해커를 꿈꾸는 개발자

정보보안기사 필기 독학 / 정보보안 일반 / 8. 전자서명, X.509

전자 서명

전자서명을 계산하기 위해 송신자는 문서에 대해 해시값을 계산한 후 그 값올 자신의 개인키로 암호화합니다. 
합법적인 서명자만이 전자문서에 대한 전자서명을 생성할 수 있어야 하며, 어떠한 문서에 대해서도 서명의 위조가 불가능하며, 서명 한 문서의 내용은 변경될 수 없어야 합니다.

전자 서명의 방식 중 하나인 은직 서명은 사용자 A가 서명자 B에게 자신의 메시지를 보여 주지 않고 서명을 받는 방법으로서 이용자의 프라이버시를 보호하기 위해 전자 화폐나 전자 투표에 활용되는 서명 방식입니다. 

Escrow 

전자상거래에서 이용자간 안전한 거래를 위한 방법으로, 중개 업체에서 구매자의 대금을 받아서 보관하고 있다가 판매자가 물건을 발송하고 구매자가 물건을 정상적으로 수령한 경우 판매자에게 대금을 지급합니다. 이 과정에서 일정량의 수수료를 수취하는 방법입니다. 

전자입찰시스템의 요구조건

독립성： 전자입찰 시스템의 각 구성요소들은 자신들의 독자적인 자율성을 보장받아야 합니다.
공평성： 입찰이 수행될 때 모든 정보는 공개되어야 합니다.
비밀성： 네트워크상에서 각 구성요소 간에 개별정보는 누구에게도 노출되어서는 안됩니다. 
무결성： 입찰시 입찰자 자신의 정보를 확인 가능하게 함으로써 누락 및 변조 여부를 확인할 수 있어야 합니다. 
안정성 : 각 입찰 참여자 간의 공모는 방지되어야 하고 입찰 공고자와 서버의 독단이 발생하면 안됩니다

X.509

X.509는 ITU에 의해 제안된 인증서에 대한 기본 형식을 정의한 규격입니다. X.509 인증서의 유효기간이 지나면 CA는 해당 인증서를 디렉터리에서 제거하며, X.509 인증서를 제거한 다음, CA는 추후 부인방지 서비스를 위해 일정기간 보관합니다. 개인키의 손상/유출 등의 이유로 사용자가 신고한 X.509 인증서는 CA가 폐기합니다. 

PKI (Public Key Infrastructure)

은행, 증권, 카드, 보험에서 사용하는 공인인증의 구조를 말합니다. 공인인증서(X.509)를 통해서 인증을 받는 구조입니다. 공인인증서를 발급받을 때 인증기관(CA)에 사용자 정보를 입력하고 공인인증서를 발급받습니다. 

<구성요소>

1) 인증기관(CA - Certification Authority) : 인증 정책을 수립하고 인증서 및 인증서 폐기 목록을 관리합니다. 

2) 등록기관(RA - Registration Authority) : 사용자 신원을 확인하고, 인증서 요구를 승인하며, CA에 인증서 발급을 요청합니다. 

3) CRL(Certificate Revocation List) : 인증서 폐기 목록이며, 인증서의 지속적인 유효함을 점검하는 도구입니다. 폐지 사유는 디지털 서명의 개인키 노출, 인증서가 필요 없을 경우, 개인키 분실 시 및 인증서 효력 정지일 경우입니다. 

4) OCSP : 인증서 상태에 관한 정보를 조회 또는 CRL 검색 프로토콜입니다. 

5) PAA(Policy Approving Authority) : 정책 승인 기관으로 공인인증 서비스 전반의 정책과 절차를 수립합니다. 

관련 문제

10회 X.509 인증서에 대한 설명 중 옳지 않은 것은?1
① X.509 인증서는 인증서의 주인인 사용자가 직접 발행한다.
② X.509 인증서의 유효기간이 지나면 CA는 해당 인증서를 디렉터리에서 제거한다
③ X.509 인증서를 제거한 다음, CA는 추후 부인방지 서비스를 위해 일정기간 보관한다.
④ 개인키의 손상/유출 등의 이유로 사용자가 신고한 X.509 인증서는 CA가 폐기한다.

7회 다음은 X.509 인증서 폐지에 관련된 설명이다. 틀린 설명은?4
① 인증서 폐지 메커니즘 : X.509에 정의된 인증서 폐지목록 (CRL) 으로 관리
② 페지 사유：인증서 발행 조직 탈퇴，개인키의 손상, 개인 키의 유출 의심
③ 인증서 폐지 요청 : 인증서 소유자 또는 인증서 소유자의 대리인이 요청
④ 폐지된 인증서 : 목록을 비공개하고 디렉터리에만 보관

6회 다음 중 올바르지 못안 것은?3
① CRL은 갱신되어야만 폐기로 판단한다.
② CA가 인증서 폐기 시 폐기 목록을 일정한 주기마다 생성한다.
③ OCSP는 무료로 사용이 가능하다.
④ CRL은 비용 지불 없이 사용이 가능하다.

6회 다음 중 인증 기관(Certification Authority)에 대한 설명으로 올바르지 못한 것은?4
① 인증서를 발급한다.
② 유효한 인증서와 CRL의 리스트를 발행한다.
③ 인증서 상태 관리를 한다.
④ 인증서와 CRL을 사용자에게 분배하는 역할을 한다.

6회 다음 중 ITU에 의해 제안된 인증서에 대한 기본 형식을 정의한 규격을 무엇이라 하는가?3
① SOA ② CRL
③ X.509 ® OGSP

6회 다음 중 x.509 v3에서 확장 영역을 구분하는 것에 포함되지 않는 것은?4
① 인증서 경로 및 규제 정보
② CRL을 위한 확장자
③ 키 및 정책 확장자
④ 공개키 정보

6회 다음 중 공개키 인증서의 구성 요소에 포함되지 않는 것은?3
① 인증서 정책
② 인증서 경로
③ 비밀키 인증서
④ 인증서 철회 리스트

6회 다음 중 인증 기관의 역할별로 올바르게 연결되지 못한 것은?2
① PAA - 정책 승인 기관
② PCA - 정책 승인 기관
③ CA _ 인증 기관
④ RA - 등록 기관

10회 인증서 폐지 목록(CRL)을 생성하는 주체에 해당하는 것은?1
① CA
② RA
③ LRA
④ VA

14회 공인인증서의 유효성을 검사하는 OCSP와 CRL에 대한 설명으로 옳지 않은 것은?4
①OCSP는 인증서 폐기시 실시간으로 반영된다.
②CRL은 제한된 네트워크 환경에서 사용하기 유리하다.
③CRL은 CA를 통해서 서비스된다.
④OCSP는 Batch형태로 동기화 비용이 들지 않는다.

9회 전자서명에 대한 설명으로 옳지 않은 것은?1
① 전자문서의 서명은 다른 전자문서의 서명과 항상 동일해야 누구든지 검증할 수 있다.
② 전자서명을 계산하기 위해 송신자는 문서에 대해 해시값을 계산한 후 그 값올 자신의 개인키로 암호화한다.
③ 합법적인 서명자만이 전자문서에 대한 전자서명을 생성할 수 있어야 한다.
④ 어떠한 문서에 대해서도 서명의 위조가 불가능하며, 서명 한 문서의 내용은 변경될 수 없어야 한다

9회 은닉서명에 대한 바른 설명은?2
① 송신자와 수신자 간에 문서의 위변조를 방지하기 위하 방법이다.
② 은닉서명 사용자가 서명자에게 자신의 메시지를 보여주지 않고 서명을 받아내는 방식이다.
③ 은닉서명을 위한 서명자의 신원은 노출되지 않고. 은닉서명 사용자는 노출될 수 있는 서명 방식이다.
④ 전자화폐 사용 시, 전자화폐 수신자의 신원 노출 방지 기능이 있다.

8회 다음은 어떤 전자서명 방식에 대한 설명인가?2
[보기]
(1) 미국의 NBT에서 발표한 표준 전자서명 방식이다.
(2) DSA 알고리즘을 사용한다.
(3) 트랩도어가 존재할 가능성이 있다.
(4) Schnorr 방식과 비슷한 구조를 가자고 있다.
① KCDSA
② DSS
③ FFS
④ ElGameil

7회 사용자 A가 서명자 B에게 자신의 메시지를 보여 주지 않고 서명을 받는 방법으로서 이용자의 프라이버시를 보호하기 위해 전자 화폐나 전자 투표에 활용되는 서명 방식은?1
① 은닉 서명 (blind signature)
② 그룹 서명 (group signature)
③ 수신자 지정 서명 (nominative signature)
④ 부인 방지 서명(undeniable signature)

6회 다음 중 전자 서명과 공개키 암호화 방식에서 사용되는 키로 알맞게 연결된 것은?2
① 공개키 - 공개키
② 개인키 _ 공개키
③ 개인키 一 개인키
④ 공개키 - 개 인키

6회 다음의〈보기〉에서 설명하고 있는 서명 방식은 무엇인가?2
사용자 A가 서명자 B에게 자신의 메시지를 보여주지 않고, 서명을 얻는 방법을 말한다. 메시지의 비밀성을 지키면서 타인에게 인증을 받고자 하는 경우에
주로 사용산다.
①이중 서명 ②은닉 서명
③전자 서명 ④영지식증명

6회 다음 중 전자 서명의 특징으로 올바르지 않는 것은?1
① 재사용 가능 ② 위조 불가
③ 부인 불가 ④ 서명자 인증

11회 다음은 CRL 개체 확장자를 구성하는 필드에 대한 설명이다. 잘못된 설명은?1
① Reason Code : 인증서가 갱신된 이유를 나타내기 위해 사용되는 코드
② Hold Instruction Code : 인증서의 일시적인 유보를 지원하기 위해 사용되는 코드
③ Certificate Issuer : 인증서 발행자의 이름
④ Invalidity Date : 개인키 손상이 발생하는 등의 이유로 인증서가 유효하지 않게 된 날짜와 시간에 대한 값

11회 인증서 상태를 관리하고 있는 서버는 유효성 여부에 관해 이 답을 즉시 보내주는 프로토콜은?2
① CRL
② OCSP
③ OCRL
④ S니

13회 다음 중 인증서가 폐지되는 사유가 아닌 것은?4
① 인증서 발행 조직에서 탈퇴
② 개인키의 손상
③ 개인키의 유출 의심
④ 인증서의 유효기간 만료

8회 우리나라 표준 서명 알고리즘으로 가장 적절한 것은?2
① RSA
② KCDSA
③ ECC
④ ECDSA


14회 전자상거래에서 이용자간 안전한 거래를 위한 방법으로, 아래 지문에서 설명하는 방식을 무엇이라 하는가?1
중개 업체에서 구매자의 대금을 받아서 보관하고 있다가 판매자가 물건을 발송하고 구매자가 물건을 정상적으로 수령한 경우 판매자에게 대금을 지급한다. 이 과정에서 일정량의 수수료를 수취한다.
①Escrow
②PG
③ZeroPay
④SET

14회 다음 중 전자상거래 보안과 가장 관련이 적은 것은?3
①ebXML
②SET
③SSL
④EMV

8회 전자입찰시스템의 요구조건을 기술한 다음 지문의 ( )안에 들어갈 단어를 순서대로 나열한 것은?4
[보기]
( ) ： 전자입찰 시스템의 각 구성요소들은 자신들의 독자적인 자율성을 보장받아야 한다.
( ) ： 입찰이 수행될 때 모든 정보는 공개되어야 한다.
( ) ： 네트워크상에서 각 구성요소 간에 개별정보는 누구에게도 노출되어서는 안 된다.
( ) ： 입찰시 입찰자 자신의 정보를 확인 가능하게 함으로써 누락 및 변조 여부를 확인할 수 있어야 한다.
( ) : 각 입찰 참여자 간의 공모는 방지되어야 하고 입찰 공고자와 서버의 독단이 발생하면 안 된다.

① 비밀성, 안정성, 독립성, 무결성, 공평성
② 비밀성, 공평성, 독립성, 무결성, 안정성
③ 독립성, 안전성, 비밀성, 무결성, 공평성
④ 독립성, 공평성, 비밀성, 무결성, 안정성

정보보안기사 필기 독학 / 애플리케이션 보안 / 6. 전자상거래, IPSec

이중서명 

고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관(PG)으로 전송됨에따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위·변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 PG는 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하였습니다.

XML(Extensible Markup Language)

데이터의 저장 및 교환을 위한 대표적 문서교환 표준인 SGM (Standard Generalized Markup Language)과 HIM (Hyper Tel Merkup Largage)의 장점을 모두 가지고 있습니다. 1996년 W3C에서 제안하였으며, 웹상에서 구조화된 문서를 전송 가능하도 록 설계된 웹표준이며, 최근 전자거래 및 각종 업무에서 표준으로 폭넓게 채택되어 사용되고 있습니다.

IPSec(IP Security)

보안에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약입니다. IPSEC에는 전송 모드와 터널 모드가 있는데, 터널 모드는 VPN과 같은 구성으로 패킷의 출발지에서 일반 패킷이 보내지면 중간에서 IPSec을 탑재한 중계 장비가 패킷 전체를 암호화(인증)하고 중계 장비의 IP 주소를 붙여 전송합니다. 전송 모드는 패킷의 출발지에서 암호화(인증)를 하고 목적지에서 복호화가 이루어지므로 End-to-End 보안을 제공합니다. 

AH 프로토콜은 단말과 라우터 간의 IP 패킷에 대한 송신 인증 및 무결성 서비스를 제공합니다.

ESP 프로토콜은 메시지 출처 인증, 메시지 무결성, 메시지 기밀성 서비스를 제공합니다.

SSO(Single Sign on)

사용자가 네트워크에 한 번의 로그인만으로 허가한 자원에 대해 접근하는 것입니다. 한번 인증을 받으면 다양안 서비스에 재인증 절차 없이 접근할 수 있고, SSO 서버가 단일 실패 지점이 됩니다. 사용자는 다수의 서비스를 이용하기 위해 여러 개의 계정을 관리하지 않아도 됩니다. 

OTP(One-Time Password) 토큰

 OTP 자체 생성할 수 있는 연산기능과 암호 알고리즘 등을 내장한 별도의 단말기입니다. 외형은 USB 메모리와 비슷하고, 토큰은 별도로 구매해야 합니다. 

Heartbleed

암호화를 위해 대중적으로 사용되는 OpenSSL 라이브 러리에서 서버 메모리 중 64KB의 데이터에 대해 공격자가 덤프를 뜰 수 있게 하는 취약점입니다. 해당 취약점을 이용하여 시스템 메모리에 저장되어 있는 무의미한 작은 정보들을 지속적으로 유출시키면, 이러한 무의미한 정보들이 모여 하나의 완전한 유의미한 정보가 될 수 있습니다. 특히 개인키의 경우 암 호화하여 전달되는 데이터를 모두 열람할 수 있는 핵심정보 이기 때문에 매우 심각한 취약성이라 할 수 있습니다.

관련 문제

11회 다음의 지문에서 설명하고 있는 기술들은 전자상거래의 안 전성을 지원할 목적으로 이용되는 보안 프로토콜이다. 빈 칸 에 들어가야 할 적합한 단어는?1
[보기]
전자상거래의 안전성을 지원할 목적으로 IPSec(Intemet Protoooo Security), SSL (Secure Socket Layer). OTP(One Time Password) 등이 사용된다. 이 중 IPSec은 (㉠ ) 계층에서 SSL은 (㉡) 계 층에서, OTP는 (㉢) 계층에서 각각 동작된다.
① ㉠네트워크 ㉡ 전송 ㉢ 응용
② ㉠네트워크 ㉡응용 ㉢전송
③ ㉠응용 ㉡네트워크 ㉢전송
④ ㉠응용 ㉡응용 ㉢전송

14회 다음은 SET에서 사용하는 보안 메커니즘을 설명한 것이다. 다음의 내용에 해당하는 것은 무엇인가?2
고객의 결제정보가 판매자를 통하여 해당 지급정보중계기관(PG)으로 전송됨에따라 고객의 결제정보가 판매자에게 노출될 가능성과 판매자에 의한 결제 정보의 위·변조의 가능성이 있으므로, 판매자에게 결제정보를 노출시키지 않으면서도 판매자가 해당 고객의 정당성 및 구매내용의 정당성을 확인 할 수 있고 PG는 판매자가 전송한 결제요청이 실제고객이 의뢰한 전문인지를 확인할 수 있도록 하였다.
①전자서명
②이중서명
③은닉서명
④비밀서명

13회 다음 지문이 설명하는 전자 거래 문서의 유형으로 알맞은 것은?4
[보기]
데이터의 저장 및 교환을 위한 대표적 문서교환 표준인 SGM (Standard Generalized Markup Language)과 HIM (Hyper Tel Merkup Largage)의 장점을 모두 가지고 있다.
1996년 W3C에서 제안하였으며, 웹상에서 구조화된 문서를 전송 가능하도 록 설계된 웹표준이며, 최근 전자거래 및 각종 업무에서 표준으로 폭넓게 채택되어 사용되고 있다.
① SWIFT
② ebXML
③ EDI(Electronic Data Interchange)
④ XML(Extensible Markup Language)

10회 다음중 전자 지불 시스템의 위험 요소와 가장 거리가 먼 것은?2
① 이중사용
② 접근성
③ 위조
④ 거래부인

9회 다음 OTP 토큰에 대한 설명으로 적절하지 않은 것은?4
① OTP 자체 생성할 수 있는 연산기능과 암호 알고리즘 등을 내장한 별도의 단말기이다.
② 외형은 USB 메모리와 비슷하다.
③ 토큰은 별도로 구매해야 한다.
④ 서버가 OTP 정보를 SMS로 전송하고 사용자는 이 정보를 이용한다.

10회 OTP에 대한 다음 설명 중 잘못된 것은?3
① 비밀번호 재사용이 불가능
② 비밀번호 유추 불가능
③ 의미 있는 숫자 패턴을 활용
④ 오프라인 추측공격에 안전

10회 다음 SSO에 설명으로 옳지 않은 것은?1
① 개별 응용 레벨의 권한 제어
② 인증 정책과 권한 설정 용이
③ 자원별 권한 관리 약함
④ 중앙집중식 ID 관리

9회 다음 중 SSO에 대한 설명 중 적절하지 않은 것은?4
① 한번 인증을 받으면 다양안 서비스에 재인증 절차 없이 접근할 수 있다.
② SSO 서버가 단일 실패 지점이 된다.
③ 사용사는 다수의 서비스를 이용하기 위해 여러 개의 계정을 관리하지 않아도 된다.
④ 사용 편의성은 증가하지만 운영비용도 증가한다.

11회 IPSec 보안 프로토콜에서 메시지 출처 인증, 메시지 무결성, 메시지 기밀성 서비스를 지원하는 프로토콜과 새로운 IP 헤더가 추가되는 동작모드가 잘 묶여진 것은?2
① ESP 프로토콜, Transport 동작모드
② ESP 프로토콜, Tunnel 동작모드
③ AH 프로토콜, Transport 동작모드
④ AH 프로토콜, Tunnel 동작모드

8회 다음은 IPSec의 AH 프로토콜이 하는 역할에 대한 설명이다. 맞는 것은?3
① 라우터와 라우터 간의 IP 패킷을 암호화한다.
② 단말과 단말 간의 IP 패킷을 암호화한다
③ 단말과 라우터 간의 IP 패킷에 대한 송신 인증 및 무결성 서비스를 계공한다.
④ 단말과 라우터 간의 IP 패킷에 대한 송신 인증, 무결성 그 리고 암호화 서비스를 계공한다.

13회 전자입찰시스템 및 프로토콜의 특징에 대한 설명 중 틀린 것은?2
① 전자 입찰 도구로는 자바, 디지털서명, XML 등이 이용될 수 있다.
② 입찰 기간 마감은 여러 개의 입찰 서버가 있을 경우 단계적으로 마감된다.
③ 전자 입찰은 입찰자, 입찰 공고자, 전자입찰시스템으로 구성된다.
④ 전자 입찰 시 독립성, 비밀성, 무결성 등이 요구된다.

13회 다음 지문에서 설명한 프로토콜을 올바르게 나열한 것은?1
[보기]
가: 사용자와 은행 사이에서 수행되는 프로토콜로서 은행이 사용자에게 전자 화폐를 발급해 주는 절차를 명세한 프로토콜이다.
나: 사용자와 상점 사이에서 수행되는 프로토콜로서 사용자가 구매 대금으로 자신의 전자 화폐를 상점에 지불하는 과정을 명세한 프로토콜이다.
다: 상점과 은행 사이에서 수행되는 프로토콜로서 상점이 사용자로부터 받은 전자 화를 은행이 결제해 주는 프로토콜이다.

① 가:인출 프로토콜 나:지불 프로토콜 다:예치 프로토콜
② 가:인출 프로토콜 나:예치 프로토콜 다:지불 프로토콜
③ 가:지불 프로토콜 나:인출 프로토콜 다:예치 프로토콜
④ 가:예치 프로토콜 나:지불 프로토콜 다:인출 프로토콜

13회 다음 보기가 설명하는 취약성은?4
[보기]
이것은 암호화를 위해 대중적으로 사용되는 OpenSSL 라이브 러리에서 서버 메모리 중 64KB의 데이터에 대해 공격자가 덤프를 뜰 수 있게 하는 취약점이다. 해당 취약점을 이용하여 시스템 메모리에 저장되어 있는 무의미한 작은 정보들을 지속적으로 유출시키면, 이러한 무의미한 정보들이 모여 하나의 완전한 유의미한 정보가 될 수 있다. 특히 개인키의 경우 암 호화하여 전달되는 데이터를 모두 열람할 수 있는 핵심정보 이기 때문에 매우 심각한 취약성이라 할 수 있다.
① Poodle
② Ghost
③ Shellshock
④ Heartbleed