정보보안기사 필기 독학 / 애플리케이션 보안 / 4. SSL, SET
SSL(Secure Socket Layer)
인터넷을 통한 개인 메시지의 전송을 위해 Netscape에서 개발한 프로그콜로써, 암호문 저송을 위해서 공개키 알고리즘을 사용합니다. 포트번호는 443이고, 비밀성, 무결성, 인증의 세가지 모안 서비스를 제공하며 효율성을 위해 데이터 압축 기능도 제공합니다. 그리고 전송계층부터 응용계층에서 동작합니다. SSL이 적용된 웹사이트는 https:// 로 접속합니다.
SSL은 SSL Record Protocol과 SSL handshake Protocol, SSL Chnage Cipher Spec Protocol, SSL Alert Protocol로 구성되어 있습니다.
TLS(Transport Layer Security)
두 개의 통신 응용프로그램 사이에서 개인의 정보보호와 데이터의 무결성을 제공하기 위해 만들어졌습니다
TLS는 Handshake Protocol과 Record Protocol로 구성되어 있는데, Record 프로토콜은 상위계층 프로토콜의 캡슐화를 위해 사용되고, Handshake 프로토콜은 서버와 클라이언트가 데이터를 전송하기 전에 서로 인증할 수 있도록 해주며 사용할 암호와 알고리즘과 암호키를 협상하도록 해줍니다.
SET(Secure Electronic Transaction)
인터넷을 통해 신용 카드 거래를 보호하기 위한 응용 계층에서의 통신 프로토콜 표준입니다.
전자결제 시 교환되는 정보의 비밀 보장을 위해 공개키, 비밀키 암호 알고리즘을 사용하고, 데이터의 무결성을 확보하고자 전자서명과 해시 알고리즘을 사용합니다. 주문 정보는 상점의 공개키로, 지불 정보는 은행의 공개키로 암호화합니다.
그리고 구매자의 구매품목 등의 주문정보와 결제 계좌 등의 지불 정보를 분리시켜 서명하며 판매자의 금융기관에 제공되는 정보를 최소화하기 위해 이중 서명이 사용됩니다.
관련 문제
13회 9회 다음 지문은 무엇을 설명한 것인가?3
[보기]
- TCP/IP 프로토콜에서 전송 계층 바로 위에 위치하며 보안 기능을 수행한다.
-사용자 상호인증, 데이터 기밀성, 메시지 무결성 등의 보안 서비스를 제공한다.
- Handshake 프로토콜, Change Cipher Spec, Aler 프로토콜 Record 프로토콜로 구성된다.
① IPSec
② PGP
③ SSL/TLS
④ SHTTP
14회 다음 중 SSL에 대한 설명으로 옳지 않은 것은?2
①넷스케이프사에서 처음 개발하였다.
②TFTP, FTP, SYSLOG 등에 주로 사용된다.
③SSL은 기본적으로 443번 포트를 사용한다
④SSL이 적용된 웹사이트는 https:// 로 접속한다.
13회 SSL/TLS에 대한 설명으로 옳은 것은?1
① 상위계층 프로토콜의 메시지에 대해 기밀성과 부인방지를 제공한다.
② 종단 대 종단 간의 안전한 서비스를 제공하기 위해 UDP를 사용하도록 설계하였다.
③ 레코드(Record) 프로토콜에서는 응용계층의 메시지에 대해 단편화, 압축, MAC 첨부, 암호화 등을 수행한다.
④ 암호명세 변경(Change Cipher Spec) 프로토콜에서는 클라이언트와 서버가 사용할 알고리즘과 키를 협상한다.
11회 SSL 프로토콜에 대한 설명이다. 적절치 못한 것은?3
① SSL을 사용하기 위해서는 URL에 "http:// 대신에 "https://"을 사용한다.
② SSL 프로토콜은 Default로 TCP 443 Port를 사용한다.
③ SSL 프로토콜은 암호화 통신을 하기 때문에 침입탐지 방지시스템(IDS/ITS) 등의 보안장비에서 공격 페이로드의 탐지가 쉽다.
④ SSL은 Record Layer와 HandShake Layer로 구분한다.
10회 다음은 전자상거래 보안 프로토콜에 대한 설명이다. 설명으로 옳지 않은 것은?4
① SET : 공개키 기반 구조를 바탕으로 사용자 인증
② SSL : 제어 프로토콜과 레코드 프로토콜의 2계증으로 구성
③ SET : 트랜잭션 정보의 비밀성 보장을 위하여 공개키, 비밀키 암호방식을 혼합하여 사용
④ SSL : 하이퍼링크 앵커는 서버 식별, 요구되는 암호 매개변수 등을 지시
9회 SET에 대한 설명 중 적절하지 않은 것은?4
① 전자결제 시 교환되는 정보의 비밀 보장을 위해 공개키, 비밀키 암호 알고리즘을 사용한다.
② 데이터의 무결성을 확보하고자 전자서명과 해시 알고리즘을 사용한다.
③ 주문 정보는 상점의 공개키로, 지불 정보는 은행의 공개키로 암호화한다.
④ 지불 정보와 주문 정보는 상점과 은행이 상호 협조하여 모두 볼 수 있도록 구성되어 있다.
13회 이중서명(Dual Signature)은 사용자가 구매정보와 지불정보를 각각 해시한 후 해시값을 합하여 다시 해시 그리고 최종 해시값을 카드 사용자의 개인키로 암호화한 서명을 말하는 것으로 다음 그림은 이중서명 절차도이다.
아래와 같이 이중서명을 사용하는 것으로 적합한 것은?1
① SET
② PKI
③ 전자화폐
④ 전자수표
11회 이중서명의 특징에 대한 설명으로 옳지 않은 것은?3
① 분쟁에 대한 대비를 위해 두 메시지 간의 연관성이 구현되어야 함
② 구매자의 자세한 주문정보와 지불정보를 판매자와 금융기관에 필요 이상으로 전달하지 않아야 함
③ 이중 서명은 SSL에서 도입된 기술로 고객의 카드 정보를 상인에게 전달하면 상인은 그 요청에 유효성을 확인하게 됨
④ 구매자는 최종 메시지 다이제스트를 자신의 개인 서명키로 암호화 하여 이중서명을 생성함
10회 이중 서명을 사용하는 경우로 옳은 것은?3
① 송신자와 수신자 간에 문서의 위변조를 방지하기 위한 방법이다.
② 서명 이용자의 신원 노출이나 문서정보의 노출 없이 서명자로부터 서명을 받고 싶을 때 사용한다.
③ 구매자의 구매품목 등의 주문정보와 결제 계좌 등의 지불 정보를 분리시켜 서명하며 판매자의 금융기관에 제공되는 정보를 최소화하기 위해 사용된다.
④ 문서 송수신 시, 중간자 공격을 방지하기 위해 Salt 및 Nonce를 활용하는 서명 방식을 말한다.
8회 SET에서 도입된 기술로 고객의 구매 정보는 은행이 모르게 하고 지불 정보는 상점이 모르게 하기 위해 사용하는 서명 방식은?4
① 은닉 서명
② 그룹 서명
③ 수신자 지정 서명
④ 이중 서명