SSL 이란 Security Socket Layer 의 약자로 Netscape에서 서버와 브라우저 간 보안을 위해 만든 프로토콜이다. SSL은 CA(Certificate Authority)라 불리는 서드 파티로부터 서버와 클라이언트의 인증을 하는데 사용된다. 서버와 클라이언트 간의 통신 과정은 다음과 같다.
(1) 클라이언트가 SSL로 암호화된 페이지를 요청한다(https)
(2) 서버는 Public key를 인증서와 함께 전송한다.
(3) 클라이언트는 인증서가 Trusted root CA(인증기관)로부터 서명된 것인지, 날짜 등이 유효한지를 확인한다.
(4) 인증을 확인한 클라이언트는Public key로 URL, http 데이터들과 자신의 대칭키을 암호화하여 전송한다.
(5) 서버는 인증서에 대한 Private key로 요청을 복호화하고 전달받은 대칭키로 응답을 암호화해서 전송한다.
(6) 브라우저는 대칭키로 응답을 복호화해서 사용자에게 보여준다.
이렇게 대칭키를 공개키 암호화방식으로 암호화해서 전송한 후 대칭키로 통신하는 프로토콜을 SSL 방식이라고 한다.
이 과정에서 사용되는 서명(Signing)이란 특정 메시지를 작성했다는 것을 인증하는 역할이다. 서명의 과정은 다음과 같다.
(1) 해쉬 생성
(2) Private key로 해쉬 암호화
(3) 암호화된 해쉬와 서명된 인증서를 메시지에 추가
(4) 받는 사람은 따로 해쉬를 생성
(5) 받은 메시지에 포함된 해쉬를 Public key를 이용해서 복호화
(6) 4, 5번 과정에서 생성된 해쉬를 비교한다.
다음은 이 과정을 정리한 SSL 의 워크플로우를 나타낸 그림이다. 아래의 그림에서 1, 2, 3번 과정은 위의 설명 이전의 과정이 된다.
이처럼 SSL은 공개키로 대칭키를 전달하고 실제 암호화 및 해독 작업은 대칭키로 하여 비용과 안정성 측면에서 이점을 갖는 표준 보안 방식을 말한다. 공개키 암호화 방식은 대칭키 암호화 방식보다 훨씬 안정적이지만 속도가 훨씬 느리다.
사이트에 대한 인증서 문제는 요청한 사이트가 ‘진짜’ 인지를 인증기관을 통해 검증받기 위해서 생긴다. 인증받은 신뢰할 수 있는 사이트의 경우 SSL 통신이 진행된다.
'Server > Security' 카테고리의 다른 글
| JWT(JSON Web Token) 란? 사용을 위한 예제 (2) | 2019.08.18 |
|---|---|
| HTTP vs HTTPS 차이점 알아보기 (0) | 2019.08.07 |
| Hash Algorithm(해시 알고리즘)의 정의와 Encryption Algorithm(암호화 알고리즘) 과의 차이 (0) | 2018.12.12 |
| SQL Injection 의 방법들과 대응방안 (0) | 2018.09.30 |
| Open ID 와 OAuth 인증에 대하여 (0) | 2018.08.10 |