인증보안(Authentication)
by
GCOD
https://media.vingle.net/images/co_m/rshz95y7e2.jpg
인증보안(Authentication)
264 Followers
PKI전자서명에는 새로운 진보가 필요하다
전자서명의 새로운 패러다임을 제시해 보자 지금까지 안전한 전자서명을 구현하는 필수 사항으로 개인 키 관리에 관심이 집중되어 왔다. 우리는 이러한 생각에서 벗어날 것을 주장한다. 왜냐하면 개인키에 대한 소지검증만으로 전자서명의 기능이 완성된다고 보는 것이 타당하지 않으며 실제로 전자서명의 보안성을 위협하게되는 주요 원인이 되기 때문이다. 만약 개인 키로 서명된 것 만으로는 전자서명의 기능을 인정하지 않겠다라고 한다면 보안성을 한 차원 더 강화할 수 있기 때문이다. ​ 보안성이 강화된 전자서명은 합성팩터 기반의 전자서명으로서 전자서명 생성정보에 지식인증 팩터를 포함하고 사용자가 입력하는 것이 아니지만 사용자가 시드를 완전하게 통제할 수 있도록 인증프로세스에 내재된 난수팩터를 하나 더 포함하는 방법이 있겠다. 이러한 두가지 이상의 팩터들은 철저히 개인화되며 단방향 암호화로 영지식증명을 만족하며 키보드를 이용한 입력을 허용하지 않으며 사용자가 언제라도 변경할 수 있다는 조건이 추가되어야 제 역할을 제댜로 할 수 있을 것이다. ​ 이로써 개인 키에 대한 누출을 방지하는 보안방법 또는 크랙을 방지하는 보안 방법에 전적으로 의존하는 기존의 전자서명 보안 유지 방법의 수준을 완전히 극복하고 전자서명의 새로운 패러다임을 제시할 수 있다. ​ #전자서명 #개인키 #인증 #보안
전자서명에서 화이트박스암호화의 이점이 보이지 않는다.
화이트박스 암호화는 암호 키가 알고리듬에 숨어있어서 키가 노출되지 않는다는 것은 이해가 간다. 개인키를 일단 크랙하기 어렵게 보관하고 사용시에 화이트박스로 복호화하는데 유용하겠다. ​ 그런데 PKI 기반 전자서명에 적용한다면 거래데이터를 암호화하기 위하여 개인키를 메모리에 올려야하는데 결국 개인키가 노출되는 것이다. 이렇게되면 개인키를 암복호화는 대칭키를 노출시키지 않는 이득이 무의미해지는 것 아닌가? 물론 키보드로 비밀번호를 입력받아 암호 키로 사용하는 것보다는 보안적으로 유리하다. 하지만 키보드가 필요없는 방법이 있다면 결국 화이트박스 암호화는 암호키 가 메모리에 노출되지 않는 이점외에는 없는 것인데 문제는 전자서명을 생성하기 위한 개인키가 결국 노출되어 그 마저도 다시 무의미해진다는 것이다. 게다가 룩업테이블이 암호화된 개인키와 함께 누출되면 비밀번호 암호화보다도 불리해지지 않나? ​ 차라리 전자서명을 PKI로 하지말고 대칭키 기반 전자서명으로 간주한다면 안전성이 더 높아질것 같다. 이 경우는 개인키가 별도로 존재하지 않고 화이트박스 암호문을 전자서명문으로 그냥 간주해버리기 때문이다. 대신에 이경우는 PKI전자서명의 이점이 다 사라지고 서버도 룩업테이블에 접근하게되어 영지식증명을 충족할 수도 없다. ​ 화이트박스 암호화는 전자서명 인증에 적합해보이지 않는다. ​ #화이트박스암호화 #전자서명 #인증
DID 자기정보 주권 신원증명 블록체인 플랫폼 탈중앙화만 고집하면 현실성없다.
탈중앙화 블록체인의 유용한 응용으로 DID가 세간의 화제이다. 그도 그럴것이 신원증명과 신원정보의 제공에 대하여 빅브라더의 지배력이 강화되고 있는터라 당연한 현상이라고 할 수 있겠다. 연간 신원정보 도용으로 인한 피해가 미국만 17조원에 이른다는 것을 생각해보면 의미있는 대안으로서의 DID가 내재한 가치는 참으로 크다. 게다가 개인의 프라이버시를 한단계 더 보호하고 자기정보주권을 현실화한다면 사용자의 만족감은 아주 클 것이다. 이 뿐만이 아니다. 신분증 제도가 발당하지 않아 사회적으로 고립된 수십억의 인구가 아직도 지구상에 있다는 믿기지 않는 현실도 DID의 가치를 눈여겨보게하는 것이 사실이다. 그런데... 생각보다 현실은 이상과 많이 다르다. 신분제도의 핵심은 첫째 진위, 둘째 보안이다. 1. 진위의 문제는 DID지갑 개설 시점에 얼마나 철저한 발급 절차를 통하여 KYC를 진행할 것인가와 직결된다. 다시말해 어마한 비용의 문제이다. 이것은 특히 신분제도가 열악한 사회의 근원적인 문제이기도하다. 2. 보안의 문제는 지갑 보안의 문제이고 이는 다시 편의성의 문제이다. 즉 현재 블록체인의 탈중안화 지갑으로는 일반 개인이 사용하기에 역부족이다. UIUX관점에서 보면 비밀번호, 니모닉, 지갑이전, 지갑복제, 지갑복구가 넘사벽이다. 게다가 보안적으로도 그닥 수준이 높지 않다. 1과 2는 결국 탈중앙화만 고집하면 해결될 수 없다. 이점을 인정하고 해결책을 찾아야만 현실성있고 유용한 DID가 가능할 것이다. 비록 불완전한 탈중앙화 Digital ID라도 유용하게 사용될 수 있는 것이 더 가치롭다는 것이 내 생각이다. #DID #DigitalID #블록체인