안전성 평가

1) 안전성 개념

계산적으로 안전함 : 공격을 위해 필요한 계산량이 매우 커 현실적으로 공격할 수 없는 경우

무조건적인 안전함 : 무한한 계산 능력이 있어도 공격할 수 없는 경우

---

암호화 방법을 설계하는 목표

암호 해독 비용이 암호화된 정보의 가치를 초과하게 함

암호 해독 시간이 정보의 유효 기간을 초과하게 함

---

 

2) 암호제품 평가체계

• 정보보호 시스템에 대한 평가는 각국이 서로 다른 평가 기준을 가진다.
• 안전성 평가는 세계적으로 공통 평가를 위한 체계를 준비 중에 있으며 대표적으로 CC(Common Criteria)기반의 정보보호제품 안전성 평가이다.
• 암호 모듈에 대한 안전성 평가로는 미국 NIST가 수행하는 CMVP(Cryptographic Module Validation Program)이 세계적으로 인정받고 있다.

3) 암호기술 평가

(가) 평가 종류

(1) 암호 알고리즘 평가

• 제품, 시스템과 독립적으로 평가가 가능하며 알고리즘 자체의 이론적 안전성만을 평가

(2) 암호모듈 평가

• 알고리즘 자체의 이론적 안정성과 별도로 알고리즘을 이용하여 제공되는 암호 서비스(기밀성 기능 모듈, 무결성 기능 모듈)에 대한 평가

(3) 정보보호제품 평가

• 암호모듈을 탑재한 정보보호 제품(IPS, IDS 등등)에 대한 평가

(4) 응용시스템 평가

• 시스템에 대한 평가(국가기관망 네트워크 보안, 항공관제센터 안전성 평가 등)

4) 암호모듈의 안전성 평가(CMVP)

• 미국의 NIST와 캐나다 주정부 CSE가 공동으로 개발한 암호모듈의 안전선 검증을 위한 프로그램
• [암호기술 구현 적합성 평가] [암호키 운용 및 관리] [물리적 보안]으로 나누어 각 항목에 대해 등급을 지정하여 평가 수행