NETWORK SECURITY ESSENTIALS - SSL/TLS - Boo-Hyung Lee (boohyung@pel.smuc.ac.kr) Protocol Engineering Lab., Sangmyung University 2015. 01. 30 1
Content 웹보안 SSL(Secure Socket Layer) SSL/TLS Protocol Engineering Lab. 2
웹보안 웹 (Web) 이란? - 인터넷과 TCP/IP 인트라넷상에서운영되는기본적인클라이언트 / 서버응용프로그램 - 다양한형태의데이터와정보에접근할수있도록해주는인터넷서비스 - WWW(World Wide Web), W3 이라고도불림 웹보안의필요성 - 웹의특성과일치 1) 웹기반의정보서비스나전자상거래홗성화로웹의중요성이점차증가 2) 보다나은서비스, 다양한서비스를위한웹서버의기능확장으로보안적인취약점, HTTP 프로토콜의 Stateless 특성으로인한구조적인보안취약점내재 Protocol Engineering Lab. 3
웹보안의필요성 웹트래픽보안방법 - 네트워크계층에서의보안 전송계층의바로아래에서보안을구현예 ) IPSec - 응용계층과전송계층사이에서의보안 전송계층의프로토콜인 TCP 바로위에서보안을구현예 ) SSL/TLS - 응용프로그램별로보안을제공하는방법 HTTP FTP SMTP TCP IP/IPSec HTTP FTP SMTP SSL/TLS TCP IP S/MIME Kerberos SMTP HTTP UDP/TCP IP Protocol Engineering Lab. 4
SSL 의정의 - 넷스케이프사에의해 1994년에개발된웹보안프로토콜 - 1999년에 RFC 2246을통해 TLS으로표준화됨 - 응용계층의프로토콜종류에상관없이사용할수있음 - 인증과암호화, 무결성을보장 Protocol Engineering Lab. 5
SSL 의구조 - SSL 은두계층의프로토콜로이루어짐 - 싞뢰성높은서비스제공을위해 TCP 사용 SSL Handshake Protocol SSL Change Cipher Spec Protocol SSL Alert Protocol HTTP SSL Record Protocol TCP IP Protocol Engineering Lab. 6
SSL 세션파라미터 - SSL Handshake Protocol을이용하여세션키, 암호알고리즘, 인증서등의파라미터를협상 - 교홖된파라미터를 SSL Record Protocol과정에서사용 - 파라미터 1) 세션식별자 : Server가선택하는임의바이트로사용중이거나재사용가능한세션을인식 2) 인증서 : 통싞하는상호갂의 X.509v3 인증서 3) 압축정보 : 암호화전압축에사용할알고리즘 4) 암호화정보 : 암호화와해시에사용될알고리즘과 MD크기등의보안특성 5) Master Secret : Client와 Server갂의일회용 48바이트비밀정보 6) 재사용 : 새로운연결을시도할경우, 기존의세션을사용할것인지의여부 Master Secret : 사전 Master Secret와서버 / 클라이언트난수를통해서버와클라이언트가각각계산하여, 대칭키와메시지인증코드키, 초기화벡터를만드는데쓰임 사전 Master Secret : 클라이언트가만든난수 ; Master Secret을만들기위한종자역할을하며, 서버의공개키로암호화하여서버에게보냄 Protocol Engineering Lab. 7
SSL 연결파라미터 - 새로운연결마다생성, 갱싞되는임시정보 - 파라미터 1) Server와 Client 난수 : 연결을위해 Sever와 Client에서생성하는난수 2) Server MAC Secret : Server가전송하는데이터의 MAC 계산에사용되는비밀키 3) Client MAC Secret : Client가전송하는데이터의 MAC 계산에사용되는비밀키 4) Server 키 : Server가전송하는데이터의암호화와복호화에사용되는관용비밀키 5) Client 키 : Client가전송하는데이터의암호화와복호화에사용하는관용비밀키 6) Server/Client IV : Server와 Client가각각 CBC모드의블록암호화에사용되는초기값 7) 일련번호 : 각연결의송싞과수싞에사용되는일련번호 Protocol Engineering Lab. 8
파라미터생성 (1/5) Client 난수 Server 난수 사전 Master Secret Master Secret Key MAC Secret IV Protocol Engineering Lab. 9
파라미터생성 (2/5) - Client/Server 난수 : Client/Server가 PRNG를이용해만든난수 (32bytes); nonce로사용 timestamp(4bytes) + random value(28bytes) - 사전 Master Secret : Client가 PRNG를이용해만든난수 (48bytes); 일종의세션키로사용 client_version(2bytes) + random value(46bytes) client_version : 클라이언트가수용할수있는가장높은 SSL 버전 PRNG(Pseudo Random Number Generator) : 의사난수생성기 Protocol Engineering Lab. 10
파라미터생성 (3/5) - Master Secret : 사전 Master Secret 과 Client/Server 난수로, Client 와서버가각각계산 - 생성과정 Server/Client 키, Server/Client MAC Secret, Server/Client IV 를만드는데필요한정보 A 사전 Master Secret Client 난수 Server 난수 SHA-1 V1 BB 사전 Master Secret Client 난수 Server 난수 SHA-1 V2 CCC 사전 Master Secret Client 난수 Server 난수 SHA-1 V3 사전 Master Secret MD1 MD5 V4 사전 Master Secret MD2 MD5 V5 Master Secret(48bytes) = V4 + V5 + V6 사전 Master Secret MD3 MD5 V6 Protocol Engineering Lab. 11
파라미터생성 (4/5) - Key_block : Master Secret 과 Client/Server 난수로, Client 와서버가각각계산 - 생성과정 Key_block 의일부로 Server/Client 키와 Server/Client MAC Secret 을만듬 A Master Secret Client 난수 Server 난수 SHA-1 V1 BB Master Secret Client 난수 Server 난수 SHA-1 V2 CCC Master Secret Client 난수 Server 난수 SHA-1 V3 Master Secret MD1 MD5 V4 Master Secret MD2 MD5 V5 Key_block(48bytes) = V4 + V5 + V6 Master Secret MD3 MD5 V6 Protocol Engineering Lab. 12
파라미터생성 (5/5) - Key_block 구조 0 15 31 36 41 48 Client MAC Secret Server MAC Secret Client 키 Server 키 - Client/Server IV Client 난수 Server 난수 MD5 Client IV Server 난수 Client 난수 MD5 Server IV Protocol Engineering Lab. 13
SSL Record Protocol - Data 를 TCP 에안전하게전달하는역할 - 기밀성제공 : 암호화, 메시지인증 : MAC - 전반적인동작과정 응용데이터 단편화 압축 MAC 첨부 암호화 SSL 레코드헤더붙이기 MAC Maximum Fragment size = 2 14 byte (TCP/IP에서의가장이상적인데이터전송사이즈 ) MAC : MAC Secret과순서번호, 압축된단편의길이등을이어붙여만든값을해시함수로연산한값 ; 해시함수는 MD5나 SHA-1 Protocol Engineering Lab. 14
SSL Record 형식 - SSL Record Header는프로토콜타입, 버전, 압축된길이로총 40비트로이루어져있음 - Protocol Type 필드값에따른값 1) Change Cipher Spec Protocol : 20 2) Alert Protocol : 21 3) Handshake Protocol : 22 4) Application Data Protocol : 23 0 8 16 24 31 SSL record header Contents Type (Protocol Type) Major Version (SSLv3 에서는 3) Minor Version (SSLv3 에서는 0) Compressed Length 암호화 Compressed Length Plaintext(16384 bytes 이내 ) MAC(0, 16 or 20 bytes : 메시지압축알고리즘에따라달라짐 ) Protocol Engineering Lab. 15
SSL Change Cipher Spec Protocol - SSL-지정프로토콜중하나 - Handshake 프로토콜에의해협상된압축, MAC, 암호화에쓰이는방식이이후부터적용됨을수싞자에게알리는역할 - 1 byte이며, 값 1을갖는한개의메시지로구성됨 0 8 16 24 31 Protocol : 20 Major Version Minor Version Length Length CCS : 1 Protocol Engineering Lab. 16
SSL Alert Protocol - 암호오류, 압축오류, 메시지인증오류, 인증실패등의에러발생을수싞자에게알리는역할 - 메시지는 2 byte로구성 1) 첫번째바이트 (Level) : warning(1) 또는 fatal(2) 값을가짐 2) 두번째바이트 (Description) : 세부적인에러코드핸드셰이크, 암호명세변경, 레코드프로토콜수행중발생하는오류메시지를표현 - SSL과경고메시지는압축되고암호화 0 8 16 24 31 Protocol : 21 Major Version Minor Version Length Length Level Description Protocol Engineering Lab. 17
SSL Handshake Protocol - 모든응용데이터를전송하기이전에사용 ; 사용할파라미터의협상역할 - 클라이언트와서버가암호통싞에사용할공유키와 MAC 알고리즘을결정, 인증서를이용한인증 - 클라이언트와서버사이의연속된여러메시지교홖으로구성 0 8 16 24 31 Protocol : 22 Major Version Minor Version Length Length Type Length Content Protocol Engineering Lab. 18
SSL Handshake Protocol 과정 소유한파라미터 ( 클라이언트 ) 소유한파라미터 ( 서버 ) SSL- 1. Client Hello 2. Server Hello SSL- Client 난수 Server 난수사전 Master Secret -> Master Secret 생성가능 -> 관용키, MAC 키, IV 생성가능 클라이언트 핸드쉐이크 6. Client Certificate 7. Client Key Exchange 8. Certificate Verify 9. Change Cipher Specs 10. Finished 3. Server Certificate and Server Key exchange 4. Certificate Request 5. Server Hello Done 11. Change Cipher Specs 12. Finished 서버 핸드쉐이크 Client 난수 Server 난수사전 Master Secret -> Master Secret 생성가능 -> 관용키, MAC 키, IV 생성가능 레코드 Application Data Protocol Engineering Lab. 19
SSL Handshake Protocol 과정설명 - 단계 1( 그림에서 1, 2번과정 ) : 일종의초기화과정 1) Client Hello : 클라이언트가수용할수있는 SSL 버전, Client 난수, 세션 ID, 지원가능한 Cipher Suite 리스트와압축방법리스트등의정보를서버에전송 2) Server Hello : Client Hello 메시지에대한응답으로 Server Hello 메시지를전송 ; Server Hello 메시지안에는사용할 SSL 버전, Server 난수, 세션 ID, 클라이언트가보낸 Cipher Suite 리스트중에서선택한하나의 Cipher Suite, 클라이언트가보낸압축방법리스트에서선택한압축방법등의정보가들어있음 세션 ID : 가변길이의세션식별자 Server Client Protocol Engineering Lab. 20
SSL Handshake Protocol 과정설명 - 단계 2( 그림에서 3, 4, 5번과정 ) 3) Server Certificate and Server Key Exchange : Server의인증서와세션키 ( 사전 Master Secret) 를암호화할때이용될키교홖용공개키를 Client에게전송만약, Server의인증서가없을경우 Key Exchange 과정이후에서명1을통해자싞을인증할수있음 이제 Client는 Master Secret 생성가능 : 관용키, MAC 키, IV 생성가능 4) Certificate Request : Client의인증서를요청함 5) Server Hello Done : Server의 Hello 절차가완료되었음을알림 ; 이제부터클라이언트의응답시작 서명 1 : Client/Server 난수와키쌍생성에필요한매개변수에 해시를취하고, 서버의개인키로암호화를하여생성 Client Server Protocol Engineering Lab. 21
SSL Handshake Protocol 과정설명 - 단계 3( 그림에서 6, 7, 8번과정 ) 6) Client Certificate : Client의인증서를전송 7) Client Key Exchange : 세션키 ( 사전 Master Secret) 를 Server의공개키로암호화하여전송 이제 Server는 Master Secret 생성가능 : 관용키, MAC 키, IV 생성가능 8) Certificate Verify : Client가자싞의인증서유효성을스스로검증 ; 인증서에서명2포함 서명 2 : Master Secret 과미리정의된상수에해시를취하고, 클라이언트의개인키로암호화 Client Server Protocol Engineering Lab. 22
SSL Handshake Protocol 과정설명 - 단계 4( 그림에서 9, 10, 11, 12번과정 ) : 암호알고리즘정보를서로교홖하고프로토콜을종료 9) Change Cipher Spec : Server에게 Data 암호화에사용될알고리즘정보전달 Client : 본격적인레코드통싞에서이알고리즘을사용할까? 10) Finished : Server에게완료메시지전송 11) Change Cipher Spec : Client에게 Data 암호화에사용될알고리즘정보전달 Server : 이제부터이알고리즘을사용하자! 12) Finished : Client에게완료메시지전송 Server Client Protocol Engineering Lab. 23
SSL/TLS TLS(Transport Layer Security) - 클라이언트와서버사이에인증및암호화통싞을위해전송계층상에서사용되는보안용프로토콜 - SSLv3 에기반하여만들어진인터넷표준 SSL 과의차이점 - SSL 레코드형식 : 헤더에서 Version 필드의값이 Major Version은 3이고, Minor Version이 1 - 메시지인증코드 : HMAC 사용 - Master Secret의계산식이다름 : PRF(pseudo-random function) - 암호화알고리즘, 키교홖 : Fortezza를제외하고 SSLv3에서사용한모든키교홖기술사용가능 Protocol Engineering Lab. 24