2005-08-29

SHA-1 해독 및 TLS, IPSec에 대한 영향


중국 암호학자들이 SHA-1에 대한 새로운 암호 해독 결과를 발표했다고 합니다.
brute force 공격을 통해서 SHA-1을 해독하려면 280번 시도를 해야하고, 이전에 발표에서는 269번 시도를 하면 된다는 결과였는 데, 이번에 발표된 것은 263번 시도하면 된다고 하는군요...

잘 모르시겠다구요? 한 마디로 전자서명값이 같은 두 개의 문서를 찾기 위한 시간이 엄청나게 많이 단축되었다는 얘기입니다.

가령 이런 공격이 가능해집니다.

  1. 전자서명된 계약서들을 긁어모은다
  2. 암호학자들이 고안한 방법에 따라 긁어모은 계약서들과 동일한 전자서명값을 가지는 다른 문서들을 찾는다.
  3. 위 결과 계약서의 중요부분(예: 계약금액)이 다르면서, 동일한 전자서명값을 가지는 문서를 찾는 경우 계약을 속일 수 있다.

위의 계약은 인터넷 뱅킹 계좌이체, 쇼핑몰 30만원 이상 거래, 전자입찰 등 공인인증서 거래가 해당됩니다.

위 암호 해독이 TLS, S/MIME 등에 미치는 영향에 대해 분석한 논문도 참고하세요...

technorati tags : , , ,

번호이동,무선랜,블로그라인

한동안

"핸드폰을 바꿔야지...",
"Workpad 바꿔야지...",
"근데 둘 다 한꺼번에 할 수는 없을까?"

하고 생각하다가 장고끝에 SPH-M4300 질렀습니다.
3주째 접어들고 있는 데, 아주 만족하고 있습니다. 몇 가지 만족스러운 점들을 적어보면


  1. Conference Archives 듣다가 전화오면, 전화받고 끊으면 듣던 것이 이어진다
  2. 어찌보면 당연하지만, 천개정도의 연락처가 동기화된다. 이제 명함을 한 군데에서만 입력하면 된다. (이전에는 Palm Desktop에서 입력하고, 또다시 outlook으로 입력해야 하는 불편이 있었습니다)
  3. PDA에서 검색해서 전화번호를 찾은 후 전화하는 닭짓을 그만두어도 된다.
  4. 집에서 무선랜이 되므로, 블로그라인을 읽을 수 있고, 따라서 노트북을 집에 들고가지 않아도 된다.
  5. 여러 가지 문서들을 읽을 수 있다 (표준문서, Whitepaper, 성경 등)
  6. 디카를 들고 다니지 않아도 아로를 찍어줄 수 있다 (사진품질이 훌륭하지는 않지만, 블로깅하기에는 충분할 듯 합니다)
뭐, 이 정도면 성공이지요?

참고로 집에 무선랜도 함께 설치했는데요...
처음에는 Zio WLB5054AIP 모델을 구매했는 데, 사사미와 호환이 되지 않아서 반품하고 LINKSYS WRT54G 모델로 다시 구매했고 지금 집에서 블로그라인 잘 읽고 있습니다.

이제 가능한 많은 이들을 Skype으로 끌어들이면 무료통화까지...ㅎㅎㅎ

2005-08-11

피싱 툴바

간단하게 설명해보면,

  1. 피싱 툴바를 설치한다.
  2. 피싱 사이트 리스트에 있는 URL 방문시 피싱 사이트 경고를 한다.
  3. 툴바가 피싱 경고를 하지 않았지만 피싱사이트라고 의심이되면 신고한다
  4. 신고된 URL은 피싱 사이트 리스트에 추가되어 다른 툴바 사용자에게 도움을 준다

대표적으로 Netcraft Anti-phishing Toolbar, GeoTrust TrustWatch 등이 있습니다.
이제 피싱도 바이러스처럼 업데이트해야 하는 시대가 곧 도래할 것 같네요

Technorati tag : ,

2005-08-08

BlackHat 2005

BlackHat 2005 발표자료가 배포되었습니다.

특히 오라클 Advanced SQL Injection, 피싱, VoIP 보안, 웹 서비스 공격, 안티바이러스 소프트웨어의 약점 등 Application Security 관련해서 좋은 내용들이 많습니다.

Money Auction ?

zopa 라는 영국회사의 사업모델은 돈을 상품으로하는 경매 시장입니다. 영국 온라인 은행 Egg 창업자들이 만든 회사입니다.

어떻게 하냐구요?
이 회사는 돈을 빌려주려는 개인과 돈을 빌리고자 하는 개인을 연결해줍니다. 물론 연결 수수료로 1%를 받기는 하지만, 브로커들이 없으니 당연히 높은 수익율로 돈을 빌려줄 수 있고, 낮은 대출이자로 돈을 빌릴 수가 있습니다.

"Social Networking으로 어떻게 돈을 벌 수 있을까?" 하고 생각했었는 데, 이 모델이 답이 아닐까요? 궁극적으로 온라인 상의 평판을 이용해서 거래를 하는 것!

2005-08-04

발송자 위변조 스팸메일 포털 서버서 자동 차단

발송자 위변조 스팸메일 포털 서버서 자동 차단을 하겠다고 합니다.

E-mail Authentication에 대해서는 이 글을 보시면 많은 도움이 되실 것 같은데요...

왜 SPF?
기사에 보면 SPF를 채택하겠다고 나와있는데요, 이 기술은 간단하게 말하면 NHN의 outbound 메일 서버의 IP 리스트를 배포하고, 메일 수신자들은 수신한 메일이 nhn으로부터의 메일인 경우 메일 송신자의 IP가 NHN의 outbound 메일 서버 IP 리스트에 있는 지 체크한다는 것입니다.
하지만, 이 기술의 경우 DNS 시스템이 폐쇄형이란 가정이 있어야 합니다. 왜냐하면 스패머들이 합법적인 도메인을 등록한 후 Unicode URL 등의 기법을 사용하여 피싱을 시도하면 마찬가지 얘기가 되기때문입니다.

DomainKeys가 더 나은 방법이 아닐까요?
DomainKeys는 Yahoo가 제안한 방법으로써 메일 송신서버가 사용할 개인키에 대한 인증서를 공개한 후, 모든 메일을 전자서명하여 송신하는 것입니다. 메일 수신자는 송신된 메일의 전자서명을 확인하여 맞지 않는 경우 메일을 스팸으로 분류하라는 것인데요. 전자서명법을 비교적 일찍 시작하여 공인인증서 천만 사용자를 보유하고 있는 이 나라에서 SPF 보다는 Domain Keys가 더 나은 방법이라 생각합니다.

Technorati tag :

2005-08-01

브라우저의 피싱 대책 전략

Financial Cryptography에서는 Microsoft, AOL, Mozilla 등 브라우저의 anti-phishing 정책을 비판하면서 이런 접근은 대안이 될 수 없다고 합니다.
브라우저 업체의 정책을 살펴보면 "피싱으로 의심이 되는 사이트 리스트"를 브라우저가 감지할 수 있도록 한다는 것입니다. 해당 Blacklist는 phish report network을 통해서 유지되며, 이 네트웍은 WholeSecurity라는 회사가 관리합니다.

Phish report Network은 MS, eBay, Visa가 후원하네요...

바이러스, 스파이웨어, 피싱...!?

Technorati tag :

안전한 RSS 피드

신용카드 청구서 등 사적인 내용의 피드를 어떻게 안전하게 전달할 수 있을까요?

Joe Gregorio 씨는 Greasemonkey를 통한 RSS 암호화를 제안합니다.

Gregorio씨는 피드를 패스워드로 막는 것은 aggregator에게 패스워드를 알려줘야 하기 때문에 안되고, Atom Spec에서 제안한 XML Encryption의 경우에도 Atom Spec이 완료되지 않았고,
aggregator들이 XML encryption을 지원하지 않기 때문에 안된다고 하면서, Greasemonkey를 사용한 RSS 암호화를 제안합니다.

구체적인 시나리오는 다음과 같습니다.

  1. RSS 피드의 description element 내에 컨텐츠를 암호화하여 넣는다.
  2. 해당 피드를 syndicate한다
  3. Bloglines같은 웹 기반 aggregator에 해당 피드를 등록한다.
  4. aggregator를 사용해서 피드를 볼 때, greasemonkey는 description이 암호화되어 있음을 알고 복호화한다.
실제로 테스트를 해보시려면, Bloglines 계정이 있어야 합니다.
greasemonkey와 securesyndication.user.js를 설치하고, Bloglines 계정에서 test feed 등록을 하고 구독을 하면 다음과 같은 글을 얻을 수 있습니다.
This is a Blowfish encrypted message.
The unencrypted content in this div should remain unchanged.

암호화하기 전에 피드 데이터는 다음과 같습니다.

WORK:C7FDDC3B50FF0BE0E6F47CBD54AC149FA6E42F1D-D9C8AEA48F4D400B6970C14082858FF94901795DBE1C7D3-80ED6AA16A1B2F8039C6782D604F1CA906A6F1C7CFEB52-DED873A557228333D3A6E8B3712BD115C4AC0643B86

The unencrypted content in this div should remain unchanged.

이제 신용카드, 각종 영수증을 E-mail말고 RSS로 받아볼 수도 있지 않을까요?
(근데, IE7은 이런 기능을 지원할 수 있을까요?)

Technorati tag :