SSL(TLS)에 대하여, 간단히 알아보는 대칭키/공개키

python genvet module을 살펴보다가 SSL을 사용할 수 있다고 적혀있는 것을 보았다.

대체 SSL이 무엇일까 싶어서 공부를 시작했다.

 

일단 SSL에 대해 알아보기전에 HTTP와 HTTPS의 차이점을 보자면,

HTTP는 Hypertext Transfer Protocol로 통신 규약중에 하나다.

HTTPS는 HTTP에서 S가 추가된 형태로 보안이 강화 된 HTTP인데, S는 Over Secure Socket Layer의 약자이다.

 

가끔 HTTPS와 SSL을 같은 것 처럼 얘기하는 사람들이 있는데, 엄밀히 말해서 다른 것이다.

 

 

위의 사진에서 처럼, SSL이 적용될 수있는 Application Layer들은 HTTP, FTP, Telnet 등등 여러가지가 있고 그 중에서 HTTP에 적용하여 사용하는 것이 HTTPS라고 불리는 것이다.

 

그리하여 SSL이란?

 

▷ TLS = SSL

네스케이프에 의해서 발명되었고 사용하는 이가 많아지다가 표준화 기구인 IETF의 관리하에 TLS라는 이름을 가지게 되었다.

정식명칭은 TLS이지만, 역사적이유로 많이 쓰이는 명칭이 SSL인 샘이다.

 

 

▷ SSL

SSL 디지털 인증서는 클라이언트와 서버 간의 통신을 제3자가 보증해주는 전자화된 문서이다.

클라이언트가 서버에 접속한 직후 서버는 클라이언트에게 SSL 인증서 정보를 전달하고, 클라이언트는 이 인증서 정보가 신뢰할 수 있는 것인지를 검증 한 후에 절차를 수행하게 된다.

 

▷ 바쁜 이들을 위한 짤막한 요약

- 보통 443번 포트를 사용하며, https://를 이용한다.

- Web Server와 Web Browser 간의 보안을 위해 만들어 졌으며, 공개키/개인키 대칭키 기반으로 사용한다.

- 전송할 것들은 대칭키를 이용하여 암호화하고, 대칭키만을 공개키/개인키로 암호화하여 전송한다.

- SSL 통신을 하는 사이트의 SSL보안등급을 분석해주는 사이트가 있다.

https://www.ssllabs.com/ssltest/analyze.html?d=SSL 사용하는 url

- 각 인증서에는 만료기간이 있으며, 만료되기 전에 갱신을 해야한다.

- TCP protocol 기반임으로, handshake 과정을 거친다.

- 대칭키 암호화는 스트림/블록으로 형식이 나뉘는데 스트림은 bit나 byte 단위로 암호화 하는 것이고 블록은 지정된 블록단위로 암호화 하는 것 이다.

- 주요정보가 노출되는 특정 페이지는 HTTPS를 사용하고, 단순한 웹 서핑에는 HTTP를 주로 사용한다.

 

 

SSL를 좀 더 알아보기 전에 간단히 살펴볼, 대칭키? 공개키? 인증?

 

▷ 인증

자신이 받은 정보가, 자신이 예상하는 곳에서 전송한 올바른 정보가 맞는지 확인하는 것.

 

▷ 비대칭키 = 공개키

모두에게 알려져있는 공개키로 전송할 데이터를 암호하하여 전송하면, 데이터를 수신하는 쪽에서 비공개키로 이를 복호화 한다.

클라이언트, 서버 모두 각자의 공개키/비밀키를 가지고 있으며 데이터를 전송 할 때는 상대에게 공개키를 요청하여 암호화하여 전송하고 데이터를 복호화할 때는 자신의 비밀키를 사용한다.

속도가 느리다는 단점이 있다.

 

▷ 대칭키

공유한 대칭키로 데이터를 암호화하여 전송하면, 데이터를 수신하는 쪽에서 공유한 대칭키로 이를 복호화 한다.

최초 통신시 암호화, 복호화에 사용할 키를 주고 받으므로 통신속도가 빠르다는 장점이 있지만, 처음 키를 공유할 때는 해당 키를 암호화 하지 않고 평문으로 키를 전송하기 때문에 보안상 취약점이 생기는데 이를 키분배의 문제라고 한다.

 

공개키 방식은 암/복호화 과정에서 컴퓨팅 파워를 많이 사용하기 때문에, 성능상의 많은 단점이 생긴다.

따라서, SSL은 공개키와 대칭키를 혼합해서 사용한다.

 

1. 대칭키를 공유할 때 사용하는 암호화 기법 = 공개키방식

2. 실 데이터를 공유할 때 사용하는 암호화 기법 = 대칭키 방식

= 클라이언트와 서버가 주고 받는 실제 정보는 대칭키 방식을 사용하고, 대칭키를 공유할 때는 공개키 방식을 이용하여 대칭키를 주고 받는다.

 

 

SSL 인증서

 

1. 역활

- 클라이언트가 접속한 서버가 신뢰 할 수 있는 서버임을 보장한다.

- SSL 통신에 사용할 공개키를 클라이언트에게 제공한다.

 

2. SSL의 내용

- 서비스의 정보: 인증서를 발급한 CA 서비스의 도메인, 클라이언트가 접속한 서버의 정보 등등

- 서버 측 공개키: 서버와 통신을 할 때 사용할 공개키와 그 공개키의 암호화 방법 등등

 

3. 그외 etc..

- CA ( Certificate  Authority ) = Root Certificate: 인증서 역할을 하는 민간 기업

- SSL을 적용하고는 있지만, 공인된 것이 아니라는 것을 알려주는 표시

- 브라우저는 내부적으로 CA list를 알고 있다.

 

 

SSL 동작 순서

 

SSL은 3가지 동작을 한다. "악수 -> 전송 -> 세션종료"

 

1. Handshake( 악수 )

- SSL 인증서를 주고 받는다.

- 공개키 방식으로 대칭키 값을 암호화 해서 전송한다.

a. 클라이언트가 서버에 접속한다. 이 단계를 Client hello라고 한다.

i. 클라이언트 측에서 생성한 랜덤 데이터: 대칭키 값을 생성하는데 사용된다.

ii. 클라이언트가 지원하는 암호화 방식들: 클라이언트와 서버가 지원하는 암호화 방식이 서로 다를 수 있기 때문에, 

상호간에 어떤 암호화 방식을 사용할 것인지에 대한 협상을 한다. 

이 협상을 위해서 클라이언트 측에서 자신이 사용할 수 있는 암호화 방식들을 전송한다.

iii. 세션 아이디: 이미 SSL 핸드쉐이킹을 했다마면 비용과 시간을 절약하기 위해서 기존의 세션을 재활용 하게 되는데,

이 때 사용할 연결에 대한 식별자를 서버측으로 전송한다.

 

b. 서버는 Client hello에 대한 응답으로 Server hello를 하게 된다.

i. 서버 측에서 생성한 랜덤 데이터: 대칭키 값을 생성하는데 사용된다.

ii. 서버가 선택한 클라이언트의 암호화 방식: 클라이언트가 전달한 암호화 방식 중에서 서버 쪽에서도 사용할 수 있는

암호화 방식을 선택해서 클라이언트로 전달한다.

iii. SSL 인증서

 

c. 대칭키 값(= session key )은 어떻게 만들어 지는가?

클라이언트는 전달받은 서버의 랜덤 데이터와 본인이 생성한 랜덤 데이터를 조합해서 pre master secret를 생성한다.

생성한 pre master secret는 공개키 방식으로 암호화 해서 서버로 전송한다.

서버와 클라이언트는 모두 일련의 과정을 거쳐 pre master secret 값을 master secret 값으로 만든다.

Master secret는 session key를 생성하는데, 이 session key 값을 이용해 서버와 클라이언트는 데이터를 대칭키 방식으로 암호화 한다.

 

2. Session( 세션 )

- 실제로 서버와 클라이언트가 데이터를 주고 받는 단계

- 정보를 상대방에게 전송하기 전에 session key 값을 이용해서 대칭키 방식으로 암호화 한다.

 

3. Session end( 세션 종료 )

- 데이터의 전송이 끝나면 SSL 통신이 끝났음을 서로에게 알려준다.

- 통신에 사용한 대칭키인 세션키를 폐기한다.

 

▷ 다시 한번 짚고 가기!

그냥 공개키를 사용하면 될 것을 대칭키와 공개키를 조합해서 사용하는 이유는 무엇을까? 그것은 공개키 방식이 많은 컴퓨터 파워를 사용하기 때문이다. 만약 공개키를 그대로 사용하면 많은 접속이 몰리는 서버는 매우 큰 비용을 지불해야 할 것이다. 

반대로 대칭키는 암호를 푸는 열쇠인 대칭키를 상대에게 전송해야 하는데, 암호화가 되지 않은 인터넷을 통해서 키를 전송하는 것은 위험하기 때문이다. 그래서 속도는 느리지만 데이터를 안전하게 주고 받을 수 있는 공개키 방식으로 대칭키를 암호화하고, 

실제 데이터를 주고 받을 때는 대칭키를 이용해서 데이터를 주고 받는 것이다.

 

 

SSL 사용

인증서 구입 및 웹서버 셋팅에 대한 내용은 아래 참조내용에 생활코딩 강의를 참조하자.

 

 

---

Thanks for 🙈

• 생활코딩: HTTPS와 SSL 인증서
• SSL이란
• SSL이란 무엇인가?