http 를 https로 만들기 위한 노력(이론)




http와 https

http는 hypertext transfer protocol : hypertext인 html(=웹을 작성하는 언어)을 전송하기 위한 통신 규약

https는 s=secure로 보안이 강화된 http라고 할 수 있다.

http로 통신(서버-클라이언트 사이의 정보 교류)을 할 때는 정보가 암호화가 되지 않음으로, 중간에 제 3자가 정보를 가로채기 쉽지만(로그인 아이디나 비밀번호가 제 3자에게 공개될수 있음)

https는 통신할 때 암호화 되서 정보가 넘어가기 때문에 중간에서 가로채기 어렵다.(가로채더라도 암호화 되어있어서 무슨 말인지 알 수 없다)

https와 ssl

거의 같지만 HTTPS도 SSL 프로토콜(=통신규약) 위에서 돌아가는 프로토콜(=통신규약)이다.(?)

암호화 방법

(여기서 나오는 '키'라는 말을 자물쇠를 여는 '키'라기 보다, 암호 체계라고 이해하는게 더 이해하기 쉬웠다_개인적인 생각)

대칭키 방식

=>보안이 완벽하지 않음

서버와 클라이언트가 암호화하고 복호화(암호해석) 하는데 a라는 같은 키를 사용하는 것

서버가 클라이언트에게 a라는 키를 넘겨줘야 하는데 이 과정에서 제 3자가 키 a를 가로챌 위험이 있음.

컴퓨터 자원을 많이 사용하지 않는다(메모리 아낀다)

공개키 방식




a 키로 암호화 하면 b키로 복호화(암호를 해석)

b 키로 암호화 하면 a키로 복호화 할수 있는 방식




키의 종류가 2개가 되는데 하나는 공개키(public key), 다른 하나는 비공개 키(private key) 라고한다.(예를들어 a는 공개키 b는 비공개키)

a키가 암호화 한것은 b키가 풀 수 있고

b키가 암호화 한 것은 a 키가 풀 수 있다.

a키가 암호화 한 것을 a키가 풀수 없다 .이것이 대칭키 방식과 가장 큰 차이

그리고 공개키 방식은 컴퓨터 자원을 많이 사용한다(메모리를 많이 먹는다)

비공개 키는 자신이 가지고 있고(주로 서버), 공개키를 타인에게 제공(주로 클라이언트)한다.

'제공'하는  과정에서 공개키가 제 3자에게 유출될 가능성이 있지만, 공개키가 있더라도 클라이언트->서버 의 정보는 알 수 없다.(클라이언트의 공개키로 만들어진 암호화된 정보는 공개키로는 복호화 할 수 없기 때문, 서버의 비공개키로만 복호화가 가능하다.)

ex)단계

네이버의 로그인 페이지에 들어간다

네이버 : 공개키를 유저에게 준다

유저 :  공개키를 받는다.

=>이 과정에서 공개키가 유출될 가능성이 있지만, 위에 말했다시피 공개키는 ‘암호화’ 만 가능해서 (클라이언트->서버)정보가 유출될 수 없음

=>뒤에 나오겠지만, 이렇게 서로 키를 주고 받은 상태를 '세션'이라고 한다.

유저 : 로그인 정보 입력 -> 공개키를 통해 암호화 ->네이버에게로 전송

=>공개키를 통해 암호화된 정보는 암호화 되었기 때문에 제 3자가 정보를 알아내기 힘듬

=>공개키를 가로챘다고 하더라도, 공개키는 암호화만 가능하기 때문에 소용이 없음

암호화된 정보를 받은 네이버

=>비공개 키를 이용해 사용자의 정보를 복호화, 유저의 아이디와 패스워드를 검사.

ssl 인증서와 CA(인증서 회사)

인증서의 기능

1. 클라이언트가 접속한 서버가 신뢰 할 수 있는 서버임을 보장한다.
2. SSL 통신에 사용할 공개키를 클라이언트에게 제공한다.

CA(인증서 회사)

CA(Certificate authority) 의 약자이다.

클라이언트가 접속한 서버가 클라이언트가 접속하려고 했던 서버가 맞는지 보장해주기 위해 인증서가 필요하다.(비슷하게 만든 해킹용 사이트일 수 있는 가능성이 있다.)

인증서에는 서버와 통신을 할 때 사용할 공개키와 그 공개키의 암호화 방법들의 정보를 담고 있다. 

인증서가 쓰이는 타이밍 : 

처음에 www.naver.com에 접속하게 된다면, 유저는 이 페이지가 안전한 지 알 수 없다. 여기서 유저가 사용하는 컴퓨터의 웹 브라우져는 naver의 서버에 암호화된 페이지와 인증서를 요청한다

(암호화된 페이지를 요청하는 이유 : 이후로 내가 www.naver.com에서 하는 활동들이 제3자에게 공개되지 않기 위해 ex)검색, 로그인 등등)

그러면 www.naver.com 서버는 www.naver.com이 안전하다고 증명하는 인증서와 암호화된 웹 페이지를 전달해 준다.

웹 브라우저는 인증서를 통해, 이 사이트가 믿을만한 사이트인지 가려낸다.

웹 브라우저 자체에서 어느 CA가 믿을 만 한지 이미 알고 있기 때문에, 가려내는 것이 가능하다.

인증서의 내용은 CA(인증서를 만드는 회사)에 의해 암호화 되어있다.공개키 방식, 서비스의 도메인과, 서버의 공개키같은 중요한 정보가 들어있기 때문이다.

인증서의 내용은 CA에 의해서 암호화 된다. 이 때 사용하는 암호화 기법이 공개키 방식이다.

CA는 자신의 CA 비공개키를 이용해서 서버가 제출한 인증서를 암호화한다.(그러니까 서버와 클라이언트 말고 CA도 자신의 인증키를 가진다)

웹 브라우져는 해당 ca의 공개키를 가지고 있다. 이미 가지고 있는 공개키를 통해, 암호화 된 인증서를 복호화 한다.

SSL의 동작방법

결론부터 말하면 SSL은 암호화된 데이터를 전송하기 위해서 공개키와 대칭키를 혼합해서 사용한다.

즉 클라이언트와 서버가 주고 받는 실제 정보는 대칭키 방식으로 암호화하고

클라이언트가 서버에게 대칭키를 만들어서 넘겨주는데 이때 넘겨주는 방식은 공개키 방식이다.

• 실제 데이터 : 대칭키
• 대칭키의 키 : 공개키

실제로 무슨 일이 일어나는가

컴퓨터와 컴퓨터가 네트워크를 이용해서 통신을 할 때는 내부적으로 3가지 단계가 있다. 아래와 같다.

악수 -> 전송 -> 세션종료

1. 악수 (handshake)

가장 처음 일어나는 일. 클라이언트가 서버를 처음만났을 때.(서로 hello 하기)

클라이언트 hello, 서버 Hello, 세션키 만들기 이렇게 세가지 단계가 있다.

1. 클라이언트 Hello (클라이언트->서버 방향으로 데이터 전송)
1. 클라이언트 측에서 생성한 랜덤 데이터
2. 클라이언트가 지원하는 암호화 방식들(클라이언트가 쓸 수 있는 암호화 방식을 알려준다)
3. 세션 아이디 : 이미 SSL 핸드쉐이킹을 했다면 비용과 시간을 절약하기 위해서 기존의 세션을 재활용하게 되는데 이 때 사용할 연결에 대한 식별자를 서버 측으로 전송한다.(잘모르겠다면 넘어가자..!)
2. 서버hello(서버->클라이언트 방향으로 데이터 전송)
1. 서버 측에서 생성한 랜덤 데이터
2. 서버가 선택한 클라이언트의 암호화 방식(클라이언트가 보내준 것 중에서 선택)
3. 인증서(나는 안전한 사이트다)
3. 클라이언트가 서버의 정보를 받고 나서.
1. 서버의 인증서가 CA에 의해 발급된 믿을만 한 것인지 확인(확인방법, 브라우져에 내장된 CA회사들의 공개키를 이용해 복호화 해 본다. 성공한다면, 안전한 인증서, 그렇지 않다면 클라이언트에게 안전하지 않은 연결이라고 경고)
2. 클라이언트는 서버의 랜덤 데이터와 클라이언트가 생성한 랜덤 데이터를 조합해서 pre master secret라는정보를 생성한다.
3. pre master secret는 대칭키의 재료이므로 절대 제 3자에게 알려져서는 안된다.
4. 이 pre master secret을 서버가 보내준 인증서에 있는 '공개키'를 통해 암호화 하여 서버게에 보내준다
5. 서버와 클라이언트에게 key를 만들 동일한 재료가 안전하게 주어지고 서버와 클라이언트는 이 재료를 이용해 동일한 대칭키를 만든다.
6. pre master secret이라는 재료로 만든 key가 session key가 된다.
7. 핸드셰이크 단계 종료

2. 세션

세션은 실제로 서버와 클라이언트가 데이터를 주고 받는 단계이다.(클라이언트와 유져가 약속에 의해 연결된 상태)

이 단계에서는 클라이언트와 서버가 가지고 있는 대칭키를 통해, 정보를 주고 받는다.

3. 세션종료

데이터의 전송이 끝나면 SSL 통신이 끝났음을 서로에게 알려준다. 이 때 통신에서 사용한 대칭키인 세션키를 폐기한다.

추가

웹 통신의 과정

1. [웹브라우저] SSL로 암호화된 페이지를 요청하게 된다. (일반적으로 https://가 사용된다)

2. [웹서버] Public Key를 인증서와 함께 전송한다.

3. [웹브라우저] 인증서가 자신이 신용있다고 판단한 CA(일반적으로 trusted root CA라고 불림)로부터 서명된 것인지 확인한다. (역주:Internet Explorer나 Netscape와 같은 웹브라우저에는 이미 Verisign, Thawte와 같은 널리 알려진 root CA의 인증서가 설치되어 있다) 또한 날짜가 유효한지, 그리고 인증서가 접속하려는 사이트와 관련되어 있는지 확인한다.

4. [웹브라우저] Public Key를 사용해서 랜덤 대칭 암호화키(Random symmetric encryption key)를 비릇한 URL, http 데이터들을 암호화해서 전송한다.

5. [웹서버] Private Key를 이용해서 랜덤 대칭 암호화키와 URL, http 데이터를 복호화한다.

6. [웹서버] 요청받은 URL에 대한 응답을 웹브라우저로부터 받은 랜덤 대칭 암호화키를 이용하여 암호화해서 브라우저로 전송한다.

7. [웹브라우저] 대칭 키를 이용해서 http 데이터와 html문서를 복호화하고, 화면에 정보를 뿌려준다.

간단하게 암호화된 파일을 만드는 방법

openssl genrsa -out private.pem 1024; =>비공개키 생성 이름은 private.pem 길이는 1024 bit openssl rsa -in private.pem -out public.pem -outform PEM -pubout; =>rsa 방식 private.pem 이라는 비공개 키에 대한 public.pem이라는 공개 키




echo 'coding everybody' > file.txt =>coding everybody 라는 문자가 들어있는 file.txt 파일을 만듬

file.txt의 내용을 rsa방식으로 암호화한 file.ssl 파일 생성, 사용된 공개키는 public.pem

정보 : file.txt 방식:rsa 공개키:public.pem  암호화된 파일 이름:file.ssl

=>openssl rsautl -encrypt -inkey public.pem -pubin -

출처 : 

https://opentutorials.org/course/228/4894

https://wiki.kldp.org/HOWTO/html/SSL-Certificates-HOWTO/x70.html