3과목] 어플리케이션 보안 - 3) OTP, 전자상거래, 전자화폐, 전자입찰, 전자투표

1. OTP(one Time Password)

 -사용시마다 매번 바뀌는 일회성 암호.

 -생성원리

1)연계정보 생성

->연계정보: 생성가능한 난수(시간 정보와 해쉬를 활용한 난수 생성 등)

->조건: 연계정보는 생성할 때마다 다른 값을 가져야 한다.(일회성)

2)암호문 생성

->생성 알고리즘을 이용해 암호문을 생성한다. //암호문이 정확히 무엇을 나타내는지는 안나와있음.

->생성알고리즘에는 HMAC-SHA1, AES, HIGHT 등이 있다.

->조건: 생성 알고리즘은 동일한 연계정보에 대해 동일한 암호문이 생성되야 한다.

3)일회용 패스워드 추출

->패스워드 추출 알고리즘을 이용해, 암호문에서 일회용 패스워드를 추출한다.

->조건: 패스워드 추출 알고리즘은 동일한 암호문에 대해 동일한 일회용 패스워드가 추출되야 한다.

//동일한 조건에서 동일한 값이 나와야 하는건, 

OTP가 OTP발생기와 인증서버 각각 동일한 조건에서 동일한 패스워드 생성한 뒤 이를 비교하는 것으로

인증되는 방식이기 때문 ... 아직까지 이건 추측.

 -일회용 패스워드 추출 알고리즘

1)정적

->추출 정보를 미리 지정하여 데이터를 추출.

->예시

*미리 지정된 인덱스 0 위치에서 일회용 패스워드를 추출한다.

2)동적

->추출 정보를 암호문 내의 값으로 지정하여, 그 값이 가리키는 위치의 값을 일회용 패스워드로 추출.

->예시

*암호문의 끝의 값인 0x4D의 하위 바이트인 0xD를 추출정보로 지정.

**일회용 패스워드는 6자리 이상의 숫자 또는 문자.

 -OTP방식 비교

 

 -OTP 공격 유형: OTP 재입력 대기시간을 이용해, OTP 번호를 가로채어 대신 입력. 

2.전자상거래 프로토콜

 -시스템

1)전자화폐 시스템

->독립적인 신용구조를 가진 전자적 지불수단.

->ECash, NetCash, Milicent, IC카드형 - Mondex.

2)지불브로커 시스템(Payment Broker System)

->신용카드나 은행계좌를 이용한 지불수단.

->SET, FV, NetCheque, Echeck.

 

3.전자화폐

 -분류

>지불시점

1)선불형

->거래가 이루어지기 전 인출.

->전자지갑형, 완전정보형 등.

2)후불형

->거래가 이루어진 후

->SET, 직불형 전자결제.

>거래방식

1)IC카드형

->IC카드에 화폐가지를 저장.

->소액결제에 적합.

->온/오프라인 모두 가능.

->초기 투자비용이 과다한 단점.

->Modex,  Visa cash, K-Cash

2)네트워크형

->전자지갑(소프트웨어) 이용.

->온라인 거래에 적합.

->초기투자비용 저렴.

->IC카드형에 비해 이용률 낮음.

->Milicent

>유통형태

1)폐쇄형

->상점에서 이용 후 즉시 발행 기관으로 돌아가는 형태.

->대부분 전자화폐가 폐쇄형.

2)개방형

->이용자에서 다른이용자로 유통되는 형태.

->보안 유지가 힘듬.

->Mondex가 대표적.

 -종류

1)Mondex

->IC카드형

->오프라인 시스템.

->현금 지불 + 카드 지불의 장점 결합.

->5개국 화폐를 저장 가능.

2)Visa Cash

->선불 카드 개념.

->11개국에서 사용 가능.

->소액 지불.

->재사용 가능여부로 나뉨.

3)PC Pay

->스마트 카드와 카드리더기로 구성.

->pin-pad는 불법접근을 차단.

->카드리더기에선 암호화 전송(DES)이 이뤄짐.

->innovonics 사에서 개발.

4)Milicent

->브로커, 상점, 고객으로 구성.

`브로커`

->고객과 상점 계정을 관리.

`상점`

->고객으로부터 스크립트를 받음.

->거스름 스크립 발행.

`고객`

->스크립 구매.

4.전자입찰 프로토콜

 -구성요소

1) 입찰자

2) 입찰공고자

3) 전자입찰 시스템

 -방식

1)LKR 방식

->안전한 전송로 구축 및 입찰자의 서명을 명시.

->입찰자의 신원 노출에 따른 입찰정보 노출의 가능성이 있음.

2)PL 방식

->입찰 공고자가 입찰자의 순서를 랜덤하게 선택.

->입찰 공고자와 입찰자의 공모를 막기 위함.

5.전자투표 프로토콜

 -방식

1)PSEV(Poll Site E-Voting)

->지정된 투표소에서 전자투표를 하는 방식.

->신뢰성 떨어짐.

2)키오스크(kiosk)

->무인 투표기(키오스크)로 투표하는 방식.

->공공망을 통하여 집계되므로, 이에 공격당할 가능성이 있다.

->편리성, 효율성이 좋다.

3)REV(Remote E-voting)

->인터넷 투표 방식.

->신뢰성 떨어짐.