- 다이제스트 인증에 대한 옳은 설명을 모두 고르시오.
A) 비밀번호를 네트워크를 통해 보내지 않는다.
B) 클라이언트는 서버에게 비밀번호의 요약을 보내야 한다.
C) 요약은 양방향 함수로 동작한다.
D) 난스를 비밀번호에 섞으면 난스가 바뀔 때마다 비밀번호도 바뀌게 만들어준다.
📄 답지
- A, B
C - 요약은 단방향 함수로 동작한다. (단방향 함수의 예: MD5) p.334
D - 난스를 비밀번호에 섞으면 난스가 바뀔 때마다 요약도 바뀌게 만들어준다. 비밀번호 요약은 특정 난스 값에 대해서만 유효하기 때문에 난스가 변화하면 재전송 공격을 막을 수 있다. p.335
- 빈칸에 들어갈 단어를 알맞게 선택하시오.
<보기> A1, A2, H(d), KD(s,d)
✔______는 데이터의 MD5를 계산한다.
✔______는 연결된 비밀 데이터와 일반 데이터의 MD5를 계산한다.
✔___는 보안 정보를 담고 있는 데이터 덩어리이다.
✔___는 비밀이 아닌 속성을 담고 있는 데이터 덩어리이다.
📄 답지
- H(d), KD(s,d), A1, A2
단방향 해시 함수 H(d)는 데이터의 MD5를 계산한다.
요약 함수 KD(s,d)는 콜론으로 연결된 비밀 데이터와 일반 데이터의 MD5를 계산한다.
비밀번호 등 보안 정보를 담고 있는 데이터 덩이를 A1이라 칭한다.
요청 메시지의 비밀이 아닌 속성을 담고 있는 데이터 덩어리를 A2라 칭한다.
p.338
2. 클라이언트가 새 WWW-Authenticate 인증요구를 기다리지 않고 올바른 난스를 취득할 수 있는 방법에 대한 옳은 설명을 모두 고르시오.
A) 서버는 Authentication-Info 성공 헤더를 통해 다음 난스 값을 미리 제공할 수 있다. ex) Authentication-Info: nextnonce=<난스 값>
B) 난스를 제한적으로 재사용하는 경우 재전송 공격이 성공하기 쉬워지므로 보안성이 감소된다.
C) 난스 생성 알고리즘을 사용하면 제3자가 예측하기 쉬워지므로 보안성이 감소된다.
📄 답지
- A, B
C - 제3자가 쉽게 예측할 수 없는 공유된 비밀키에 기반하면서, 클라이언트와 서버가 순차적으로 같은 난스를 생성할 수 있도록 시간적으로 동기화된 난스 생성 알고리즘을 사용하는 것도 가능하다. p.344
- qop 필드는 요약 헤더의 세 가지 헤더
__________,__________,__________에 모두 존재할 수 있다.
📄 답지
- WWW-Authenticate, Authorization, Authentication-Info p.346
- 서버는 한 리소스에 대해 여러 인증을 요구할 수 있다. 다중 인증 요구가 있을 때, 클라이언트는 반드시 자신이 지원할 수 있는 가장 강력한 인증 메커니즘을 선택해야 한다. (O/X)
- 요청의 요약이 맞지 않으면 로그인이 실패했음을 기록하는 것이 좋다. (O/X)
📄 답지
- O p.348
- O 반복된 실패는 공격자가 비밀번호 추측일 시도하고 있음을 의미한다. p.348
- 다이제스트 인증 비밀번호 파일이 유출되면 영역의 모든 문서는 즉각 공격자에게 노출된다. 이 문제를 완화하는 방법은?
📄 답지
- 비밀번호 파일이 평문으로 된 비밀번호를 포함하고 있다고 생각하고 안전하게 보호한다.
- 비밀번호 파일이 유출되더라도 피해를 특정 영역으로 국소화한다.
p.353