O 연방정보기술안정청(Bundesamts für Sicherheit in der Informationstechnik, BSI)은 2013년 11월 10일 ‘TLS 프로토콜(TransportLayer Security Protocol)’을 이용한 전송포트의 암호화를 위한 최저기준을 공개
TLS 1.2로 전환할 것을 권고
TLS(Transport Layer Security)는 인터넷 프로토콜 암호화 규격으로, 예전에는 SSL(Secure Sockets Layer)이 사용되었지만 현재는 TLS가 대세이다. SSL 2.0 이하는 보안에 약간의 문제가 있는 것으로 알려져 있다. |
O 최저기준의 정의
- TLS 프로토콜을 이용한 전송포트의 암호화를 위해서 연방행정기관에서는 완전 순방향 비밀성(Perfect Forward Secrecy,PFS)’과 결합한 프로토콜 TLS 1.2 가 연방정보기술안전청법 제8조 제1항 제1문에 의하여 통신표시의 양쪽에서 최저기준으로 규정된다. 이러한 요건을 갖춘 인증된 제품이 있는 경우 여기에 우선적으로 적용된다.
PFS (Perfect Forward Secrecy)라 불리는 이 암호화 기술은 서버와 사용자 간의 트래픽을 암호화하고 서버의 개인키가 유출되더라도 암호화된 정보를 해독할 수 없는 기술로, 서버와 앱 그리고 웹 브라우저간 별도 세션을 구성하는 구조라서 각 세션 키를 알아내지 못하는 이상 암호 해독이 불가능하다고 한다. |
O SSL 프로토콜은 버전 1.0, 20. 3.0이 존재한다. 버전 1.0은 공개되지 않았다. TLS의 특별표준은 IETF(Internet Engineerng Task Force)에 의해서 공개논의과정에서 표준화되었다. TLS 1.0은 SSL 3.0의 업그레이드 버전이다. 또한 TLS 프로토콜의 경우 버전 1.1과 버전 1.2에서 안전성이 확보되었다.
O 2011년 이후 SSL/TLS에 대한 공격이 알려지고 있다(예를 들어 beast, 범죄). TLS 1.1과 TLS 1.2에서 취약점이 제거되었다. 2013년에는 암호화알고리즘의 취약점들이 블록 암호화(Block Ciper)에 대한 공격으로 알려져 있다. 이 취약점들은 현재 TLS 1.2에서만 제거되고 있다.
출처: 인터넷 법제동향 제74호(KISA)
'정보보호' 카테고리의 다른 글
| 정보보호조치에 관한 지침 (0) | 2014.05.03 |
|---|---|
| 보안솔루션 영역별 보안요건3 (0) | 2014.05.02 |
| 보안 솔루션 영역별 보안요건2 (0) | 2014.05.01 |
| 보안 솔루션 영역별 보안요구사항1 (0) | 2014.04.30 |
| 정보보호 관리체계 인증 기준 (0) | 2013.12.26 |