12장 데이터 암호화
작성자 정보
- 웹관리자 작성
- 작성일
컨텐츠 정보
- 4,747 조회
- 0 추천
-
목록
본문
■ 공용 키: 보증서 발급자가 발행한 사전에 정의된 키를 사용하여 가장 안전하게 세션의 보안을 유지하는 암호화 단계입니다.
■ 대칭: 공용 키와 유사한 보안 옵션을 수행하지만, 발급자가 발행한 보증서를 사용하여 호출자를 확인하지 않습니다.
■ pcANYWHERE: 제 3자가 무단으로 데이터를 해독하지 못하도록 단순한 방법으로 데이터를 변환하여 최소한의 데이터 보안을 유지합니다.
현재의 암호화 방법은 긴 영문 숫자열과 같은 암호 키를 사용하여 암호화 알고리즘으로 데이터를 암호화하고 암호를 해독하는 방법을 지정합니다. 공용 키와 개인 키의 한 쌍을 사용하는 암호 시스템이 공용 키 암호화입니다. 그리고, 데이터의 암호화와 암호 해독에 하나의 키만을 사용하는 시스템이 대칭 암호화입니다.
pcANYWHERE32에서는 공용 키 암호화와 대칭 암호화 방법을 조합하여 사용합니다. pcANYWHERE는 이 두 가지 방법의 장점만을 조합하여 사용함으로써 보안을 한층 강화합니다.
■ 대칭 암호화는 속도가 빠른 반면 암호화된 데이터를 다른 사용자에게 줄 경우 암호를 해독하는데 사용하는 키를 공유해야 합니다.
■ 공용 키 암호화는 속도가 느린 반면 암호를 해독하는 데 사용하는 개인 키를 공유하지 않습니다.
공용 키 암호화에는 데이터를 암호화하는 공용 키와 암호화된 데이터를 해독하는 개인 키가 함께 사용됩니다. 공용 키와 개인 키는 사용자마다 다르게 제공됩니다. 이 한 쌍의 키는 사용자의 이름과 함께 보증서 발급자가 발행한 보증서에 저장됩니다.
■ 한 명의 사용자가 다른 사용자에게 암호화된 데이터를 전송하려면, 전송자는 수신자의 공용 키를 사용하여 데이터를 암호화해야 합니다. 데이터의 암호는 개인 키로만 해독할 수 있으므로 공용 키는 다른 사용자와 공유해도 됩니다.
■ 수신자는 자신의 개인 키를 사용하여 데이터의 암호를 해독합니다.
호스트와 원격지 모두 한 쌍의 키에 대한 사용 권한을 갖도록 하려면 몇 가지의 사전 구성을 해야 합니다.
공용 키 암호화 단계를 설정할 경우, pcANYWHERE32는 공용 키 암호화 단계로 호출자를 확인하고 연결한 다음 보다 빠른 대칭 암호화 단계로 세션의 보안을 유지합니다.
주의: 공용 키 암호화 단계를 실행하려면 Windows NT 4.0 Service Pack 3이나 Microsoft Internet Explorer 4.0에서 사용할 수 있는 CryptoAPI 2.0을 사용해야 합니다.
다음은 전체 공용 키 암호화 방법을 구성하는 요소입니다.
■ Microsoft-Compatible 보증서: 공인 보증서 발급자나 내부 보증서 서버를 통해 사용자 개인의 보증서(또는, 한 쌍의 공용 키와 개인 키)를 받을 수 있습니다.
주의: 개인 키는 반드시 Microsoft의 CryptoAPI와 호환이 되어야 합니다.
보증서를 설치하면, 호스트와 원격지의 보안 옵션 등록 상자에 있는 개인 키 목록 상자에 보증서가 표시됩니다.(자세한 내용을 보려면 41페이지의 “호스트 보안 옵션을 구성하려면”과 64페이지의 “보안 옵션을 구성하려면”을 참조하십시오.)
주의: 호스트를 Windows NT 서비스로 실행하는 경우, 사용자 개인의 보증서는 호스트 PC에 사용자 키가 아니라 시스템 키로 설치되어야 합니다.
개인 키 목록 상자에는 시스템 키만 표시됩니다. 시스템 키 세트를 만드는 방법에 대해서는 키 관리 시스템 설명서를 참조하십시오.
■ 보증서 데이터베이스: 보증서는 사용자의 이름, 공용 키 및 보증서를 발행한 보증서 발급자의 서명으로 구성된 데이터 문서입니다. 보증서 데이터베이스는 하나 이상의 보증서로 구성된 보안 데이터베이스입니다. pcANYWHERE32는 현재 호출자에 대한 보증서 데이터베이스를 검색한 후에 세션의 공용 키의 위치를 지정 합니다.
pcANYWHERE32는 보증서 데이터베이스를 다음과 같은 형식으로 사용합니다.
■ Microsoft-Compatible 보증서 데이터베이스.
■ 표준 PKCS#7 암호 메시지.
■ 단일하게 암호화된 보증서.
호스트는 원격지의 보증서가 있는 보증서 데이터베이스에 대한 사용 권한이 있어야 하고, 원격지는 호스트의 보증서가 있는 보증서 데이터베이스에 대한 사용 권한이 있어야 합니다. 사용자는 보증서 데이터베이스의 파일 이름을 [응용 프로그램 옵션]에 있는 [시스템 설정] 등록 정보에 지정해야 합니다.(108페이지의 “시스템 설정 옵션을 구성하려면”을 참조하십시오.)
■ 보증서 공유 이름: 사용자는 모든 호스트와 원격지 호출자에 고유의 보증서 공유 이름을 지정해야 합니다. 이 이름은 호스트와 원격지 연결 항목의 [보안 옵션] 등록 정보에 있습니다. 연결할 때 호스트와 원격지의 보증서 공유 이름을 확인하는 과정이 있습니다.
대칭 암호화를 선택하면, pcANYWHERE32는 고유의 공용 키를 만들어 세션을 암호화하고 세션을 암호화하는데 사용하는 대칭 키를 안전하게 전송합니다. 보증서 발급자가 발행한 공용 키가 없는 대칭 암호화 단계에서는 전체 공용 키 암호화 단계【?수행하는 호출자 확인 과정이 생략됩니다.
대칭 암호화 옵션을 사용할 때 호출자 확인 기능을 강화하려면, pcANYWHERE의 개별 호출자 권한 옵션을 사용하십시오.(자세한 내용을 보려면 45 페이지의 “호스트 호출자 구성하기”를 참조하십시오.)
대칭 암호화 단계는 Windows NT 4.0과 같이 CryptoAPI를 지원하는 모든 운영 체제에서 사용할 수 있습니다. Windows 95 운영 체제에서 CryptpAPI 1.0은 OSR2나 Microsoft Explorer 3.0 이상의 버전에서만 사용할 수 있습니다.
pcANYWHERE 암호화는 데이터 스트림을 제 3자가 쉽게 해독할 수 없도록 단순한 방법으로 데이터를 변환하여 최소한의 데이터 보안을 유지합니다. pcANYWHERE의 이전 버전에서는 이 암호화 단계만 사용할 수 있습니다.
CryptoAPI에서 암호 기능은 실질적으로 암호 서비스 제공 프로그램(CSP)이나 운영 체제 기능의 일부인 하위 단계의 암호 드라이버에서 수행합니다. Microsoft에서는 기본 CSP를 Windows NT와 Internet Explorer와 함께 제공합니다. 기본 CSP는 다른 제품으로 대체해도 됩니다.
pcANYWHERE32는 기본 Prov_RSA_FULL CSP 및 RC4 대칭 알고리즘을 사용합니다. RC4를 제공하는 PROV_RSA_FULL로 분류된 모든 CSP에서는 pcANYWHERE32를 사용할 수 있습니다.
대부분의 중요한 매개변수는 사용중인 CSP의 종류에 따라 달라집니다. 예를 들어, Microsoft CSP에서는 512 비트 공용 키와 40 비트 세션 키를 사용하고, 다른 CSP에서는 이것과 길이가 다른 키를 사용합니다.
CryptoAPI와 사용할 수 있는 CSP에 대해서는 Microsoft 웹사이트에 있는 내용을 참조하십시오.
관련자료
-
이전
-
다음
