이거 가능한건지 한번 봐주세요 .. https 인증서 관련

김제연   
   조회 983   추천 0    

 클리앙에 댓글로 달린 내용입니다.


통신 내용은 못 보지만 전국민이 어딜 접속하는지는 얼마든지 로깅이나 DB화 할 수 있어요.

그러니깐 님이 언제 어디서 어느 사이트에 몇시간 이용했다 이거 다 알 수 있다구요.

전국민이 어디 접속하는지 실시간으로 알 수 있게 되죠.

법율적으로 완벽하게 감청 행위에 해당하죠.

이게 그렇게 간단해 보이나요??


그리고 여기서 조금만 더 나가서 한글 윈도우는 정부가 root ca에요.

정부가 인증서 만들어서 중간에 끼어들면 내용 까보는 것도 불가능 하지 않죠.


제가 궁금한건 root ca 관련 부분인데요 .. 

저사람 말데로 https 통신중 정부가 인증서를 만들어서 중간에 암호화된 https 내용을 

볼 수가 있는건가요? 어떤 방식으로 가능한건지요 ? 전 안될꺼 같은데 .. 저렇게 

답변을 해놨는데 .. 네트워크쪽 잘 아시는분들 아시면 답변 부탁 드리겠습니다.

root ca 라는게 만능도 아니고 ... https 내용을 마음데로 볼수 있다니 .. 신세계인듯?

짧은글 일수록 신중하게.
TRUE 02-12
대한민국정부에서는 어렵겠지만 NSA에서는 가능하지 않을까요?
dragoune 02-12
그럼 영문윈도우 깔아서 언어셋을 한국어로 변경해서 사용하면 되겠네요...;
저런거 안해봐도 어차피 목적지 IP 나오니까 어느 사이트 이용하는지는 알 수 있을 것 같습니다만....
김상혁2 02-12
불가능한건 아닐거에요
예를들어, Fiddler같은 프록시방식의 디버깅툴에서 볼 수 있듯이 Root CA를 프록시 클라이언트에 설치하고 Fiddler 툴로 https패킷을 재패킹하여 전송하기때문에 중간에서 스니핑&디버깅이 가능합니다.
정부가 나서서 스니핑을 하겠다하면, 모든 통신사의 https 프로토콜의 hand shake과정(물론 통신사의 협조하에..) 에서 인증서를 교체하고 패킷을 Relay 해주는식으로 감청을 한다면 완전히 불가능한건 아닌것으로 보입니다..
     
조용원 02-12
+1
     
김제연 02-12
이건 저도 fiddler 를 써봐서 알고 있는데 ..
컴퓨터에 깔아서 자기꺼니까 가능한줄 알았는데 ..
중간 단계에서 .. 저걸 셋팅해놓으면 빼는게 가능한가요?
그렇다면 http도 뚫을 필요 없이 중간 단계에 저런 기능 하는것만 있으면
안에 내용 보는건 일도 아니겠네요..
          
김상혁2 02-12
http는 암호화 전송이 아니니, 중간에 패킷감청만 가능하다면 평문으로된 데이터를 바로 수집이 가능하겠죠..
브라우저에서 간혹 https사이트중에 암호화되지않았다는 경고창을 보시면 https에 사용된 인증서가 최상위 인증기관 (Global Sign CA, VerSignCA, Comodo CA)에서 인증받지 않은 로컬에서 Sign한 자체 인증서(Fiddler같은경우)를 사용한 경우이거나 인증서가 만료되었거나 입니다.
Fiddler에서 사용한 인증서는 테스트인증서(최상위 인증기관에서 발급받지않은 로컬에서 인증) 이므로 사용자가 직접 클라이언트에 설치하여 신뢰할 수 있는 루트인증서로 사용하게 되는것이지요..
https호스팅에서는 Root CA와 체인 인증서들이 존재하는데, 웹서버 호스트에서 https프로토콜을 암호화하는 인증서는 Root CA를 통해 발급된 체인 인증서입니다.
말그대로, Root CA에서 파생되어진 인증서들로 https서버 암호화에 쓰여집니다.
https프로토콜은 CONNECT라는 명령으로 서버에 설치되어있는 인증서로 Handshake하는 과정에서 클라이언트 컴퓨터에 설치된 루트인증서에 종속 (인증된 인증서가 맞는지 확인하는)되어있는 신뢰할 수 있는 인증서인지를 먼저 판단 후 통신하게됩니다.
단순히 Root CA만 있다고해서 감청이 되는것은 아니고 클라이언트와 통신할 인증서의 개인키또한 보유하고있어야 가능한 일일테구요,
이 과정에서 실제 최상위 기관에서 발급되어진 인증서를 가지고 통신사 또는 국가기관에서 패킷Relay를 한다면 불가능한 일은 아니겠지요..
다만, 이러한 과정을 해커집단이나 개인이 쉽게 할 수있는 부분은 아니니, 국가기관처럼 영향력있는 집단에서 수행한다면 그저 없는일이라고만 할 수는 없는 것으로 보입니다.
송주환 02-12
중국이 이미 인증서 위조, 유출된 인증서로 MITM 공격하다 걸린 전적이 있죠.
중국몽 함께하시겠다던 분이 떠오릅니다.
Villanus 02-12
전례가 있습니다. 터키였나 시리아였나 리비아였나요. 정부CA로 유명사이트의 가짜인증서를 만들어 https트래픽을 감청한적이 있습니다.
이것때문에 크롬같은경우 certificate pinning기법이 도입되어서 구글도메인의경우 특정CA가 발급한 인증서가 아니면 경고창을 띄워주죠.
IE에서도 EMET의 지원이 공식적으로 지원이 끝났지만 마찬가지방법으로 pinning을 지원하니 본문내용이 걱정되시면 EMET를 설정해주시면 됍니다.
개인적이지만 저는 가장중요한 시스템에서는 KISA루트인증서를 비신뢰리스트에 넣어놨습니다.
(KISA를 못믿어서가 아니라 하위기관의 인증서 관리정책을 믿을수가 없어서 넣은것입니다.)
페선생 02-12
세상에 안 뚧히는건 없습니다.. 그건 나만 못뚧는 자는 안 뚧힌다고 믿을 뿐..




QnA
제목Page 4319/4502
2014-05   2826151   정은준1
2014-04   2526963   회원K
2003-03   8861   김용기
2003-03   10706   김영하
2003-06   9419   조경훈
2003-03   9478   은대영
2003-03   10823   이석
2003-03   11200   천성일
2003-03   12038   천성일
2003-03   10285   김도형
2003-03   11722   김용수
2003-03   9626   전영근
2003-03   10683   김주희
2003-03   11567   김석종
2003-03   10612   권태규
2003-03   9565   배기만
2003-03   10924   오세진
2003-06   11670   조경훈
2003-03   11030   박영희
2003-03   10746   김영하
2003-03   10582   이경환
2003-03   11221   이병철