관 방식에 대한 궁금증

cleol의 이미지
글쓴이: cleol / 작성시간: 토, 2013/02/09 - 10:59오전

최근에 본 김인성 교수의 웹툰입니다. http://minix.tistory.com/403
한국형 공인인증서의 문제점에 대한 것인데 이해가 안되는 부분이 있어서요.
이 웹툰에 따르자면.. 한국형 공인인증서의 가장 큰 문제점이 "개인키를 도둑맞기 쉽다" 입니다.
도둑 맞아도 인증서 암호가 있어야 하는데, 포털 등에서 해킹되어 유출된 암호나 유추에 의해 풀릴 수 있다고 합니다.
그리고 "브라우저나 OS가 제공하는 개인키 보관 기능을 사용하면 적어도 그런 문제는 없다고 합니다."
궁금한 점은 요 마지막 문장입니다. "브라우저나 OS가 제공하는 개인키 보관 기능" 역시 (똑같지는 않지만) 비슷한 문제가 있는 것 아닌가요?
예를 들어 이 웹툰에 "브라우저나 OS가 제공하는 개인키 보관 기능"의 한 가지 예로 등장하는 gnome keyring의 경우에는
악성 코드를 통해서 암호나 키가 유출될 가능성이 있다고 FAQ에 씌여있습니다.
(https://live.gnome.org/GnomeKeyring/SecurityFAQ, https://live.gnome.org/GnomeKeyring/SecurityPhilosophy)
단순히 키 파일을 복사하고 암호를 때려맞추는 것과는 다르지만 대부분의 개인키 도둑질이 어차피 악성 코드에 의한 것일터이니
"브라우저나 OS가 제공하는 개인키 보관 기능" 이나 "한국형 공인 인증서의 개인키 보관 기능"이나 사실상 별다르지 않은 듯 해서요.

* 한국형 공인인증서에 관련된 다른 쟁점에 대한 말씀은 사양합니다. 이미 많은 토론이 있었으니까요.

Forums: 
자유 게시판
아르아의 이미지

글쓴이: 아르아 / 작성시간: 토, 2013/02/09 - 12:08오후

만화대사에
"운영체제가 지원하는 키 보관 기능은 매우 안전해.
사용자도 알 수 없는 방법으로 개인키를 암호화해 놓거든."
라고한 차이 아닐까요? 암호도 암호 나름인데 개인키가 포탈같은데서 사용하는 암호와 동일한 암호로 암호화되기 쉬운 공인인증서의 문제점을 지적한것 아닐까요? 그렇게 암호를 정한 사용자 잘못도 있지만, 사용자의 인식을 감안해서 애시당초 그런일이 생기지 않도록 미연에 방지하는게 정부의 역할일테니까요.

그리고 링크거신 만화의 후속편에도 관련된 이슈를 친절하게 설명해주고 있습니다.

OoOoOo의 이미지

글쓴이: OoOoOo / 작성시간: 토, 2013/02/09 - 6:00오후

만화는 만화일뿐..

그분은 사실과 거짓을 적절히 섞어서 만화를 만들어서 헷갈게하죠.

dgkim의 이미지

글쓴이: dgkim / 작성시간: 토, 2013/02/09 - 6:15오후

NPKI는 파일시스템에 개인키를 저장하고 저장방식은 PKCS8형식을 따르며,
http://fly32.net/447 비밀번호를 사용하여 암호화를 하고 저장하고 있습니다.

비밀번호를 획득하면, 비밀번호를 통해 복호화하는 과정이 정해져 있으며, 이차 안전장치가 없습니다.

그러나, 브라우저나 OS 등이 제공하는 기능은 위와 같이 PKCS8이라는 정해진 방식을 쓰는 것이 아니라,
추가적인 보안장치가 있을 수 있기 때문에 더 안전하다고 봅니다.

예를 들어, java maven의 경우는 비밀번호를 바로 암호화에 사용하지 않고,
master password란 것을 사용하여 그걸 토대로 암호화를 합니다.
이 시점에서 보안장치가 2중 안전장치를 얼마든지 구현할 수 있다고 생각합니다.

내부적으로 2차 안전장치의 여부는 확인되지 않았습니다만,

Salt정도는 있는 것 같습니다. 동일한 비밀번호로 2차례 생성결과가 상이하였습니다.

http://maven.apache.org/guides/mini/guide-encryption.html maven.apache.org/guides/mini/guide-encryption.html

NPKI 인증서 파일 : 비밀번호 획득만으로 가능.
maven 비밀번호 : master password(비밀번호 + Salt). 사용자의 비밀번호만으로는 복호화 불가.

senk의 이미지

글쓴이: senk / 작성시간: 화, 2013/03/12 - 10:18오전

악성코드에 감염되어 있는 상태라면
개인키 빼내오기는 정도의 차이가 있을뿐이지 마찬가지일듯 하네요.

그리고 dgkim님 말씀처럼 2차 안전장치에 의해 빼내오기도 복호화하기도 좀 더 어렵다는 장점이 있는것 같네요.

그렇다면 OS나 브라우저의 보관기능을 사용할 경우 보안업체의 밥줄이 끊기는 상황이 발생할까요?

밥그릇이 줄어들건 확실한데 정확히는 모르겠군요.

cleansugar의 이미지

글쓴이: cleansugar / 작성시간: 수, 2013/03/13 - 11:43오후

어차피 사람들은 암호를 단순하게 쓰고, 이메일 암호 등과 겹치게 쓰기 때문에 뭘 쓰던 불안합니다.

재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.

아이디의 아이디어 무한도전
http://blog.aaidee.com

귀태닷컴
http://www.gwitae.com

cleansugar의 이미지

글쓴이: cleansugar / 작성시간: 수, 2013/07/17 - 7:14오후

공인인증서 보안취약점 첫 발견..제도적 해결책 없나
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=105&oid=018&aid=0002813517

- 공인인증서 PC프로그램 '제큐어웹' 취약점 발견..KISA 소극적 고지 논란
- 전문가들, 한국형 공인인증 문제..법으로 사후관리 의무화 지적도

재벌 2세가 재벌이 될 확률과
금메달리스트 2세가 금메달을 딸 확률이 비슷해지도록
자유오픈소스 대안화폐를 씁시다.

아이디의 아이디어 무한도전
http://blog.aaidee.com

귀태닷컴
http://www.gwitae.com

byungsin의 이미지

글쓴이: byungsin / 작성시간: 수, 2013/07/17 - 8:31오후

(글 다시 읽고나서 지운 글입니다.)

둘러보기