http SSL의 보안성에 대한 궁금증.

다른 고수 분들이 답글 안올리시길래 제가 잠깐...
(틀린 부분이 있으면 다른 분들께서 지적 좀 해주세요)

SSL에는 양방향 인증 / 단방향 인증이 있는데, WEB서버에만 서버의 인증서가 존재해서 웹브라우저를 사용하는 사용자가 해당 서버의 인증서를 확인 하게 되는 경우 단방향 인증입니다. 사용자 개인의 인증서가 서버에 전달되서 서버가 사용자 개인을 인증하는 과정까지 거치게 된다면 양방향 인증이 되구요.

말씀하시는 내용으로 미루어 보면 아마도 단방향 인증의 경우이신 것 같은데요,... 즉, 갖고 계시는 인증서가 서버의 인증서이겠죠? 개인의 인증서를 사용할 때 비밀번호를 묻는 경우가 있는데 이것은 PKCS#5 라고, 인증서를 비밀번호로 암호화 할깨 사용되는 것입니다. (http://en.wikipedia.org/wiki/PKCS)

SSL에서는 인증서를 기반으로 (PKI) 인증,무결성을 확인하고, 실제 메시지 암호화에 사용될 key -이때는 대칭키 암호화를 사용하고, 이 대칭키 암호화에 사용될 비밀번호- 를 안전하게 교환합니다.

그래서..

1. 허용되지 않은 인증서라고 하지만 보안처리가 되서 전달 되는것인지?
--> 사용자가 해당 서버의 인증서를 '유효' 하다고 처리 했으므로 일단 인증 단계는 통과 한 것입니다. 즉 서버의 인증서를 확인 해 본 결과 test.abc.com에서는 사용할 수 없는거지만, 사용자에 의해 사용하겠다고 통과 된 겁니다. 그 이후부터는 문제 없이 나머지 통신 보안 과정이 진행됩니다.

2. 위 사례의 경우 packet sniffing을 했을때 패스워드가 그대로 드러나지 않는건지?
--> 글 내용으로는 단방향 인증인 것 같습니다. 그러니까 여기서 말씀하시는 패스워드라는게 PKCS#5로 암호화된 개인 인증서의 비밀번호가 아니라, 그냥 사이트의 로긴 비밀번호, 또는 원하시는 목적의 다른 메시지 스트링을 말씀하시는 것 같네요. 그렇다면 SSL 단방향 인증, 암호화 키 교환이 완료된 이후에 그 텍스트가 전송되는 것이므로, 이미 암호화 된 상태가 됩니다.

3. 해커가 seed key를 알지 못하는 경우 상당히 안전하다고 볼 수 있나요?
이러한 경우에 id, password가 secure socket layer를 통해 encryption이 되는것으로 압니다
--> seed key는 정확히 어떤 키를 말씀하시는 것인지 모르겠습니다만, 아마도 인증서 초기 발급 요구에 사용되는 seed가 아니라, SSL 메시지 암호화에서 사용되는 대칭키 암호화의 key를 말씀하시는 것이라고 가정 할 때, 이 암호화 키는 그때 그때 random하게 생성된 후 암호화된 상태 (메시지 자체의 암호화 말고, '키교환'시의 암호화-이때는 비대칭 암호화가 사용됩니다-)로 교환되는 것이므로, 안심하셔도 됩니다.

그런데, PKI가 '상당히 안전' 하느냐... 에 대해서는 여기서 몇가지 이슈를 말씀해 주시는 분들이 많으시라고 봅니다..

-------------------------------------------------
$yes 4 8 15 16 23 42