'프로그램 (C,PHP)'에 해당되는 글 129건

  1. 2015.04.27 2015년 SW 개발보안 교육과정 안내
  2. 2015.04.09 암호화 해시 함수 알고리즘
  3. 2014.06.09 OpenSSL 다중 취약점 보안업데이트
2015. 4. 27. 19:34

2015년 SW 개발보안 교육과정 안내

728x90


행정자치부와 한국인터넷진흥원은 행정기관 등의 정보시스템 담당 공무원 및 개발자를 대상으로 SW 개발보안에 대한 이해 증진 및 전문역량 강화를 위해 아래와 같이 SW 개발보안 교육을 실시하오니, 관심있으신 분들의 많은 참여를 부탁드립니다.

 

□ 교육과정

 

  - SW 개발보안 일반과정 8회, SW 개발보안 심화과정 4회, SW 진단원 양성과정 4회, SW 진단원 보수교육 5회

 

□ 교육대상

 

  - SW 개발보안 일반과정 :  공무원 및 개발자

 

  - SW 개발보안 심화과정 : 개발자

 

  - SW 진단원 양성과정 : SW 개발경력 6년 이상 또는 취약점 진단 3년 이상

 

  - SW 진단원 보수교육 : 2014년 12월 기준 SW 보안약점 진단원 자격 유지자

 

□ 교육일정 및 내용

 

  - 교육과정별 일정 및 내용 등 자세한 사항은 첨부파일을 참고하시기 바랍니다.

 

□ 교육접수

 

  - 교육접수는 KISA아카데미 홈페이지(https://academy.kisa.or.kr)를 통해 온라인으로 이루어집니다.

  - 모든 교육과정은 현장접수가 안되오니 이점 양해해 주시기를 부탁드립니다.



2015년 SW 개발보안 교육과정 안내.pdf




출처 : KISA


Trackback 0 Comment 0
2015. 4. 9. 19:43

암호화 해시 함수 알고리즘

728x90
위키백과, 우리 모두의 백과사전.

암호화 해시 함수(cryptographic hash function)은 해시 함수의 일종으로, 해시 값으로부터 원래의 입력값과의 관계를 찾기 어려운 성질을 가지는 경우를 의미한다. 암호화 해시 함수가 가져야 하는 성질은 다음과 같다.[1]

  • 역상 저항성(preimage resistance): 주어진 해시 값에 대해, 그 해시 값을 생성하는 입력값을 찾는 것이 계산상 어렵다. 즉, 제 1 역상 공격에 대해 안전해야 한다. 이 성질은 일방향함수와 연관되어 있다.
  • 제 2 역상 저항성(second preimage resistance): 입력 값에 대해, 그 입력의 해시 값을 바꾸지 않으면서 입력을 변경하는 것이 계산상 어렵다.제 2 역상 공격에 대해 안전해야 한다.
  • 충돌 저항성(collision resistance): 해시 충돌에 대해 안전해야 한다. 같은 해시 값을 생성하는 두 개의 입력값을 찾는 것이 계산상 어려워야 한다.

즉, 입력값과 해시 값에 대해서, 해시 값을 망가뜨리지 않으면서 입력값을 수정하는 공격에 대해 안전해야 한다. 이러한 성질을 가지는 해시 값은 원래 입력값을 의도적으로 손상시키지 않았는지에 대한 검증 장치로 사용할 수 있다.

순환 중복 검사(CRC)와 같은 몇몇 해시 함수는 암호 안전성에 필요한 저항성을 가지지 않으며, 우연적인 손상을 검출할 수는 있지만 의도적인 손상의 경우 검출되지 않도록 하는 것이 가능하기도 하다. 가령, 유선 동등 프라이버시(WEP)의 경우 암호화 해시 함수로 CRC를 사용하나, CRC의 암호학적 취약점을 이용한 암호공격이 가능하다는 것이 밝혀져 있다.

암호화 해시 함수의 비교

가장 널리 사용되는 해시 함수에는 MD5와 SHA-1이 있으나, 이들은 안전하지 않다는 것이 알려져 있다. 미국 US-CERT에서는 2008년 MD5를 사용하지 말아야 한다고 발표했다.[2] NIST에서는 2008년 SHA-1의 사용을 중지하며 SHA-2를 사용할 것이라고 발표했다.[3]

2008년 미국 국립표준기술연구소(NIST)에서는 SHA-3로 부를 새로운 안전한 암호화 해시 함수에 대한 공모전을 열었다. 2012년 8월 현재 SHA-3의 후보는 다섯 개가 있으며, 2012년 중으로 이들 중 최종 후보를 뽑을 예정이다.[4]

다음은 널리 알려진 암호화 해시 함수 알고리즘의 목록이다. 이들 중에는 안전하지 않다는 것이 밝혀진 것도 있다.




출처 : 위키백과


Trackback 0 Comment 0
2014. 6. 9. 16:20

OpenSSL 다중 취약점 보안업데이트

728x90

개요

  • 취약한 OpenSSL 버전을 사용하는 서버와 클라이언트 사이에서 공격자가 암호화된 데이터를 복호화할 수 있는 취약점, 서비스 거부 취약점, 임의코드 실행 취약점 등 6개의 취약점을 보완한 보안업데이트를 발표함[1]


설명

  • 조작된 핸드셰이크 전송을 통한 중간자(MITM) 공격으로 전송데이터를 복호화하고 서버/클라이언트 간 전송 데이터의 조작이 가능한 취약점 (CVE-2014-0224)
  • 비정상적인 DTLS 핸드셰이크를 OpenSSL DTLS 클라이언트에 전송하여 서비스 거부 공격이 가능한 취약점 (CVE-2014-0221)
  • 비정상적인 DTLS 프래그먼트를 OpenSSL DTLS 클라이언트 또는 서버에 전송하여 임의코드 실행이 가능한 취약점 (CVE-2014-0195)
  • do_ssl3_write 함수의 결함으로 인해 임의코드 실행이 가능한 취약점 (CVE-2014-0198)
    • 해당 취약점은 OpenSSL 1.0.0과 1.0.1에서 SSL_MODE_RELEASE_BUFFERS 옵션이 활성화되었을 때 발생 (해당 옵션은 기본적으로 비활성 상태임)
  • ssl3_read_bytes 함수의 경쟁 상태(race condition)으로 인해 공격자가 세션에 데이터를 주입시키거나 서비스 거부 공격이 가능한 취약점 (CVE-2010-5298)
    • 해당 취약점은 OpenSSL 1.0.0과 1.0.1을 사용하는 멀티쓰레드 어플리케이션에서 SSL_MODE_RELEASE_BUFFERS 옵션이 활성화되었을 때 발생 (해당 옵션은 기본적으로 비활성 상태임)
  • anonymous ECDH ciphersuites가 활성화된 OpenSSL TLS 클라이언트에 서비스 거부 공격이 발생할 수 있는 취약점 (CVE-2014-3470)


해당 시스템

  • 영향 받는 제품 및 버전
    • OpenSSL 0.9.8 대 버전
    • OpenSSL 1.0.0 대 버전
    • OpenSSL 1.0.1 대 버전


해결 방안

  • 해당 취약점에 영향 받는 버전의 사용자는 아래 버전으로 업데이트
    • OpenSSL 0.9.8 대 버전 사용자 : 0.9.8za 버전으로 업데이트
    • OpenSSL 1.0.0 대 버전 사용자 : 1.0.0m 버전으로 업데이트
    • OpenSSL 1.0.1 대 버전 사용자 : 1.0.1h 버전으로 업데이트


기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


[참고사이트]

[1]  http://www.openssl.org/news/secadv_20140605.txt


Trackback 0 Comment 0