[카테고리:] 미분류
-
ROP
sadf Return Oriented Programming의 약어이다. 기존 RTL에서 더 발전하여 NX, ASRL, Stack Canary가 모두 적용된 파일에도 메모리 취약점을 적용시켜서 exploit할 수 있는 방법이다. 쉽게 말하면, lib.so에 있는 system()을 사용하기 위해서 타겟 프로그램의 lib.so에 있는 함수 사용을 확인한뒤 해당 함수를 바탕으로 lib.so에서 system()의 주소를 구한 뒤 가젯을 활용하여 해당 system()을 실행하는 공격이다. 더 자세한 이해는 직접…
-
대칭키와 공개키의 차이점과 난수
대칭키와 공개키 알고리즘의 차이점은 암호키 관점에서 알고리즘을 분류했을 때 아래 그림과 같다. 대칭키는 키가 1개, 공개키는 키가 2개이다. 대칭키 대칭키는 대부분 블록 암호 형태로 사용한다. 즉, 고정 길이 평문 블록을연산하여 동일한 크기의 암호문을 생산하는 형태이다. 이러한 형태의 암호 알고리즘으로 DES, 3-DES, AES가 있다. 아래 표는 각 알고리즘의 키의 크기와, 복호화하는데 걸리는 시간을 뜻한다. 공개키 공개키:𝑃𝑈={E,N}개인키:𝑃𝑅={D,N}…
-
X.509 인증
공개키 인증서(Public-key certificate) 신뢰하는 제 3기관에 의해 서명된 메세지와 소유자의 사용 ID를 더하여 구성한 것으로 일반적으로 제 3기관은 CA(Cretificate Authority)라고 하며, 정부 기관 또는 금융기관에서 운영한다. 사용자는 자신의 공개키를 CA에게 제출하고 CA는 이를 서명하여 인증서를 생성해 준다. 사용자의 공개키가 필요하면 사용자 인증서를 획득하고, 인증서의 서명으로 유효성 검증이 가능하다. X.509 Certificates X.500 디렉터리의 인증서비스를 사용자에게 제공하는…
-
Cloud Computing 데이터 보안
Cloud Computing 데이터 보안이다. 먼저 클라우드 상 데이터는 아래 그림과 같은 Life Cycle이 된다. 데이터는 접근, 처리, 저장의 기능을 통해서 Life Cycle을 거쳐가는데, 이러한 과정에서 위험 관리가 이루어 진다. Risk Management 용어 1. 위험 명세(Risk Profile)자신이 노출되는 위협과 같은 위험을 감수하려는 조직의 의지 2. 위험 성향 / 감내 (Risk Appetite / Tolerance)수용 위험의 양과 위험…
-
Cloud Computing
Cloud Computing ? Cloud Computing 은 어디서나 존재하고 편리하며, 공유된 컴퓨팅 자원 풀(pool) 설정이 가능하면서 네트워크 접근 요청에 즉시 응답하는 모델 – by NIST용어: CP(Cloud Provider), CC(Cloud Consumer) Cloud Computing 요소 아래 요소에 대한 설명이 이 글의 주된 내용이 되겠다. 1. 배포 모델 Public – 사용자가 비용을 지불하며, 클라우드 서비스 제공업체(CP: Cloud Provider)의 인프라를 사용…