[Information System Security] TLS(Transport Layer Security)

Secure Socket Layer(SSL)

• 전송 계층 보안 서비스
• == TLS(Transport Layer Security)
• 신뢰 할 수 있는 end-to-end 서비스를 제공하기 위해 TCP를 사용한다.
• SSL은 두개의 프로토콜 계층을 가지고 있다

• Run on top of TCP
• 헤더와 페이로드들로 구성된 레코드라는 자체 유닛이 있다.
• user data, handshake messages, alerts, change cipher spec 등 4가지 record가 있다.

TLS seesion

• 클라이언트와 서버간의 연결
• 핸드세이크 프로토콜에 의해 생성
• 일련의 암호화 매개변수 정의
• 여러 TSL 연결을 통해 공유 가능

message integrity

• 공유 비밀 키가 있는 MAC 사용
• HMAC과 유사하지만 패딩이 서로 다름

confidentiality

• Handshake Protocol로 인해 정의된 공유 비밀 키와 대칭 암호화 사용
• AES, IDEA, RC2-40, DES-40, DES, 3DES, Fortezza, RC4-40, RC4-128
• 암호화 전 메세지 압축

SSL Change Cipher Spec Protocol

- 어떤 알고리즘을 사용할 것인지의 협약

- a single message

- 미결 상태가 현재 상태로 전환됨

- 따라서 사용중인 암호 제품군 업데이트

Alert protocol

- peer entity에 관련 경고를 전달

1. fetal : unexpected message, bad record mac, decompression failure, handshake failure,...
2. warning : close notify, no certificate, bad certificate, certificate revoked, certificate expired,...

SSL Handshake Protocol

• allows server & clinet to
  • 상호 인증
  • 암호화 및 MAC 알고리즘 협상
  • 사용할 암호화 키 협상
• 일련의 메세지를 단계별로 구성
  • 보안 기능 확립
  • 서버 인증 및 키교환
  • 클라이언트 인증 및 키 교환
   

- 부인 봉쇄 X

- 무결성 O

1) client_hello

• version : 클라이언트가 이해한 최고 SSL 버전
• random number
• session ID
• cipher suite->RSA_3DES_MD5

2) server-hello

• Certificate(optional)
• Random number
• a cipher suite selected
•  

3) Client_key_exchanged

• Pre-master key S
• Master Key K = f(s, R/Alice, R/Bob)
  • S가 아넞ㄴ하게 공유되는 방법에 주의
  • Master secret
• Six session key(for each direction, encryption key, integrity-protection key, IV)
  • K, R/Alice, R/Bob의 해시 결과인 세션키 6개(각 방향, 암호화키, 무결성 보호키, IV)

TLS(Transport Layer Security)

• 레코드 형식 버전 번호
• MAC용 HMAC 사용
• 비밀 확장하는 수도랜덤 함수
• 추가 경고 코드 포함
• 지원되는 암호의 일부 변경 사항
• 인증서 유형 및 협상 변화
• 암호 계산 및 패딩의 변화
• 암호화를 할때 암축을 한뒤 암호화를 해야 한다.