IPsec VPN 보안 통신, TLS, PQC

IPsec VPN 보안 통신

Tunnel IP Header

Tunnel Header

Original IP Header

Payload

Tunnel Trailer

Tunnel Authenticatin

Original IP Header + Payload + Tunnel Trailer => Encryption

Tunnel Header + Original IP Header + Payload + Tunnel Trailer => MAC => Tunnel Authenticatin

- 원본 데이터 기밀성 보장 (공유된 암호화 키 이용하여 데이터 암호화)

- 데이터의 무결성 보장 (공유된 인증 키를 이용하여 MAC 생성 후 추가)

 

 

TLS (Transport Layer Security)

- 1995, Netscape -> SSL(Secure Socket Layer) 2.0, 1996 3.0 릴리즈

- SSL 3.0 기반으로 TLS 1.0 표준 (1999년 RFC 2246)

- TCP/IP 기반 전송 계층 종단간 보안 제공  * IPsec의 터널링은 라우터A~라우터B까지 보장

- TLS v1.2, v1.3이 주로 사용됨

- 현재까지는 호환성 이슈로 v1.2 많이 사용

 

TLS 1.3

- 핸드쉐이크 과정 단순화(빠른 연결)

- 안전하지 않은 레거시 암호 알고리즘 제거

- AEAD 알고리즘 허용

- Perfect Forward Secret 제공 

* Perfect Forward Secret: 키 값을 어떻게 얻었는데 이전 세션의 데이터를 얻을 수 없으면 퍼펙트 포워드 시크릿을 제공

* 키 C를 얻었는데 키 B, A를 얻을 수 없어야 한다는 뜻

 

TLS v1.2 예시

클라이언트가 처음에 SSL/TLS 버전, 제공 가능한 암호화 알고리즘, 난수, 세션 ID 같은 걸 보내면

서버는 뭐뭐 쓰라고 지정해줌

필요한 인증같은 걸 하고, (상호 인증 필요 시 서버가 클라이언트에 요청)

양쪽에 세션키 만들어지면 마지막에 만들어진 세션키로 암호화해서 보내고 잘 됐는지 확인

이후 보안 채널 생성

 

 

PQC (Post Quantom Cryptography)

- 현재 사용중인 공개키 암호 시스템은 양자 컴퓨터의 Shor 알고리즘에 의해 쉽게 해독됨

- 양자 컴퓨터가 등장하여도 안전한 암호 체계를 제공하는 암호 시스템

- 대칭키 암호, 암호학적 해시 알고리즘은 상대적으로 영향을 적게 받음 (키 길이 두배)

- KEM(Key Encapsulation Mechanism), Digital Signature 2개 용도 제공

 

동향

- NIST 표준 제정

    - KEM: CRYSTUALS-Kyber

    - Digital Signiture: CRYSTALS-Dilithium, FALCON, SPHINCS+

- KpqC (Korea PQC)

    - KEM: NTRU+, SMAUG-T

    - Digital Signature: AIMer, HAETAE