이거 가능한건지 한번 봐주세요 .. https 인증서 관련

업체홍보 more

쓰기

이거 가능한건지 한번 봐주세요 .. https 인증서 관련

김제연

2019-02

2019-02-12 16:17:20

조회 3474 추천 0

클리앙에 댓글로 달린 내용입니다.

통신 내용은 못 보지만 전국민이 어딜 접속하는지는 얼마든지 로깅이나 DB화 할 수 있어요.

그러니깐 님이 언제 어디서 어느 사이트에 몇시간 이용했다 이거 다 알 수 있다구요.

전국민이 어디 접속하는지 실시간으로 알 수 있게 되죠.

법율적으로 완벽하게 감청 행위에 해당하죠.

이게 그렇게 간단해 보이나요??

그리고 여기서 조금만 더 나가서 한글 윈도우는 정부가 root ca에요.

정부가 인증서 만들어서 중간에 끼어들면 내용 까보는 것도 불가능 하지 않죠.

제가 궁금한건 root ca 관련 부분인데요 ..

저사람 말데로 https 통신중 정부가 인증서를 만들어서 중간에 암호화된 https 내용을

볼 수가 있는건가요? 어떤 방식으로 가능한건지요 ? 전 안될꺼 같은데 .. 저렇게

답변을 해놨는데 .. 네트워크쪽 잘 아시는분들 아시면 답변 부탁 드리겠습니다.

root ca 라는게 만능도 아니고 ... https 내용을 마음데로 볼수 있다니 .. 신세계인듯?

짧은글 일수록 신중하게.



TRUE 2019-02 대한민국정부에서는 어렵겠지만 NSA에서는 가능하지 않을까요? 대한민국정부에서는 어렵겠지만 NSA에서는 가능하지 않을까요?



dragoune 2019-02 그럼 영문윈도우 깔아서 언어셋을 한국어로 변경해서 사용하면 되겠네요...; 저런거 안해봐도 어차피 목적지 IP 나오니까 어느 사이트 이용하는지는 알 수 있을 것 같습니다만.... 그럼 영문윈도우 깔아서 언어셋을 한국어로 변경해서 사용하면 되겠네요...; 저런거 안해봐도 어차피 목적지 IP 나오니까 어느 사이트 이용하는지는 알 수 있을 것 같습니다만....



김상혁2 2019-02 불가능한건 아닐거에요 예를들어, Fiddler같은 프록시방식의 디버깅툴에서 볼 수 있듯이 Root CA를 프록시 클라이언트에 설치하고 Fiddler 툴로 https패킷을 재패킹하여 전송하기때문에 중간에서 스니핑&디버깅이 가능합니다. 정부가 나서서 스니핑을 하겠다하면, 모든 통신사의 https 프로토콜의 hand shake과정(물론 통신사의 협조하에..) 에서 인증서를 교체하고 패킷을 Relay 해주는식으로 감청을 한다면 완전히 불가능한건 아닌것으로 보입니다.. 불가능한건 아닐거에요 예를들어, Fiddler같은 프록시방식의 디버깅툴에서 볼 수 있듯이 Root CA를 프록시 클라이언트에 설치하고 Fiddler 툴로 https패킷을 재패킹하여 전송하기때문에 중간에서 스니핑&디버깅이 가능합니다. 정부가 나서서 스니핑을 하겠다하면, 모든 통신사의 https 프로토콜의 hand shake과정(물론 통신사의 협조하에..) 에서 인증서를 교체하고 패킷을 Relay 해주는식으로 감청을 한다면 완전히 불가능한건 아닌것으로 보입니다..



조용원 2019-02 +1 +1



김제연 2019-02 이건 저도 fiddler 를 써봐서 알고 있는데 .. 컴퓨터에 깔아서 자기꺼니까 가능한줄 알았는데 .. 중간 단계에서 .. 저걸 셋팅해놓으면 빼는게 가능한가요? 그렇다면 http도 뚫을 필요 없이 중간 단계에 저런 기능 하는것만 있으면 안에 내용 보는건 일도 아니겠네요.. 이건 저도 fiddler 를 써봐서 알고 있는데 .. 컴퓨터에 깔아서 자기꺼니까 가능한줄 알았는데 .. 중간 단계에서 .. 저걸 셋팅해놓으면 빼는게 가능한가요? 그렇다면 http도 뚫을 필요 없이 중간 단계에 저런 기능 하는것만 있으면 안에 내용 보는건 일도 아니겠네요..



김상혁2 2019-02 http는 암호화 전송이 아니니, 중간에 패킷감청만 가능하다면 평문으로된 데이터를 바로 수집이 가능하겠죠.. 브라우저에서 간혹 https사이트중에 암호화되지않았다는 경고창을 보시면 https에 사용된 인증서가 최상위 인증기관 (Global Sign CA, VerSignCA, Comodo CA)에서 인증받지 않은 로컬에서 Sign한 자체 인증서(Fiddler같은경우)를 사용한 경우이거나 인증서가 만료되었거나 입니다. Fiddler에서 사용한 인증서는 테스트인증서(최상위 인증기관에서 발급받지않은 로컬에서 인증) 이므로 사용자가 직접 클라이언트에 설치하여 신뢰할 수 있는 루트인증서로 사용하게 되는것이지요.. https호스팅에서는 Root CA와 체인 인증서들이 존재하는데, 웹서버 호스트에서 https프로토콜을 암호화하는 인증서는 Root CA를 통해 발급된 체인 인증서입니다. 말그대로, Root CA에서 파생되어진 인증서들로 https서버 암호화에 쓰여집니다. https프로토콜은 CONNECT라는 명령으로 서버에 설치되어있는 인증서로 Handshake하는 과정에서 클라이언트 컴퓨터에 설치된 루트인증서에 종속 (인증된 인증서가 맞는지 확인하는)되어있는 신뢰할 수 있는 인증서인지를 먼저 판단 후 통신하게됩니다. 단순히 Root CA만 있다고해서 감청이 되는것은 아니고 클라이언트와 통신할 인증서의 개인키또한 보유하고있어야 가능한 일일테구요, 이 과정에서 실제 최상위 기관에서 발급되어진 인증서를 가지고 통신사 또는 국가기관에서 패킷Relay를 한다면 불가능한 일은 아니겠지요.. 다만, 이러한 과정을 해커집단이나 개인이 쉽게 할 수있는 부분은 아니니, 국가기관처럼 영향력있는 집단에서 수행한다면 그저 없는일이라고만 할 수는 없는 것으로 보입니다. http는 암호화 전송이 아니니, 중간에 패킷감청만 가능하다면 평문으로된 데이터를 바로 수집이 가능하겠죠.. 브라우저에서 간혹 https사이트중에 암호화되지않았다는 경고창을 보시면 https에 사용된 인증서가 최상위 인증기관 (Global Sign CA, VerSignCA, Comodo CA)에서 인증받지 않은 로컬에서 Sign한 자체 인증서(Fiddler같은경우)를 사용한 경우이거나 인증서가 만료되었거나 입니다. Fiddler에서 사용한 인증서는 테스트인증서(최상위 인증기관에서 발급받지않은 로컬에서 인증) 이므로 사용자가 직접 클라이언트에 설치하여 신뢰할 수 있는 루트인증서로 사용하게 되는것이지요.. https호스팅에서는 Root CA와 체인 인증서들이 존재하는데, 웹서버 호스트에서 https프로토콜을 암호화하는 인증서는 Root CA를 통해 발급된 체인 인증서입니다. 말그대로, Root CA에서 파생되어진 인증서들로 https서버 암호화에 쓰여집니다. https프로토콜은 CONNECT라는 명령으로 서버에 설치되어있는 인증서로 Handshake하는 과정에서 클라이언트 컴퓨터에 설치된 루트인증서에 종속 (인증된 인증서가 맞는지 확인하는)되어있는 신뢰할 수 있는 인증서인지를 먼저 판단 후 통신하게됩니다. 단순히 Root CA만 있다고해서 감청이 되는것은 아니고 클라이언트와 통신할 인증서의 개인키또한 보유하고있어야 가능한 일일테구요, 이 과정에서 실제 최상위 기관에서 발급되어진 인증서를 가지고 통신사 또는 국가기관에서 패킷Relay를 한다면 불가능한 일은 아니겠지요.. 다만, 이러한 과정을 해커집단이나 개인이 쉽게 할 수있는 부분은 아니니, 국가기관처럼 영향력있는 집단에서 수행한다면 그저 없는일이라고만 할 수는 없는 것으로 보입니다.



송주환 2019-02 중국이 이미 인증서 위조, 유출된 인증서로 MITM 공격하다 걸린 전적이 있죠. 중국몽 함께하시겠다던 분이 떠오릅니다. 중국이 이미 인증서 위조, 유출된 인증서로 MITM 공격하다 걸린 전적이 있죠. 중국몽 함께하시겠다던 분이 떠오릅니다.



Villanus 2019-02 전례가 있습니다. 터키였나 시리아였나 리비아였나요. 정부CA로 유명사이트의 가짜인증서를 만들어 https트래픽을 감청한적이 있습니다. 이것때문에 크롬같은경우 certificate pinning기법이 도입되어서 구글도메인의경우 특정CA가 발급한 인증서가 아니면 경고창을 띄워주죠. IE에서도 EMET의 지원이 공식적으로 지원이 끝났지만 마찬가지방법으로 pinning을 지원하니 본문내용이 걱정되시면 EMET를 설정해주시면 됍니다. 개인적이지만 저는 가장중요한 시스템에서는 KISA루트인증서를 비신뢰리스트에 넣어놨습니다. (KISA를 못믿어서가 아니라 하위기관의 인증서 관리정책을 믿을수가 없어서 넣은것입니다.) 전례가 있습니다. 터키였나 시리아였나 리비아였나요. 정부CA로 유명사이트의 가짜인증서를 만들어 https트래픽을 감청한적이 있습니다. 이것때문에 크롬같은경우 certificate pinning기법이 도입되어서 구글도메인의경우 특정CA가 발급한 인증서가 아니면 경고창을 띄워주죠. IE에서도 EMET의 지원이 공식적으로 지원이 끝났지만 마찬가지방법으로 pinning을 지원하니 본문내용이 걱정되시면 EMET를 설정해주시면 됍니다. 개인적이지만 저는 가장중요한 시스템에서는 KISA루트인증서를 비신뢰리스트에 넣어놨습니다. (KISA를 못믿어서가 아니라 하위기관의 인증서 관리정책을 믿을수가 없어서 넣은것입니다.)



페선생 2019-02 세상에 안 뚧히는건 없습니다.. 그건 나만 못뚧는 자는 안 뚧힌다고 믿을 뿐.. 세상에 안 뚧히는건 없습니다.. 그건 나만 못뚧는 자는 안 뚧힌다고 믿을 뿐..

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

3964/5716

번호	제목Page 3964/5716	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (736)	정은준1	2014-05	5203175	0
[필독] 처음 오시는 분을 위한 안내 (736) 2014-05 5203175 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234)	백메가	2015-12	1735817	25
(광고) 단통법 시대의 인터넷가입 가이드(… (234) 2015-12 1735817 1 백메가
35059	델 7920에 사용할 무선랜카드 추천 부탁드립니다. (10)	polecon	2024-11	781	0
델 7920에 사용할 무선랜카드 추천 부탁드… (10) 2024-11 781 1 polecon
35058	1대의 서버에 몇개의 ssl 인증서 운용하기 - 443포트 (13)	회원K	2015-09	19462	0
1대의 서버에 몇개의 ssl 인증서 운용하기… (13) 2015-09 19462 1 회원K
35057	Xpenology datastore IO 문의	푸하히	2017-10	3188	0
Xpenology datastore IO 문의 2017-10 3188 1 푸하히
35056	소주에 식초를 타면???? (15)	이선규	2015-09	15282	0
소주에 식초를 타면???? (15) 2015-09 15282 1 이선규
35055	메모리 pc3와 pc3l 같이 사용해도 나중에 문제 없을까요? (5)	handan	2014-05	6994	0
메모리 pc3와 pc3l 같이 사용해도 나중에 … (5) 2014-05 6994 1 handan
35054	바이오스 질문 (3)	AplPEC	2015-09	3991	0
바이오스 질문 (3) 2015-09 3991 1 AplPEC
35053	[해결] MariaDB 10.1 to 10.6 upgrade (3)	김황중	2021-07	4902	0
[해결] MariaDB 10.1 to 10.6 upgrade (3) 2021-07 4902 1 김황중
35052	단순무식 보드 선택 (7)	마이코코	2012-07	5968	0
단순무식 보드 선택 (7) 2012-07 5968 1 마이코코
35051	블랙베리처럼 하드웨어 키보드가 있는 스마트폰이 요즘에도 있을까요? (4)	VSPress	2014-05	5071	0
블랙베리처럼 하드웨어 키보드가 있는 스… (4) 2014-05 5071 1 VSPress
35050	평소에 거의 팬이 돌지 않던 놋북인데 요즘은 켜놓고 얼마안되자 팬이 풀로 도네요 (7)	김건우	2014-05	4890	0
평소에 거의 팬이 돌지 않던 놋북인데 요… (7) 2014-05 4890 1 김건우
35049	리눅스 고수님들 codendi 설치하기 도와 주세요~	나파이강승훈	2015-09	3713	0
리눅스 고수님들 codendi 설치하기 도와 … 2015-09 3713 1 나파이강승훈
35048	t7810 바이오스에 터보 부스터 on/off가 없는데 터보부스터 작동하나요? (2)	눈팅돌이	2015-10	5095	0
t7810 바이오스에 터보 부스터 on/off가 … (2) 2015-10 5095 1 눈팅돌이
35047	모니터 화면이 작게 나오는데 이상하네요 (4)	VSPress	2014-05	7111	0
모니터 화면이 작게 나오는데 이상하네요 (4) 2014-05 7111 1 VSPress
35046	Dell PowerEdge T620 - iDRAC 초기화 문제 문의 드립니다. (5)	김영기대전	2021-07	4997	0
Dell PowerEdge T620 - iDRAC 초기화 문제… (5) 2021-07 4997 1 김영기대전
35045	국민은행 스마트 OTP (KB스마트원 통합인증카드) (2)	나파이강승훈	2015-10	6111	0
국민은행 스마트 OTP (KB스마트원 통합인… (2) 2015-10 6111 1 나파이강승훈
35044	RX6700XT 아래의 문제가 뭘까요? (18)	주운	2023-03	4402	0
RX6700XT 아래의 문제가 뭘까요? (18) 2023-03 4402 1 주운
35043	이런 방화벽 차단 메시지는 뭔가요 ? (11)	화란	2020-03	5604	0
이런 방화벽 차단 메시지는 뭔가요 ? (11) 2020-03 5604 1 화란
35042	사무실 분리로 인한 VPN 및 네트워크 관련 문의 (2)	평범한이	2012-08	5393	0
사무실 분리로 인한 VPN 및 네트워크 관련… (2) 2012-08 5393 1 평범한이
35041	라이저카드에 대한 질문입니다. (2)	황혼을향해	2012-08	5880	0
라이저카드에 대한 질문입니다. (2) 2012-08 5880 1 황혼을향해
35040	raid5 사용중에 디스크 추가 할수 있나요? (7)	이재덕	2009-06	9875	0
raid5 사용중에 디스크 추가 할수 있나요? (7) 2009-06 9875 1 이재덕