암호에 관련된 상식들 [컴퓨터보안]

어차피 나도 몰랐지만 이쪽 세상에서는 상식들로 알고있는 것들을 몇가지 소개해보겠다.

 

1. 비밀 암호 알고리즘을 사용하지 말것

 

비밀 암호 알고리즘을 만들어서 사용할 것이 아니라, 공개되어 있는 강한 암호 알고리즘을 사용해야한다.

 

공개를 해서 여러가지 테스트를 거쳐야 한다.

여러가지 테스트를 거치지 않으면 강한 암호 알고리즘이라고 생각되지 않는다.

전문가가 볼 때 위험하고, 어리석은 행위로 간주한다고 한다.

 

숨기는 것에 의한 보안(security by obscurity)

 암호 알고리즘 자체를 비밀로 해서 보안을 유지하려고 하는 행위 또한 어리석고 위험한 행동으로 간주한다.

 

 

 

 

 

2. 약한 암호는 암호화 하지 않는 것보다 위험 // ㅋㅋ 군대나 공공기관의 비밀번호같이?

 

사용자는 암호의 강도와는 상관없이 "암호화"되어있다고 그 사실만으로 안전한 것이라는 착각에 빠지고 안심한다.

약한 암호를 사용하면서 안심할거라면 차라리 암호 따위 사용하지 않는 것이 낫다.

 

 

 

 

 

3. 어떤 암호라도 언젠가는 해독된다. //일생동안 못풀면 안전하다고 생각 ㅋㅋㅋ

 

모든 키를 하나도 빠짐없이 시도하면 언젠가는 해독이 된다. 

 

암호문이 해독되기까지 시간과 암호를 사용하여 지키고 싶은 평문의 가치와의 밸런스 trade-off가 중요하다.

//컴퓨터의 연산속도가 빨라지면 또 언젠가 풀릴 것이다.

 

 

 

 

시간복잡도가 높아도, 연산속도가 정말 무지막지하게 높다면야 언젠가 풀겠지.

 

***

그러나 절대로 해독되지 않는 암호 알고리즘이 있었으니

그것이 바로 일회용 패드 (OTP : one-time pad)

그렇지만 현실적으로 활용하기는 적합하지 않은 암호이다.

 

원리를 잠깐 설명하자면 random의 수를 요청할 때 마다 생성하는데

그 random의 수를 제한 시간 내에 찾아내기란 불가능에 가까워서 해독되지 않는다고 한다.

 

 

 

4. 암호는 보안의 아주 작은 부분일 뿐이다.

 

그 때 말했다시피 인적보안.. 암호를 아무리 쎄게 잠궈놔도 사람이 배신 때리면 그냥 다 뚫린다.

사회공학적인 공격 방법은 암호의 강도 그 자체와는 아무런 관계가 없다.

 

보안시스템의 강도는 사실 보안 시스템을 구성하는 여러 링크 중 가장 약한 링크의 강도와 같다

사람처럼.. 암호보다 약한게 사람이다.

 

사람 때문에 물(정보)를 담을 수 없다.