[기업 보안] 암호화키 관리의 중요성 / 보안키 관리 시스템(KMS)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.06.25 11:58 / 카테고리 : nCipher HSM (Thales-HSM )


암호화 키 관리의 중요성 / 보안 키 관리 시스템(KMS)


산업화가 급격하게 이루어지고 인터넷이 발달함에 따라 기업들도 이러한 데이터들을 전산화하기 시작하였습니다. 

특히 금융 업계에서는 개인정보와 관련된 데이터 이슈가 많았습니다. 이러한 개인정보와 관련된 데이터는 해커들의 주요 공격대상이 되고, 최근 개인정보의 유출사고가 기하급수적으로 증가함에 따라 기업에게 큰 손해를 미치게 됩니다. 


대규모 개인정보 유출은 언제 어디서나 발생하고 있기 때문에, 개인정보가 유출된 사고가 발생한 시스템의 운영 상황을 점검해보게 되면 네트워크 또는 서버 보안 등의 기초적인 보안 조치로는 이러한 사고를 막을 수 없다는 것입니다.


최근에 가장 큰 이슈가 되었던 보안사고 였던 카드 3사(K사, L사, N사) 의 개인정보 유출 사고 였습니다.

이는 내부에 유출에 의한 것으로 보안 외주업체인 K사의 박모 차장이 USB로 유출 시킨 것입니다. 이러한 데이터들이 암호화도 없이 저장되어 있어서 피해가 컸습니다.

침해사고 발생 전에 유출경로를 차단하는 것도 중요하지만, 침해사고가 발생시에 정보유출을 방지하는 것도 중요합니다. 이러한 고객 정보들을 암호화 시키는 방법도 매우 중요합니다.

데이터를 실제 저장 및 관리하는 데이터베이스(DB) 서버에 대한 별도의 보안 조치가 가장 중요하다고 할 수 있습니다. 위에 카드 3사 개인정보 유출사례에서도 만약 데이터베이스의 DB 암호화를 통한 보안조치가 확실하다면 유출 시키기도 어렵고 유출 시켜도 해독할 수 없어 집니다.


최근에 이러한 이슈로 인해 많은 금융기관에서는 DB암호화 도입을 주저하였지만 지금은 DB암호화를 위해 많은 비용을 투자하고 있습니다. 정부에서도 정보통신망법 개정과 그 시행령을 통해서 보호조치를 강화하도록 법제화하고 권고하고 있습니다. 이제는 DB암호화는 선택이 아닌 필수가 되고 있습니다.


DB의 암호화와 복호화를 위해 사용되는 암호 키의 종류는 암호화, 복호화 키와 마스터키로 나누어 집니다.

암호화/복호화 키는 DB내에 존재하는 데이터의 암호화 적용과 데이터 이용을 위한 복호화를 위해 사용되고 있으며, 가장 중요한 마스터키는 이러한 암호화/복호화 키를 암호화 하는데 사용되기 때문에 가장 중요합니다.


암호화된 데이터 유출 시에 이를 해독할 수 있는 암호화/복호화 키는 암호화 대상이 되는 데이터 만큼이나 가장 중요한 정보기 때문에 아무리 강력한 암호 알고리즘을 통해서 데이터를 암호화 한다고 하더라도 이러한 암호화/복호화 키 정보가 외부에 유출이 되면 강력한 암호화 알고리즘으로 데이터를 암호화하였더 라도 데이터 암호화는 이미 무용지물이나 마찬가지 입니다. 


[암호화 키 관리 프로세스]

1. 키 생성 - 암 복호화 생성시에 안전한 난수 발생기를 이용하며, 안정성이 검증된 알고리즘을 사용하여 생성합니다.

2. 키 분배 - 키 분배 시에도 암호화 등의 방법을 통하여 보안성 유지하고 암호 키의 외부 노출을 차단합니다.

3. 키 저장 - DBMS와 분리된 별도의 키 관리 서버나 HSM 장비를 통해 암호화 하여 저장합니다.

4. 키 사용 - DB 관리자와 보안 관리자의 권한을 분리하여 사용합니다.

5. 키 백업/복구 - 암호 키와 패스워드를 알 수 없는 경우에 대비하여 백업 및 복구 절차를 수립합니다.

6. 키 교체 - 암 복호화 키는 기업 내부 정책에 부합하는 기간마다 교체하여 보안성을 유지합니다.

7. 키 폐기 - 허가된 관리자가 절차에 따라 폐기합니다.


때문에, 데이터를 암호화하고 복호화하는 암호화/복호화 키와 이를 보호하는 마스터키 역시 모두 생성 부터 폐기까지 안전하게 관리되어야 합니다.

아무리 금고가 튼튼하더라도, 키를 분실하는 순간 금고는 이미 도난 당한거나 마찬가지가 되기 때문이죠.


키 관리는 중요한 문제이며, 키 관리가 약한 경우 암호화는 쓸모가 없다.

(Key management is a crucial issue, and encryption is useless if key management is weak.) - Gartner Report, 2013 July


DB 암호화의 가장 중요한 요소중의 하나가 암호키 관리입니다. 아무리 암호화가 잘 수행되 었다 하더라도 키 관리가 허술하면 정보유출 사고 시 대규모 사태가 벌어질 수 있기 때문 입니다. 암호 키는 생성 이후부터 관리가 매우 중요하며, 정기적인 암호키 변경은 물론 안전한 장소에 암호키를 보관하여야 합니다. 암호화된 데이터가 유출되더라도 암호키가 없으면 유출된 데이터를 이용하기가 쉽지 않기 때문에 안전한 데이터 보안을 구축 할 수 있습니다.


가장 중요한 보안 키관리는 어떻게 해야 할 까요?

DB 암호화 솔루션의 경우 키 관리를 솔루션이 탑재된 머신(machine)에 관리하는 경우도 있고, 별도의 키 관리 장비(HSM, Hardware Security Module)에 관리하는 경우도 있습니다.

후자인 HSM에 관리하는 경우 안전한 암호화 키 관리를 보장하지만, 전자 의 경우 암호화 솔루션 자체의 보안성 향상이 필요합니다.

즉, 암호화된 키를 임의로 조회하 거나 삭제·변경하지 않도록 하는 보안정책이 별도로 요구됩니다. 

아래에 있는 내용은 암호화 키 관리에 대한 가이드라인입니다. 참고하시기 바랍니다.


가. 암호키가 생성되면 암호키에 대한 백업을 수행한다. 암호키가 변경이 되면 변경된 암호 키에 대한 백업도 포함이되며, 복구에 대한 확인과 절차도 점검하여야 한다.

나. 암호키에 대한 논리적 접근제어가 수행되는지를 점검한다. 물리적으로 안전하지 못한 장소에 저장된 암호키는 쉽게 유출이 가능하기 때문에 별도의 보안정책이 필요하다.

다. 암호키가 물리적으로 안전한 장소에 저장되어 있고 권한이 부여된 사용자에 의해서만 접근이 가능한가를 점검한다.

라. 암호키가 해제될 수 있는 가능성을 점검하고 기존 암호키의 폐기, 새로운 암호키의 생성 절차를 확인하여야 한다. 이 과정은 매우 중요하며 모든 이력을 관리하여야 한다.


암호키는 보안 키 관리 시스템(Key Management System)을 통해 안전하게 관리 할 수 있습니다. 암호화 키 관리 시스템은 키의 생성부터 변경, 저장, 사용 및 삭제에 이르는 전반적인 과정을 관리하는 시스템으로 사용자에 따른 키 접근 제어 및 감사 기록을 제공하여 암호화 솔루션 구축 시에 핵심이 되는 부분입니다.






이러한 보안 키 관리 시스템을 Thales HSM (Hardware Security Module)을 통해 안전하게 구축해 보시기 바랍니다.

Thales HSM은 전세계 시장 점유율 1위를 자랑하는 안정성과 그 성능이 입증된 하드웨어 암호화 모듈로써 암호화 세션 연결시에 HSM의 SSL 가속 기능을 사용하여, 암호화 세션 연결성능을 향상 시킬 수 있으며, 암호화 세션 연결시에는 HSM의 SSL 가속 기능을 사용하여, 업무 서버에 암호화 세션 연결 부하를 주지 않기 때문에, 업무 서버의 시스템 가용성이 향상되는 장점이 있습니다.

장 중요한 서버의 키관리는 HSM으로 관리 되기 때문에, 키 보호 측면에서 보안성이 향상됩니다.


보안키 관리 시스템인 탈레스 HSM (Thales)에 대한 자세한 정보는 아래의 게시물을 클릭하시면 더 상세한 제품 정보를 보실 수 있습니다.

※ Thales nShield Connect / Thales nShield Solo

※ Thales Datacryptor Ethernet Layer 2 / PayShield 9000







Trackbacks 0 / Comments 0

Thales Datacryptor Ethernet Layer 2 / PayShield 9000

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.06.19 16:52 / 카테고리 : nCipher HSM (Thales-HSM )

Thales Datacryptor Ethernet Layer 2


네트워크의 Latency와 Bandwidth Loss를 최소화한 강력한 네트워크 구간 암호화 장비

Datacryptor Ethernet Layer 2는 중요한 데이터의 Point-to-point bulk, Tunnel 그리고 Clear header 암호화 전송을 제공하는

고속의 독립 보안 플랫폼입니다. Multipoint 옵션을 사용하여 충돌 영역에서도 안전한 메시 네트워트 환경을 지원합니다.

Clear header 암호화 모드를 사용한 Multipoint 옵션은 브로드 캐스트 및 멀티 캐스트 연결을 보호하여 중요하고 민감한 데이터,

음성 및 비디오의 안전한 전송을 보장합니다. 소프트웨어 라이센스로 제공되는 Multipoint 기능과 같이, Ethernet Layer2 와

MPLS WAN 환경에서 높은 속도의 Fully-meshed 데이터 보안을 위한 시장의 요구사항에 맞춰서 100Mbps, 1Gbps 그리고

10Gbps 모델에 대한 업그레이드를 소프트웨어 라이센스를 통하여 할 수 있습니다.


Maximum data transfer rate

  • 100 Mbps full duplex with 37-40 µsec latency
  • 1 Gbps full duplex with 7 µsec latency
  • 10 Gbps full duplex with 5 µsec latency


Cryptographic algorithms

  • AES FIPS 197 with 256-bit key length
  • Frame authenthication in multipoint mode using Galois Counter Mode(GCM)


Key management

  • Centralized key generation/distribution
  • Signed Diffie-Hellman key agreement protocol
  • ECDSA and SHA-384 (FIPS 180-2)
  • X.509 v1 and v3 certificates
  • Hardware random number generation
  • Automatic-time triggered key chaege without interruption of connections


Device management

  • Thales’ Element Manager (EM) secured with AES
  • Front Panel Viewer (FPV) Graphical User Interface
  • X.509 v1 and v3 digital certificate support
  • PPP protocol (serial V.24) or IP (10/100BaseT RJ-45 Ethernet)
  • Secure download of software updates
  • SNMP v1, v2c and v3 network monitoring
  • Thales’ Certificate Manager (CM)


Connection interfaces


100 Mbps platform

  • Fixed RJ-45 copper 10 or 100BaseT host and network ports
  • Serial V.24 and Ethernet management ports


1 Gbps platform

  • Removable RJ-45 copper (SFP) host/network ports
  • Removable mulit-rage and DWDM optical 9SFP) duplex LC host/network ports
  • Serial V.24 and Ethernet management ports


10 Gbps platform

  • Removable mulit-range and DWDM optical (XFP) host/network ports
  • Serial V.24 and Ethernet management ports


Flexibility

  • Bulk, Tunnel and Clear Header point-to-point encryption
  • Clear Header multipoint encryption
  • Transparent to line protocols
  • MPLS-awareness mode
  • AC and DC redundant power options
  • Redundant power (1 Gbps and 10 Gbps models only)
  • Secure auditing


Synchronization

  • Automatic, continuous


Physical security

  • Tamper-resistant metal casing
  • Tamper-response circuit


Safety and security certifications

  • FIPS 140-2 Level 3 and Common Criteria EAL3*
  • FCC Part 15 Class B, UL, CE
  • Unified Capabilities Approved Products List*


Power


100 Mbps platform

  • Single AC (universal) or DC (-48v), 25 Watts, 86 BTU

1 Gbps platform

  • Dual-redundant AC (universal) or DC (-48v), 120 Watt, 410 BTU

10 Gbps platform

  • Dual-redundant AC (universal) or DC (-48v), 140 Watt, 480 BTU


Temperature

  • Operating 5°C to 40°C (40°F to 100°F)
  • Storage -10°C to 60°C (15°F to 140°F)


Relative humidity

  • 10% to 90% at 25°C(77°F) non-condensing, falling to 50% maximum at 40°C (100°F)


Barometric pressure

  • 780 to 1100 mBar


Physical specifications

100 Mbps platform

  • 19", 1RU housing
  • Height: 4.20cm (1.70")
  • Width: 43.00cm (16.93")
  • Depth: 22.30cm (8.80")
  • Weight: 3.70kg (8.00lb)

1 Gbps platform

  • 19", 1RU housing
  • Height: 4.40cm (1.70")
  • Width: 43.00cm (16.93")
  • Depth: 37.00cm (14.60")
  • Weight: 8.50kg (18.75lb)

10 Gbps platform

  • 19", 2RU housing
  • Height: 8.80cm (3.50")
  • Width: 43.00cm (16.93")
  • Depth: 38.50cm (15.20")
  • Weight: 9.75kg (21.50lb)






Thales PayShield 9000

지불결제 시장 점유율 1위 하드웨어 보안 모듈

탈레스 payShield 9000은 자동인출기(ATM)와 POS(Point of Sale)의 신용카드 및 직불카드의 발급 및 거래에 필요한 암호화 기능을 

제공하는 지불결제 전용 하드웨어 보안 모듈입니다. 

암호화 기능과 관리 기능은 American Express, Discover, JCB, MasterCard, UnionPay 그리고 Visa를 포함하는 주요 국제 카드 표준의 

보안 감사 요구사항을 만족합니다.  이 장비는 전자 지불 산업의 카드 발급, 모바일 프로비저닝과 지불결재 프로세싱 응용 

소프트웨어가 동작하는 메인프레임과 서버에 외부 주변 장치로 사용됩니다. 




Key management standards supported 

  • Thales Key Block support (compliant with ANSI X9.24; superset of X9 TR-31) 
  • X9 TR-31 Key Block support 
  • RSA Remote Key Transport
  • DUKPT
  • Master/Session Key Scheme 
  • Racal Transaction Key Scheme 
  • AS2805 support 


Cryptographic algorithms supported 

  • DES and Triple-DES key lengths 112 bit, 168 bit 
  • AES key lengths 128 bit, 192 bit, 256 bit 
  • RSA (up to 2048 bits) 
  • FIPS 198-1, MD5, SHA-1, SHA-2 


Performance options 

  • Range of performance option up to 1500 Triple-DES PIN Block translates / second using key blocks
  • Multi-threading to optimize performance 


Host connectivity 

  • Asynchronous (v.24, RS-232) 
  • TCP/IP & UDP (10/100/1000 Base-T) – dual ports for resilience 
  • FICON 


Certifications / validations 

  • Cryptographic module certified to FIPS : 140-2 Level 3, 46, 81, 180-3, 186-3, 198 
  • PCI HSM*
  • APCA 
  • MEPS 
  • NIST SP800-20, SP800-90(A) 


Financial services standards supported 

  • ISO: 9564, 10118, 11568, 13491, 16609 
  • ANSI : X3.92, X9.8, X9.9, X9.17, X9.19, X9.24, X9.31, X9.52, X9.97 
  • X9 TR-31, X9 TG-3/TR-39, APACS 40 & 70, AS2805 Pt 14 


Card payments support 

  • American Express/MasterCard/VISa PIN and Card Verification functions 
  • EMV 3.X and 4.X transactions and messaging (inc. PIN Change) 
  • Remote Key Loading to NCR, Diebold and Wincor-Nixdorf ATMs 
  • MasterCard On-behalf Key Management (OBKM) 
  • Integration with all major payment authorization and switching applications 


Management facilities 

  • Graphical User Interface(GUI) option for standard PC hardware over Ethernet - local and remote modes supported 
  • Key Management Device(KMD) option to form keys from components 
  • Console interface for “dumb” terminals 
  • Clustering using Thales Security Resource Manager (SRM) application 
  • SNMP 
  • Utilization statistics, health check diagnostics and error logs


Security features 

  • Multiple master keys option enabling cryptographic isolation
  • Two-Factor Authentication of security officers using smart cards 
  • Dual physical locks and/or smartcards control authorization levels
  • Tamper-resistance exceeding requirements of PC|HMS and FIPS 140-2 Level 3 
  • Detection of cover removal in addition to alarm triggers for motion, voltage and temperature 
  • Device 'hardening' - ability the host application to disable function not required by the host application
  • Audit trails 


Physical characteristics 

  • Form Factor: 2U 19” rack mount 
  • Height: 85mm (3.35”) 
  • Width: 478mm (18.82”) 
  • Depth: 417mm (16.42”) 
  • Weight: 7.3kg (16lb) with single PSU, 7.5kg (16.5lb) with dual PSU 
  • Electrical Supply : 100 to 240V AC Universal input, 47 to 63Hz
  • Dual power supply option on all models for resilience 
  • Power Consumption: 100W (maximum) 
  • Operating Temperature: 0 deg C to 40 deg 
  • Humidity: 10% to 90% (non-condensing)

상세한 제품 사양 정보는 www.thales-esecurity.com 또는 QR코드를 스마트폰으로 스캔하여 참조하세요.







Trackbacks 0 / Comments 0

Thales nShield Connect / Thales nShield Solo Spec

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.06.16 14:02 / 카테고리 : nCipher HSM (Thales-HSM )

HSM(하드웨어 암호화 모듈) Thales nShield Connect / Thales nShield Solo 스펙 소개




Thales nShield Connect 

Thales HSM 패밀리는 높은 수준의 데이터 보안 솔루션들을 제공하고 있습니다. 그 중 nShield Connect는 최고의 네트워크-접속형 하드웨어 보안 모듈(HSM) 입니다.

최적화된 타원곡선 암호학 모델이 포함되어 강력해진 플랫폼으로써 nShield Connect는 상업 및 맞춤(Custom-built) 비즈니스 애플리케이션에서 폭 넓게 활용되는 암호화 및 디지털 서명용 중요 키를 안전하게 보관하고 관리합니다.

nShield Connect는 공개 키 기반 구조(PKI), 신원 관리, 데이터베이스, 웹 패브릭(Web fabric), DNS 보안 확장(DNSSEC), 그리고 코드 서명을 포함하는 중요 보안 시스템을 보호합니다.


nShield Connect는 소프트웨어 기반의 보안 솔루션 만으로는 부족한 서버기반 시스템에게 적절한 수준의 물리적, 논리적 통제를 확립시키는 가장 경제적인 방법입니다.

보안에 대해 계속적으로 개편되고 있는 법규 요구사항과 일반적인 표준들에 앞서, nShield HSM의 사용은 기존의 데이터센터, 가상화 환경과 클라우드 기반 서비스들에 있어서 명확한 보안 대책을 제공합니다.

HSM시장의 리더인 Thales nShield HSM의 Security World 키관리 구조는 귀찮고 위험할 수 있는 관리자 업무를 자동화하며 키 복구를 보장합니다. 


Thales nShield Connect 제품 스펙 소개

1. 기능

  - 온보드에서 안전하게 키와 애플리케이션의 저장 및 처리

  - 암호학적 오프로딩/가속화

  - 인증도니 멀티 레벨 접근 제어

  - 엄격한 직무 분리 (관리자와 사용자)

  - nToken 옵션을 뛰어난 클라이언트 인증 기능 제공

  - 안전한 키 랩핑, 백업, 복사 및 복구

  - 무제한의 보호된 키 저장소

  - 클러스터링, 부하조절, "k of n"의 멀티팩터 인증

  - 애플리케이션 키들이 무제한의 논리적/암호학적 분리


2. 지원되는 운영체계   

  - 물리적 : Windows, Linux, Solaris, IBM AIX, HP-UX

  - 가상환경 : VMware, Hyper-V, AIX LPARs를 포함하는 다양한 VM 소프트웨어 벤더 지원


3. API

  - PKCS#11, OpenSSL, Java(JCE), Microsoft CAPI 및 CNG

  - nCore (개발자용 low-Level Thales 인터페이스)


4. 확장성, 호환성 및 업그레이드 가능성

  - 최대 100개의 Client

  - Thales nShield Solo(PCI/PCIe), nShield Edge, netHSM과 호환

  - 소프트웨어 업그레이드 가능


5. 호스트 연결

  - 이중 Gigabit Ethernet 포트 (두 개의 네트워크 세드먼트 지원)


6. 암호 알고리즘

  - 비대칭 공개키 알고리즘 : RSA(1024, 2048, 4096), Diffie-Hellman, DSA, El-Garmal, KCDSA, ECDSA, ECDH

  - 대칭키 알고리즘 : AES, ARIA, Camellia, CAST, DES, RIPEMD160 HMAC, SEED, Triple DES

  - Hash/Message Digest : SHA-1, SHA-2(224, 256, 384, 512bits)

  - Brainpool 및 사용자 정의 커브를 포함하여 ECC를 완벽히 지원하는 완전한 Suite B 구현


7. 안전 및 보안, 환경에 대한 규제

  - UL, CE, FCC

  - RoHS, WEEE

  - FIPS 140-2 Level 2 및 Level 3, NIST SP 800-131A

  - CC EAL4+


8. 고 가용성

  - 모든 저장소에 Solid State 방식의 메모리 적용

  - 핫-스와핑 방식의 이중 전원

  - 필드 서비스가 가능한 구성품 (전원 및 냉각 팬)

  - 47,000시간 MTBF (Mil-Std 216F notice 2 parts count)


9. 관리와 모니터링

  - 원격 무인 운영자/다중-사용자 접근제어

  - Syslog 진단 지원

  - Window 성능 모니터링

  - 명령어 라인 인터페이스(CLI)/그래픽컬 사용자 인터페이스 (GUI)

  - SNMPv3 호환성 모니터링


10. 물리적 특성

  - 표준 1U 19in 렉 마운트 및 스마트카드 리더 내장

  - 치수 : 43.4mm X 430mm X 705 mm

  - 중량 : 11.5kg

  - 입력 전압 : 100-240v AC 자동 전환 50-60Hz/IEC 320 소켓과 라커 스위치(nominal) / IEC 320 mains socket and rocker switch

  - 소비 전력 : 110v AC 60Hz에서 최대 1.2A 또는 220v AC 50Hz에서 최대 0.6A

  - 방열 : 327.6 ~ 362.0 BTU/hr (전 부하)

  - 온도 : 동작 시 5~40℃ (41~104℉) / 보관 시 -20~70℃ (-4~158℉)

  - 습도: 동작 시 10~90%(상대 습도, 35%로 습기 없는 것) / 보관 시 0~85%(상대 습도,35%로 습기 없는 것)


11. 비즈니스 연속성

nShiled Connect는 모든 메모리에 solid-state 방식 설계, 핫-스와핑 방식 이중 전원, 현장 수리가 가능한 냉각 팬 tray를 포함합니다. 

nShield Connect는 핫-스와핑 방식 이중 전원, 필드 서비스 가능한 냉각 팬, 그리고 옵션으로 제공되는 렉 마운트용 슬라이드 레일을 포함합니다.

제품 사양 및 성능




Thales nShield Solo

Thales nShield HSM 패밀리는 높은 수준의 데이터 보안 솔루션들을 제공하고 있습니다. 그 중 nShield Solo는 서버 내장형 하드웨어 보안 모듈 (HSM)입니다.

nShield Solo는 최적화된 타원곡선 암호학 모델이 포함되어 강력해진 카드로써, 상업 및 맞춤(custom-built) 비즈니스 애플리케이션에서 폭 넓게 활용되는 암호화 및 디지털 서명용 중요 키를 안전하게 보관하고 관리합니다. 

nShield Solo는 공개 키 기반 구조(PKI), 신원 관리, 데이터베이스, 웹 패브릭(Web fabric), DNS 보안 확장(DNSSEC), 그리고 코드 서명을 포함하는 중요 보안 시스템을 보호합니다.


nShield Solo는 소프트웨어 기반의 보안 솔루션 만으로는 부족한 서버기반 시스템에게 적절한 수준의 물리적, 논리적 통제를 확립시키는 가장 경제적인 방법입니다. 보안에 대해 계속적으로 개편되고 있는 법규 요구사항과 일반적인 표준들에 앞서서, nShiled HSM의 사용은 기존의 데이터센터, 가상화 환경과 클라우드 기반 서비스들에 있어서 명확한 보안 대책을 제공합니다. 

HSM시장의 리더인 Thales nShield HSM의 Security World 키관리 구조는 귀찮고 위험할 수 있는 관리자 업무를 자동화하며 키 복구를 보장합니다. 또한, 단일 장애 지점 및 수동적인 백업 절차를 제거합니다.


Thales nShield Solo 제품 스펙 소개

1. 기능

  - 내장형 일대일 클라이언트-서버 애플리케이션 지원

  - 온보드에서 안전하게 키와 애플리케이션의 저장 및 처리

  - 암호학적 오프로딩/가속화

  - 인증된 멀티 레벨 접근 제어

  - 엄격한 직무 분리(관리자와 운영자)

  - 안전한 키 랩핑, 백업, 복사 및 복원

  - 무제한의 보호된 키 저장소

  - 클러스터링, 부하조절, “k of n”의 멀티팩터 인증 

  - 애플리케이션 키들의 무제한의 논리적/암호학적 분리


2. 지원되는 운영체계

  - Windows, Linux, Solaris, IBM AIX, HP-UX


3. API

  - PKCS#11, OpenSSL, Java(JCE), Microsoft CAPI 및 CNG

  - nCore(개발자용 low-level Thales 인터페이스) 


4. 확장성, 호환성 및 업그레이드 가능성

  - Thales nShield Connect, nShield Edge, netHSM 500 및 2000과 호환 

  - 소프트웨어 업그레이드 가능


5. 호스트 연결

  - PCI 2.3 호환; 2.1, 2.2, PCI-X 호환가능

  - PCIe 싱글 레인 호환: 1.1, 2.0 호환가능


6. 암호 알고리즘

  - 비대칭 공개키 알고리즘: RSA(1024, 2048, 4096), Diffie-Hellman, DSA, El-Gamal, KCDSA, ECDSA, ECDH

  - 대칭키 알고리즘: AES, ARIA, Camellia, CAST, DES, RIPEMD160 HMAC, SEED, Triple DES

  - Hash/message digest: SHA-1, SHA-2(224, 256, 384, 512bits) 

  - Brainpool 및 사용자 정의 커브를 포함하여 ECC를 완벽히 지원하는 완전한 Suite B 구현


7. 안전 및 보안, 환경에 대한 규제

  - UL, CE, FCC

  - RoHS, WEEE

  - FIPS 140-2 Level 2 및 Level 3, NIST SP 800-131A

  - CC EAL4+


8. 고 가용성

  - All solid-state 저장소

  - MTBF – MilStd 217F notice 2 parts count method


9. 관리와 모니터링

  - 원격 무인 운영자/다중-사용자 접근제어

  - Syslog 진단 지원

  - Windows 성능 모니터링

  - 명령어 라인 인터페이스(CLI)/그래픽컬 사용자 인터페이스(GUI)

  - SNMPv3 호환성 모니터링


10. 물리적 특성

  - 표준 PCI 와 low profile PCIe 인터페이스 및 외부 스마트카드 리더

  - 온도: 동작 시 10~35℃ (50~95℉) 저장 시 -20~70℃ (-4~158℉) 

  - 습도: 동작 시 10~90%(상대 습도, 35%로 습기 없는 곳), 보관 시 0~85%(상대 습도,35%로 습기 없는 곳)


11. 독립형 서버에 경제적

nShield Solo는 여러 서버들로 구성된 클러스터에 사용되어 부하조절 및 높은 가용성을 실현할 수 있습니다. 데이터 센터 환경에서 여러 nShield Solo 모듈을 사용하는 고객들을 위해 스마트카드 리더 렉 마운트가 옵션으로 제공됩니다.


제품 사양 및 성능
성능 및 PCI 인터페이스에 따라 여러 모델을 제공합니다.




상세한 제품 사양 정보는 www.thales-esecurity.com 또는 QR코드를 스마트폰으로 스캔하여 참조하세요.





Trackbacks 1 / Comments 0

하트블리드(Heartbleed) 취약 방지 솔루션 Thales-HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.05.28 11:28 / 카테고리 : nCipher HSM (Thales-HSM )




[하트블리드 - Heart Bleed]

하트블리드는 우리가 계속 당면하고 있는 보안을 위협하는 또 하나의 버그입니다. 하트블리드 버그는 인터넷을 통해 오픈SSL 소프트웨어의 취약한 버전으로 보호하는 시스템의 메모리를 읽을 수 있게 합니다. 이는 서비스 제공자를 확인하는데 사용하는 보안키를 위태롭게 하고 사용자의 교신 내용, 이름, 비밀번호와 실제 콘텐츠를 암호화 합니다.


이 버그는 공격자가 다른 사람의 통신 내용을 도청하고 서비스와 사용자들의 데이터를 직접 훔치며 당사자로 가장할 수 있게 합니다. 또한 이 버그는 생산 소프트웨어 속에 2년 이상 잠복해 왔으며 유수 보안 전문가들이 ‘대참사’를 유발할 만한 것으로 지목하고 있습니다.



이를 즉각 해결하려면 감염된 시스템을 확인해서 이를 교정하고 SSL 인증을 업데이트해야 합니다. 사용자들에게는 또 비밀번호를 바꿀 것과 노출된 정보의 추적 오용 위험성을 통보할 필요가 있습니다.


비록 버그를 오늘 교정했다 하더라도 유사한 버그가 다시 표면으로 나타나던가 소프트웨어 속에 숨어 있지 않는다고 보장할 수 없습니다. 이와 유사한 영향력을 가진 취약성은 향후 다른 SSL라이브러리나 애플리케이션에서 일어날 수도 있습니다.



비록 SSL 암호가 뚫린다 해도 민감한 데이터의 노출을 방지하려면 기업체들은 비밀번호와 민감한 데이터의 거래를 보호하기 위해 ‘단 대 단 암호’(End-to-End Encryption (E2EE)와 같은 강력한 데이터 보호 솔루션이 필요합니다.


E2EE는 민감한 데이터가 취약한 웹의 메모리나 애플리케이션 서버 안에 있다 하더라도 암호화 상태를 그대로 유지하게 합니다. 이는 하트블리드 형태의 버그로부터 데이터를 보호할 뿐 아니라 소프트웨어 개발자나 데이터베이스 관리자(DBA)와 같은 내부자가 실수로 또는 고의로 민감한 데이터를 누출하는 것을 방지합니다.


실제로 싱가포르통화청(MAS)과 홍콩통화청(HKMA)은 금융기관들이 전자금융 사이트의 비밀번호와 중요한 거래 데이터를 보호하기 위해 E2EE를 채택할 것을 의무화하고 있는 추세입니다.


많은 금융기관들과 마찬가지로 다른 기관들도 통신채널을 통해 암호화된 비밀번호와 민감한 데이터를 전송하기 위해서는 SSL 소프트웨어 외에 이 같은 최상의 암호화 솔루션을 채용해야 합니다. 이는 데이터를 서버로 보내기 전에 진입점(사용자 데스크톱PC/스마트폰)에서 암호화 라이브러리와 데이터 암호화를 위한 핵심 데이터를 사용해 성취할 수 있습니다.



이렇게 하면 데이터가 웹 서버와 애플리케이션 서버에 이를 때까지 암호화된 상태를 유지할 수 있습니다. 데이터가 애플리케이션 서버에서 해독될 가능성이 있으나 비밀번호의 경우는 하드웨어 보안 모듈(Hardware Security Module, HSM) 안에서 암호화되고 입증된 상태를 유지합니다.



HSM은 미국 연방정보처리표준(FIPS)을 충족시킬 수 있는 변형 억제 하드웨어를 사용한 암호화 디바이스입니다. 이처럼 비밀번호는 진입점에서부터 비교점까지 암호화되며, 이 방식은 하트블리드 형태의 취약성을 완화시키는 것 외에 인트라넷에 있는 사람이 전송 및 저장 과정에서 아무도 비밀번호에 접근하지 못하게 할 뿐 아니라 내부 사기로부터 보호할 수 있게 합니다.


요약하면 데이터를 효과적으로 보호하려면 여러 계층으로 된 보안 솔루션과 올바른 처리 절차를 결합해야 합니다. 기관(기업)들은 새로운 웹 서버 취약성으로부터 비밀 정보를 보호하기 위해 SSL 보안 소프트웨어에만 의존할 것이 아니라 애플리케이션 계층에서 E2EE솔루션을 사용해야 합니다.

※ 출처 :  http://www.cctvnews.co.kr/atl/view.asp?a_id=9836 (CCTV NEWS 이광재 기자)




요번 SSL 취약성은 정말 심각한 것으로써, 여러분들이 사용하시는 웹서버 서비스 상(인터넷뱅킹, 카드사 홈페이지, 보험사 등등) 의 모든 패스워드 를 바꾸라고 합니다.  



우리나라도 open SSL 을 사용하는 비율이 약 70% 에 달하는 것으로 알고 있습니다. 본 보안 취약성은 google 등에 의해 발표되었지만 이미 해커들에 의한 공격이 있었으면 모든 https 상의 정보는 해커에게 넘어갔다고 볼 수 도 있을 것입니다. 저희 HSM 을 openSSL 에 연동하는 방법은 간단합니다. 


HSM 을 구매하시고 웹로직, APACHE, 톰캣 등의 웹서버는 이미 Thlaes HSM 과 연동이 되어 있습니다. 혹은 vendor define 된 SSL 을 사용중이신 경우에는 PKCS#11 을 통한 연동작업이 필요하나, Softforum 과 Initech 의 경우에는 이미 연동이 되어 있습니다.

아래는 기사에 발표된 openSSL 보안 취약점인 heartbleed 에 대한 간단한 내역입니다.


 


[하트블리드 취약점이란?]

하트블리드는 인터넷의 핵심 암호화 기술로 활용되고 있는 오픈SSL의 심각한 취약점입니다. 오픈SSL은 많은 웹사이트를 비롯해 전자메일, 인스턴트 메시징 및 VPN과 같은 애플리케이션에서 사용되고 있습니다.


이 취약점이 악용되면 사용자의 개인정보, 비밀번호뿐만 아니라 웹서버의 암호키도 탈취될 수 있습니다. 이 취약점을 이용해 정보유출이나 해킹을 시도해도 흔적이 남지 않기 때문에 피해 여부를 알 수 없는 것도 문제입니다.


취약점이 발견된 오픈SSL 버전은 오픈SSL 1.0.1~1.0.1f, 오픈SSL 1.0.2-beta, 오픈SSL 1.0.2-beta1 입니다. 이 취약점을 해결하려면 오픈SSL 공식 홈페이지에서 배포된 오픈SSL 1.0.1g 버전으로 업데이트해야 합니다.

※ 출처 :  http://outofcontrol.co.kr/?p=985&fb_action_ids=244213472433205&fb_action_types=news.publishes&fb_ref=pub-standard


 

Thales의 nShield HSM for Web Service를 통해 하트블리드(Heart Bleed) 취약점 문제를 미연에 방지할 수 있는 솔루션을 구축해 보시기 바랍니다.


[Thales HSM 사용시 장점]

■ 성 능

   - 암호화 세션 연결 시 HSM의 SSL 가속 기능을 사용하여, 암호화 세션 연결성능이 향상됩니다.


■ 가용성

   - 암호화 세션 연결시 HSM의 SSL 가속 기능을 사용하여, 업무서버에 암호화세션 연결 부하를 주지 않기 때문에, 업무 서버의 시스템 

     가용성이 향상됩니다.


■ 보 안

   - 서버의 개인키가 HSM으로 관리 되기 때문에, 키 보호 측면에서 보안성이 향상됩니다.



[SSL이 적용된 일반적인 웹서비스 구성]


[HSM을 이용한 SSL 웹서비스 시스템 구성]


[HSM과 SSL 가속기를 이용한 SSL웹서비스 시스템 구성]





Trackbacks 0 / Comments 0

DB암호화 - 설계

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014.05.12 18:24 / 카테고리 : nCipher HSM (Thales-HSM )

DB암호화 - 설계


DB 암호화를 구축하기 위해서는 복호화 권한통제, 암호 키 정의, 그리고 암호화 키 사용 로깅 등 많은 사항을 고려하여야 한다. 

암호화 규칙은 DB를 암호화하기 위한 기본적인 전 제 조건과 고려사항을 언급한 것이며, 암호화를 규칙대로 적용하고 암호화 후 정상적인 DB 서비스를 지속시키기 위한 몇 가지 지표를 다음과 같이 정리할 수 있다.

1. DB에 접속할 수 있는 사용자에 대한 정의가 되어 있는가?

2. DB에 접속하는 사용자 식별에 대한 방법이 정의 되었는가?

3. 암호화 대상 컬럼의 범위는 정의하였는가?

4. 암호화 컬럼에 대한 복호화 권한 통제를 수행 하는가?

5. 암호화 키를 위한 알고리즘과 대상을 정의하였는가?

6. 암호화 키 사용에 대한 로깅을 수행하는가?


가. 복호화 권한 통제

DB 컬럼(Column) 암호화가 수행되면 데이터 보호를 위해 인가된 사용자에게 복호화 된 평문 데이터(Plain Data)를 전송한다. 

하지만 비인가 사용자에게는 암호화된 데이터나 일 부 암호화(마스킹-Masking)된 데이터를 전송하게 된다.

1) 사용자 식별

DB에 접근하는 경우는 다음과 같이 정의할 수 있다.

1. 웹(Web)이나 애플리케이션 서버(Application Server)의 정형적인 접근

2. DB 관리자에 의한 비정형 접근

3. 프로그램 개발자나 유지보수 지원 엔지니어에 의한 비정형 접근


정형적인 접근(Bulletin Job)이란 기업내의 특정 업무 수행을 위해 정기적으로 DB에 접 속하여 반복적인 SQL 작업을 수행하는 것을 의미하며, 변하지 않는 정해진 SQL을 DB에 요청하는 경우를 의미한다. 대체로, 웹 서버나 애플리케이션 서버가 이러한 경우에 해당 하며 때로는 성능관리나 장애관리용 모니터링(Monitoring) 솔루션도 이에 해당한다. 물 론, 웹 서버나 애플리케이션 서버내의 DB 접속 도구(DB Tool - 예를 들어, Oracle의 SQLPLUS)에 의한 DB 접속은 정형적인 접근이라 할 수 없으며 비정형 접근(Non- Bulletin Job)에 해당한다.

비정형 접근(Non-Bulletin Job)이란 시스템 유지보수나 애플리케이션의 개발을 위해 DB에 접속하여 데이터를 변경, 삭제 및 조회하는 작업을 의미한다. DB 관리자(DBA)라 하더라도 DB 내의 데이터를 조작할 권한은 없기 때문에 DB 관리자에 의한 DB 접속도 비 정형 작업에 해당하므로, 정확한 권한 분리(Separation of Duty)를 진행하여야 한다.



암호화된 DB 측면에서 볼 때, 민감한 데이터 보호를 위해 복호화 된 평문 데이터를 전송할 대상을 식별(사용자 식별)하기 위하여 상기의 DB 접속 정보를 구분할 수 있는 경우는 다음 과 같다.

1. DB 접속 날짜 및 시간

2. IP Address 및 호스트 네임(Host Name)

3. DB 계정 (DB User)

4. 애플리케이션 이름 (Application Name)


플러그인(Plug-In) 방식의 컬럼 암호화(Column Level Encryption)의 경우, DB에 접속 하는 DB 클라이언트(Client)의 위와 같은 접속 정보 조합을 통해서 복호화의 대상을 식별 할 수 있다. 반면 API 방식 컬럼 암호화의 경우 데이터의 암복호화 작업이 애플리케이션 서버 상에서 수행되기 때문에 상기의 DB 접속정보를 통한 사용자 식별은 해당되지 않는 다. 즉, API방식 컬럼 암호화는 애플리케이션 서버에 접속하는 애플리케이션 서비스 접속 자의 식별만 가능하므로 DB 서버에 직접 접속하는 DB 사용자의 식별은 불가능하다. 따라 서, API방식의 경우 DB 관리자에 의한 암호화된 데이터 변경 및 관리에 어려움이 따른다.


2) 암호화 대상 컬럼

DB 컬럼 암호화의 주요 목적은 개인정보나 민감한 정보가 담겨 있는 테이블의 컬럼 정보 를 비인가자로부터 보호하는 것이다. 암호화 대상의 컬럼의 경우 DBMS에서 지원하는 다 양한 종류의 데이터 타입을 가지게 되는데, 일반적으로 개인정보의 이름, 주소, 생년월일, 카드번호, Email 주소 등 스트링(String) 타입이 컬럼 암호화 대상이 되는 경우가 많고, 도면이나 음성, 이미지, 바이오 정보 등의 바이너리(Binary) 타입의 경우와 그 외 숫자 타 입을 가지는 경우도 있다.

DB 컬럼의 경우 성능향상을 위해 인덱스(Index)를 자주 사용하게 되는데, 암호화 컬럼의 데이터 타입에 따라서 인덱스에 컬럼 값이 그대로 노출되는 경우가 있기 때문에 컬럼을 암 호화 할 경우 관련 인덱스도 암호화의 대상이 되어야 한다. 즉, 인가된 사용에게 복호화 권 한을 통제하기 위해서는 컬럼뿐만 아니라 인덱스도 복호화 권한 관리 대상에 포함되어야 한다.


3) 암호화 컬럼에 대한 복호화 권한통제

암호화의 대상은 다수의 테이블에 존재하는 다수의 컬럼이다. 하나의 테이블에 존재하는 서로 다른 컬럼이라 하더라도 사용자를 식별하여 복호화를 할 필요가 있다. 대체로, 테이블과 컬럼은 하나의 DB 계정(DB User)에 의해 소유되지만, DB 계정은 여러 사용자에 의해 공유될 수 있고, 이에 따라 테이블에 각기 다른 정보를 담고 있는 컬럼들의 경우 복호화의 권한 제한을 설정할 필요가 있다.


4) 비인가 사용자에 대한 통제

암호화된 데이터는 인가된 사용자나 시스템에게는 정상적인 복호화 데이터를 전송하지만, 비인가 사용자에게는 암호화된 데이터나 일부 암호화(사용자 입장에서는 Masking으로 보일 수 있음) 데이터를 전송하게 된다. 다음은 이러한 비인가 사용자에게 적용할 수 있는 보안의 적용 사례를 살펴보고자 한다.




■ Encrypt Null

“Yes”을선택하면, NULL 값도 암호화하며,“ No”을 선택하면 암호화 후에도 NULL로 값이 유지 된다.


■ If access denied

암호화된 컬럼에 접근사용 권한이 없는 경우

?Return Null : 비인가 사용자에게 암호화된 컬럼 값으로“NULL”을 반환

?Return user value : 비인가 사용자에게 사용자 정의된 값을 반환. 만일 “NULL” 스트링을 입력하면 실제 NULL값을 반환하고, BLOB 타입은 지원하지 않음

?Character 타입column 경우→임의의Character를사용“( ”제외)

Number 타입 column 경우 → 숫자대신“.”혹은 다른 (숫)문자 사용

Date 타입 column 경우 → TO_TIMESTAMP 함수로 변환 예

?Return mask : 비인가 사용자에게 마스킹(* 혹은 다른 글자) 된 스트링 값을 반환.

설정 값에 따라 앞의 몇 글자 혹은 뒤의 몇 글자가 마스킹. 이 옵션은 Character 타 입의 컬럼만 지원

?Return encrypted : 비인가 사용자에게 암호화된 스트링을 그대로 반환하며,

Character 타입의 컬럼일 경우만 지원. BLOB이상의 큰 사이즈는 지원하지 않음


나. 암호화 키 및 알고리즘 정의

암호화 키는 암호화 알고리즘(Encryption Algorithm)과 파라미터 키(Parameter Key) 의 조합이라 할 수 있다. 암호화 방식은 대칭형(Symmetric)과 비대칭형(Asymmetric) 방식으로 나뉘는데, 대칭형은 암호화 키와 복호화 키가 동일하고, 비대칭형은 암호화 키 와 복호화 키가 상이하다.



대표적인 암호화 알고리즘으로 대칭형 알고리즘은 DES, 3-DES, AES, SEED, ARIA, MASK가 있고, 비대칭형 알고리즘은 RSA, DSA가 있다.



암호화 키는 컬럼 별로 독립적으로 적용될 수 있다. 즉, 하나의 테이블 내에 존재하는 컬럼 일지라도 컬럼 별로 암호화 키를 독립적으로 정의할 수 있다. 암호화 키에 사용되는 암호 화 알고리즘의 특성에 따라 성능과 보안성의 차이가 존재하므로 암호화 대상 DB의 성격과 주위 연계 시스템과의 관계를 고려하여 적용한다.


1) 대칭형 알고리즘

대칭형 암호에는 크게 두가지 유형이 있는데 블록 암호(Block Chiper)방식과 스트림 암호 (Stream Chiper)방식이 있다. 스트림 암호 방식은 블록 암호방식보다 2배 정도 빠르지만 고유키(Unique Key)를 사용해야 한다. 블록 암호 방식은 키의 재사용(Reuse)이 가능하 고 DB 암호화의 대부분은 블록암호 방식을 사용하는 경향이 있다. 대칭형 암호 방식의 경우 키길이를 최소 128bit로 할 것을 권장하는데, 키 길이는 암호화 된 데이터에 대한 공격(주로 2가지 방법이 이용됨)으로 부터 보호하기 위한 매우 중요한 요소로 자리잡고 있다.

첫번째 공격방법은 추측과 확인(Guess and Check)형태의 공격으로서 알고리즘이 잘못 구현되었거나 잘못된 랜덤(Random) 변수에 의해 적용되었을 경우, 해커들은 임의의 키 를 적용하고 데이터를 확인하는 작업을 반복함으로써 암호화된 데이터를 복호화한다. 두번째 방법은 브루포싱(Brute Forcing) 기법을 통해 무작위로 키를 대입하여 확인하는 작업이다. 예를 들면, DES 알고리즘의 짧은 56bit 키길이의 경우 24시간내에 해독이 가 능하다. 따라서 대칭키 암호방식을 택한 경우 최소 128bit의 키 길이를 권장한다. DB 암호화를 위하여 자주 사용되는 대칭키 암호 방식에는 AES, DES, 3DES, RC5 등 블록 암호방식이 있다. RC4 알고리즘의 경우 스트림 암호방식도 사용 가능하나 매번 암호 화할 때마다 고유키가 필요하므로 매우 복잡해진다. 블록암호방식의 가장 큰 장점 중의 하 나는 기존키의 재사용이 가능하고 작은 크기의 데이터 암호화 수행이 매우 뛰어나다는 것 이다. DES, 3DES, AES의 알고리즘이 대칭형 방식에서 가장 널리 사용된다.


2) 비대칭형 알고리즘

비대칭형 알고리즘의 경우 한쌍의 키조합이 필요한데, 암호화에 사용된 키와 복호화에 사 용된는 키가 다름에도 수학적 원리에 의해 해독이 가능하도록 한 방식이다. 이 알고리즘은 공개키로 매우 유명하며, PKI(Public Key Infrastructure)가 바로 이에 해당한다. PKI는 기본적으로 인터넷과 같이 안전이 보장되지 않은 공중망 사용자들이 신뢰할 수 있 는 기관에서 부여된 한 쌍의 공개키와 개인키를 사용함으로써, 안전하고 은밀하게 데이터 나 자금을 교환할 수 있게 해준다. PKI는 한 개인이나 기관을 식별할 수 있는 디지털 인증 서와 인증서를 저장했다가 필요할 때 쓸 수 있는 디렉토리 서비스를 제공한다. 비록 PKI 의 구성 요소들이 일반적으로 알려져 있지만, 공급자 별로 많은 수의 서로 다른 접근방식 이나 서비스들이 생겨나고 있으며, 그 동안에도 PKI를 위한 인터넷 표준은 계속해서 진행 되어 왔다.

PKI는 인터넷 상에서 메시지 송신자를 인증하거나 메시지를 암호화하는데 있어 가장 보 편적인 방법인 공개키 암호문을 사용한다. 전통적인 암호문은 대개 메시지를 암호화하고 해독하는데 사용되는 비밀키를 만들고, 또 공유하는 일들이 관여된다. 이러한 비밀키나 개인키 시스템은 해당 키가 의도하지 않은 사용자에게 습득될 경우, 메시지가 쉽게 해독될 수 있다는 치명적인 약점을 가지고 있다. 이러한 이유 때문에 인터넷 상에서는 공개키 암 호화와 PKI 방식이 선호되고 있는 것이다. 이러한 방식은 DB 암호화에 다소 적용하기에 까다로운 절차가 요구된다.


3) 해싱 알고리즘

해싱 알고리즘(Hashing Algorithm)의 경우 데이터를 암호화하는 것이 아니라 단방향의 데이터를 안전하게 저장하고 무결성을 보장하는데 사용한다. 지문인식을 생각하면 매우 간단한데, 지문인식의 경우 고정길이의 해시값을 두고 원본데이터의 블록을 해싱하면 고 유값이 나오게된다. 즉, 원래 데이터 값을 복원하는 것이 아니라 새로운 데이터가 입력이 되면 해싱 알고리즘을 이용하여 동일한가를 판단하는 것이다.

해싱 알고리즘은 패스워드를 저장할 때 흔히 사용되는데 패스워드를 저장할 때 해싱알고리 즘을 적용하면 원본 패스워드는 복원이 불가능하지만 새로운 패스워드 입력이 도달 했을 때 일치하는가를 판단하는 것이다. 보편적인 해싱 알고리즘으로는 MD5와 SHA-1이 널리 사용되고 있으며, 해싱 알고리즘은 키가 필요하지 않고 키 길이 역시 고려 대상이 아니다.


출처 : http://www.dbguide.net/db.db?cmd=view&boardUid=152809&boardConfigUid=9&categoryUid=216&boardIdx=147&boardStep=1

Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/07   »
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

방문자 통계

  • 전체 : 354,144
  • 오늘 : 0
  • 어제 : 87
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.