36일차(4.4) 비대칭키

  비 대칭키인 개인키/공개키 암호화는 공적인 비밀 파일을 주고받을 때 사용하면 좋다. A와 B의 개인키는 서로 다르지만 공개키는 같아야 한다.  
 A가 B에게 파일을 보낼 때, B가 개인키와 공개키를 함께 생성한 뒤  
∎ A는 상대방 B가 보내준 공개키와 A 자신의 개인키로 암호화해서 B에게 보내면
∎ B는 A가 보내온 암호문을 B 자신의 개인키와 A에게 보냈었던 공개키로 복호화한다. 
  따라서 수신자 B는 송신자 A가 암호화할 때 사용할 자신의 공개키와 A가 보내온 암호문을 복호화할 때 사용될 자신의 개인키를 모두 가지고 있어야 한다. B는 자신이 공개키를 만들 수 있지만 자신의 공개키를 A, C, D, E, ...등 여러 사용자에게 파일로 일일이 첨부해서 보내면 보안상 위험하고 힘든 일이므로 은행과 같은 곳에서는 자신의 공개키를 보안이 잘 되어 있는 웹이나 혹은 신뢰할 수 있는 인증기관(CA)에 공개키를 저장해 두고 C, D, E, ..사용자들이 이 공개키를 다운받아서 사용하게 한다. 공개키와 개인키는 함께 만들어진다. 
=>생성은 gpg -c ~ 로 해주고, 풀 때에는 gpg ~로 푼다. 개인키와 공개키는 함께 생성되지만 서로 다른 키이므로 비 대칭키 기법이다.

 

참고.

공개키 암호(=비대칭키)

 

- 비밀키 하나 만 가지는 대칭키 암호 방법과 달리, 공개키와 비밀키 두 개가 존재

- 공개키 암호를 구성하는 알고리즘을 대칭키 암호 방식과 비교하여 비대칭 암호라고 불림

- 암호화와 복호화에 사용하는 키가 서로 다름

- 암호화할 때의 키는 공개키(public key), 복호화할 때의 키는 개인키(private key)

- 공개키는 누구나 알 수 있지만, 그에 대응하는 비밀키는 키의 소유자만이 알 수 있어서 

   특정한 비밀키를 가지는 사용자만이 내용을 열어볼 수 있도록 하는 방식.

 

송신자는 수신자의 공개키를 받아 데이터를 암호화하여 

네트워크를 통해 원격지에 전달.

수신자는 공개키로 암호화된 데이터를 자신의 개인키로 데이터를 복호화하여 평문을 복원.

출처: https://gaeko-security-hack.tistory.com/123

 

또는 https://www.uname.in/129 참

 

실습

gpg --gen-key로 새 공개키 개인키 생성

이렇게 설정해주고 O를 입력 한다.

 

rootoor, take this one anyway를 누르고 passphrase를 rootoor을 입력해준다.

공개키와 개인키가 모두 만들어졌다.

 

gpg -o centos1.pub -a --export centos1@kahn.edu

 

o는 출력파일 -a는 아스키 export는 내보낸다. 

 

cp -arp centos1.pub /tmp

 

SCP 명령어로 centos1.pub 키를 받아왔다.(공개키)

gpg import로 키링에 공개키를 추가해준다. 

 

키링에 들어와져 있다. 

 

이제 백트랙에서 센토스에 보낼 암호문을 만들고

 

-a 아스키 텍스트 파일, e는 암호화 하겠따 r은 수신자를 지정(receipient?)

 

암호화가 되어 읽을 수 없게 되었따.

 

그러니까 지금 센토스에서 개인키와 공개키를 먼저 만든 다음에 공캐키를 백트랙에다가 보냈다.

그리고 백트랙에서 문장을 암호화 한 다음 그것을 센토스에다가 보냈다.

 

잘 와있다.

 

gpg

 

<정리>

1. 센토스에서 개인키와 공개키 생성

2. 공개키를 BT에 보냄

3. BT에서 문서를 작성

4. 센토스가 보낸 공개키+자신의 문서=>암호문을 생성

5. 센토스로 파일을 보냄 

6. 개인키 입력=>암호 풀기

 

*** SSH 사용은 매우 중요하다.
  SSH는 이전에 Telnet으로 연결하는 것에서 보안을 추가한 연결이다. 디폴트로 패스워드로 인증(authentication)해서 연결되지만 SSL을 이용한 키를 생성해서 이 키로 연결할 수도 있다. 
=>이런 예를 보면 클라우드 Hadoop에서 master(namenode)가 무수한 slave(datanode)들과 연결할 때에도 SSH 키로 연결한다. 
    클라우드에서 여러 노드들을 중앙에서 일괄 관리해주는 Puppet/Ansible과 같은 도구도 노드들과 SSH 키를 사용한 연결로 이뤄진다. 
=>이들 도구는 사용자명과 패스워드 인증을 하지 않고 키로 인증해서 통신한다. 

  SSH(Secure SHell)를 위해서 키가 있어야 하는데 이 키는 SSL(Secure Socker Layer)로 생성해준다. 이 키로 HTTP=>HTTPS, FTP=>SFTP/FTPS, SMTP=>SMTPS, ...식으로 사용할 수 있다. 

  이렇게 SSL을 이용해서 개인키와 공개키를 생성하는데 키의 배포는 
1) 각 사용자(클라이언트)가 Public/Private Key 쌍(pair)을 생성해서 
   Public-key를 서버에 보내서 저장시키고, 
   각 클라이언트는 Private-key를 가지고 있다가 서버에 연결할 때 서버에서 자신의    공개키로 인증을 받아서 들어가거나
2) 또는 서버가 Public/Private Key 쌍(pair)을 생성해서 
   Public-key는 서버가 가지고 있고, 연결할 클라이언트들에게 Private-key를 배포해   서 들어오게 한다. <= 대부분 금융이나 비즈니스 타입

 

Generate하고 save public key, save private key를 한다. 

패스워드로 푸티 접속

 

이제는 키로 들어오도록 설정 변경할 것

 chmod 755 -R .ssh && chmod 644 .ssh/authorized_keys

상속

gedit /etc/ssh/sshd_config 

 

 

들어가져야 하는데 실패한 실습

 

 

다음 실습은 우분투

 

파일로 저장해서 센토스로 보냄

센토스에 키 저장

 

service sshd restart 해준다.

 

에러가 떴는데 -v 옵션으로 디버깅 해주니까 연결됐다.

 

  SSH(Secure SHell)를 위해서 키가 있어야 하는데 이 키는 SSL(Secure Socker Layer)로 생성해준다. 이 키로 HTTP=>HTTPS, FTP=>SFTP/FTPS, SMTP=>SMTPS, ...식으로 사용할 수 있다. 

  이렇게 SSL을 이용해서 개인키와 공개키를 생성하는데 키의 배포는 
1) 각 사용자<우분투, 푸티젠(클라이언트)가 Public/Private Key 쌍(pair)을 생성해서 
   Public-key를 서버(센토스)에 보내서 저장시키고, 
   각 클라이언트는 Private-key를 가지고 있다가 서버에 연결할 때 서버에서 자신의  공개키로 인증을 받아서 들어간다.

실습한 것

 

 

 

 

** 정보보안에서는 다음 네 곳 주소를 잘 활용할 수 있어야 한다.
passwordmeter.com : 패스워드의 강도(strength) 측정
virustotal.com : 악성코드의 AV 프로그램에서의 검출 정도 
tinyurl.com OR bitly.ocm : 악성 퓌싱/퐈밍 사이트의 웹 주소를 변경
mailinator.com OR ruu.kr : 사전 가입 없이 이메일을 주고 받을 수 있는 곳