OpenSSL
-
Windows XP 기술 지원 종료 이슈보다 더 크게 다가올 수 있는 인터넷 보안 통신 구멍이 될 가능성이 높은 OpenSSL 버그(HeartBleed 버그)Security 2014. 4. 10. 16:02
음.. OpenSSL TLS HeartBeat Read Overrun 버그가 발견되었다고 한다. 이 내용에 대해서는 먼저 [여기]서 내용을 확인했고 정리를 했다. 내용을 간단히 정리하면 TLS HeartBeat Extension(확장모듈)이 입력값에 대한 제한(경계, Boundary)이 없어서 서버로부터 64kb씩 메모리 내용을 계속 읽어올 수 있다는 것이다. 즉, 서버의 메모리 내용을 읽어올 수 있다는 얘기인데 이게 왜 문제가 되는가 하면 서버의 메모리를 계속 읽다 보면 서버에 저장된 암/복호화 키도 같이 노출될 수 있다는데 그 문제가 있다는 얘기다. 그런데 이게 왜 문제가 될까? 왜 MS의 Windows XP 기술 지원 종료 이슈보다 더 문제가 될 수 있다고 했을까? 국내의 경우에는 인터넷 뱅킹이나 ..
-
구글, 오픈소스 암호화 API인 keyCzar 공개Security 2008. 8. 12. 14:10
구글이 오픈소스 암호화 툴인 keyCzar를 구글 코드 사이트를 통해서 공개한다고 한다. Keyczar는 개발자들이 많이 사용하는 OpenSSL과 같은 암호화 플랫폼이다. keyCzar는 원래 구글 보안팀에서 만들었다고 한다. 그리고 아파치 라이센스를 적용받는다. 일단 keyCzar 홈페이지에 나와있는 특징으로는 다음과 같다.API 구현이 간단하다.키의 순환 및 버전관리가 용이하다.기본 알고리즘 및 모드, 키의 길이 등이 모두 안전하다.초기화 벡터 및 암호화된 사인 생성이 자동화 되었다.자바와 파이썬에 적용된다(곧 C++에도 적용된다).자바에서 다국어 지원이 가능하다. 개발자들은 프로그램을 만들때 보안을 위해 많은 암호화 툴을 이용하곤 한다. 위에서 언급한 OpenSSL은 그동안 수많은 개발자들의 애용하..