PKI, Auth

Posted on | In |

PKI

Key distribution via key distribution center

img

호스트 입장에서는 키를 한 개만 갖고있으면 됨 >

네트워크 시큐리티 모델과 매우매우 흡사함 신뢰 가능한 써드파티 시스템과 키분배센터와 비슷

요즘은 퍼블릭키로 함 / 중간 키분배센터가 사라져도 됨 » 가장 큰 문제 : 신뢰가능한 퍼블릭키 분배 문제

Key Management and Distribution

Public directory : should be maintained in a trusted party

종이 혹은 디렉토리 온라인 서비스를 만들어서 공개

Public key certificate

img

Public key certificate Exchange public keys without trusted third parties : : 퍼블릭키를 써드파티를 거치지 않고 신뢰

Certificate A public key

An ID A signature by a trusted entities

​ Government, financial organization •

Ex) X.509

X.509 Certificates : 국가 간 인증서 표준

img

issued by a Certification Authority (CA), containing:

version V (1, 2, or 3) serial number SN (unique within CA) identifying certificate

signature algorithm identifier AI

issuer X.500 name CA)

period of validity TA (from - to dates)

Subject X.500 name A ( name of owner )

Subject public-key info Ap ( algorithm, parameters, key )

issuer unique identifier (v2+)

subject unique identifier (v2+)

extension fields (v3)

signature (of hash of all fields in certificate)

notation CA«A» denotes certificate for A signed by CA

img믿을 수 있는 퍼블릭키를 알려주는 게 목적

Obtaining a Certificate

  • any user with access to CA can get any certificate from it

  • only the CA can modify a certificate

  • because cannot be forged, certificates can be placed in a public directory

  • if both users share a common CA then they are assumed to know its public key

  • otherwise CA’s must form a hierarchy

  • use certificates linking members of hierarchy to validate other CA’s

    • each CA has certificates for clients (forward) and parent (backward)
  • enable verification of any certificate from one CA by users of all other CAs in hierarchy

Certificate Revocation

certificates have a period of validity may need to revoke before expiry, eg:

user’s private key is compromised

user is no longer certified by this CA

CA’s certificate is compromised

CA’s maintain list of revoked certificates : the Certificate Revocation List (CRL)

users should check certificates with CA’s CRL

AUTH

*Authentication and FIDO*

Authentication

the act of confirming the truth of an attribute of a single piece of data (a datum) claimed true by an entity.

Approaches

Something you know : 지식

Something you have : 소유

Something you are : 특성

Authentication Factors

Approaches Something you know: Knowledge factors

password, PIN (Personal Identification Number)

Something you have: Ownership factors

ID card, Security token, Smart phones •

Something you are: Inherence factors

fingerprint, DNA, signature, face, …

Something you know : 가장 많이 만나는 형태 . 로그인 절차 또한 인증

Knowledge based authentication

Password

User has a secret password System checks password to authentication user

Something you have

Uses a hardware device that a user holds

OTP dongle : One Time Password 인터넷 보안 카드 > 소유 기반

열쇠도 소유 기반이라고 볼 수 있음

Something you are

Biometric authentication : Finger-print, IRIS, DNA, Face

생체 인증과 핀테크

인터넷 결제 및 모바일 결제의 미사용 이유 정보유출 및 보안의 우려 —> 생체인증의 필요성 대두

생체 인증

개인의 고유한 생체적 (biological) 특성을 이용 지문, 홍채, 망막, 정맥, 손금, 목소리, 얼굴, 걸음거리, …

인증으로 방식으로써의 강점 안전성: 복제, 도용, 위변조가 어렵다. | 편이성: 가장 사용하기 편리한 인증 방법

지문인식

사용자의 지문을 확인하여 인증 지문을 채취할 수 있어야 하기 때문에 모바일 디바이스와 같 은 별도의 기기를 필요로 한다. 현재 지문인식을 적용하고 있는 핀테크 결제 서비스 : Apple pay • 삼성페이

ECG (심전도)

심장 박동의 패턴을 이용 : 심전도 측정을 위한 특수 장비가 필요

나이미 (Nymi) : 심장 박동을 기반으로한 웨어러블 디바이스

얼굴인식

얼굴인식을 이용한 서비스

인증 서비스 : 얼굴 정보를 인식하여 사용자를 확인 인증

얼굴 검출(탐지) 서비스 : (촬영된 영상에서) 얼굴을 찾아낸다.

생체인증의 고려사항

미리 습득된 정보와 실제 데이터의 구분이 가능해야 한다.

3d프린터를 이용한 지문 불법 복사 얼굴 촬영이미지를 이용한 불법 얼굴 인증

“Liveness check”가 필요

실제 살아있는 사람의 정보인지를 확인 / 예) 지문 채취 기기에서 실제 사람의 손가락인지의 여부를 판별 한다.

Two-factor authentication

Two factors are required for authentication -> Multifactor authentication e.g., password + smart phone, fingerprint + PIN

각 인증 방법은 조금씩 문제가 있음.

지식 : 패스워드 노출 가능성 존재> 패스워드 노출이 된지 잘 모르는 경우,

TATD time of attack - time of detection

소유 : 노출이 되었을 때 빨리 알 수 있음, 나의 부주의로 인해 정보 노출 가능성 존재

특성 : 인증 정보 한 번이라도 누출 시 변경이 아예 불가능

일반적으로 2~3개 섞는 보안 방식을 사용 2FA factor auth~

FIDO

Public-key Cryptography

  • probably most significant advance in the 3000 year history of cryptography
  • uses two keys – a public & a private key asymmetric since parties are not equal
  • uses clever application of number theoretic concepts to function
  • complements rather than replaces private key crypto

UAF, U2F

  1. UAF ( Universal Authentication ) : Biometric Auth / 서버 입장에서는 뭐로 인식하든 신경쓸 필요 없음 퍼블릭키와 프라이빗키로 구성되어 있음. 상대에게 퍼블릭 키를 쓸 거라고 등록해 놓고서 나는 서명만 해서 보내면 됨. 내가 프라이빗키로 서명을 어떻게 할가요… 를 정한 것 - Generalize biometric Auth - Decouples user identification and client
  2. U2F : Two-factor auth - Two-factor auth : 인증은 유저 클라이언트에서 끝남 - PIN or Password - + USB key - + Bluetooth

Trade offs

Security vs. Usability vs. Cost

보안이 좋아지면 쓰기 불편해지고 안전하면서 쓰기 편하면 비용이 비싸고… 세 가지를 모두 만족시키긴 어렵다! 하날 얻기 위해 나머질 희생해야 하는게 보안의 큰 문제