SSL/TLS 이론

SSL & TLS ?

SSL과 TLS의 차이점은 무엇일까? 사실 SSL과 TLS는 같은 것이다. SSL은 암호화 통신 프로토콜로써, 넷스케이프에서 만들었다. SSL 3.0 버전부터 국제 표준화기구 IETF 표준으로 선정되어 TLS 1.0이되었다. 한마디로 SSL 3.0 = TLS 1.0 이다.

 

 

SSL에서 사용하는 암호화 종류

 

1. 대칭키

- 대칭키 암호화 방식은 암호화시에 사용하는 암호화키, 복호화시 사용하는 복호화키가 동일한 방식이다.

- 암호화 연산 속도가 굉장히 빠르다는 장점이 있다.

- 키 전달 및 관리를 굉장히 신경써서 해야하며, 키가 노출되는 순간 정보가 다 노출되는 굉장히 보안이 약한 방법이다.

- 예전에는 DES 방식을 주로 사용했지만 요즘은 AES 방식이 사용된다.

암호화, 복호화 키 동일

 

2. 공개키 (비대칭키)

- 공개키 암호화 방식은 한 쌍의 키가 존재하여 하나는 특정 사람만이 가지는 개인키 (비밀키)이고, 다른 하나는

누구에게나 공개할 수 있는 공개키로 이루어진다.

- 개인키로 암호화 한 정보는 그 쌍이 되는 공개키로만 복호화 가능하고, 반대로 공개키로 암호화 한 정보는

그 쌍이 되는 개인키로만 복호화 할 수 있다. 즉, 공개키 암호화 방식은 암호화, 복호화 시 키가 서로 다르기에

비대칭키 암호화 방식이라고도 한다.

- 암호화, 복호화를 위해 복잡한 수학 연산을 하기에 대칭키에 비해 속도가 느리다.

- 대칭키 암호의 장점과 공개키 암호의 장점을 채택하여 용량이 큰 정보는 대칭키로 암호화하고, 암호화에 사용된 대칭키는 공개키로 암호화하여 대상에게 전달하는 하이브리드 암호화 방법이 일반적으로 활용된다.

암호화, 복호화 키 서로 다름

 

 

SSL 통신 과정

 

1. 웹 서버에서는 자신의 SITE정보 & SITE 공개키를 인증기관으로 제출. 이것이 요청파일이다.

2. 검증을 거친 후 인증기관은 사이트 정보 & 공개키를 인증기관 개인키로 암호화하여 인증서 제작

3. 사이트로 인증서를 발급

4. 인증 기관은 사용자에게 자신의 공개키를 제공. (브라우저에 내장되어 있음)

5. 사용자가 사이트로 접속 요청

6. 사이트는 발급받은 인증서를 전달

7. 사이트 정보 & 공개키 획득

8. 대칭키 획득

9. 획득한 사이트의 공개키로 자신의 대칭키를 암호화하여 전송

10. 사이트는 개인키로 해독하여 대칭키를 획득

11. 안전하게 전달된 대칭키를 이용해 암호화 통신을 주고 받음

 

요약

 

- 한 마디로 실제 통신 과정은 대칭키 방식을 사용하지만, 대칭키를 주고받기 위해 공개키 방식을 사용한다.

- 인증기관은 사이트의 공개키가 신뢰할 수 있는지 인증하는 역할을 한다.

(인증기관의 개인키로 사이트의 공개키를 전자서명 + 암호화한 것 = 인증서인데 이는 인증기관의 공개키로만

풀 수 있기에 인증기관에서 발급한 인증서가 신뢰할 수 있다고 판단할 수 있는 것)