ssl인증서 없이 스크립트로 rsa 암호화 해서 날리면... 정보
ssl인증서 없이 스크립트로 rsa 암호화 해서 날리면...
본문
form 데이터를 script로 RSA암호화 하고
프로세스 파일에서 해독하여 사용하면 ssl이 필요 없지 않을 까요?
http://z9n.net/rsa_javascript/
암호화 전송에 대해서만 이야기가 나오지 꼭 ssl인증서를 사용 하라는 내용이 없는것 같은데 ㅎㅎ
추천
0
0
댓글 12개
그냥 이거 보세요.
https://namu.wiki/w/TLS?from=SSL#s-1.1
https://namu.wiki/w/TLS?from=SSL#s-1.1
@불바람
인증서를 사용해 서로를 믿을 수 있는지 확인한 뒤, 서로간의 통신에 쓸 암호를 교환하는 것이다. 그 다음부터는 서로 교환한 암호를 사용해 제3자가 도청할 수 없는 암호화된 통신을 하면 된다.
> 공개키로 암호화 하여 전송 하고 개인키로 해독하여 사용하기 때문에 제 3자가 중간에 데이터를 탈취 하더라도 개인키를 알지 못하는 이상 해독하지 못할걸로 생각 됩니다.
개인적인 생각에는 SSL을 추가 했을 경우 인증서 업체에서 공증?된 홈페이지 표시외 SSL암호화 방식과 다르지 않은것 같더라구요. 예전에 국민은행 홈페이지도 유사한 방법을 사용 한것으로 알고 있습니다.
인증서를 사용해 서로를 믿을 수 있는지 확인한 뒤, 서로간의 통신에 쓸 암호를 교환하는 것이다. 그 다음부터는 서로 교환한 암호를 사용해 제3자가 도청할 수 없는 암호화된 통신을 하면 된다.
> 공개키로 암호화 하여 전송 하고 개인키로 해독하여 사용하기 때문에 제 3자가 중간에 데이터를 탈취 하더라도 개인키를 알지 못하는 이상 해독하지 못할걸로 생각 됩니다.
개인적인 생각에는 SSL을 추가 했을 경우 인증서 업체에서 공증?된 홈페이지 표시외 SSL암호화 방식과 다르지 않은것 같더라구요. 예전에 국민은행 홈페이지도 유사한 방법을 사용 한것으로 알고 있습니다.
구현하신 방식은 틀리지 않았는데 공증의 문제겠네요. ㅎㅎ
그렇긴한데 행안부에서 그냥 달라구 하더라구요 ㅜㅜ
스크립트로 암호화하실때 암호화키는 어떻게 숨기실려구용? ㅠ
SSL을 쓰는 이유는 아무도 모르게 그리고 변조되지 않은 공개키/비공개키를 주고받기 위함인데
스크립트로 비공개키방식 암호화를 처리하시면... 소스보기 하면 바로 암호화키를 알 수 있다는 말이고...
그렇다는 것은 제 3자가 서버로 보내는 데이터, 서버로부터 오는 데이터를 해당 공개키로 복호화할 수 있다는 말이거든요. ㅠㅠ
SSL을 쓰는 이유는 아무도 모르게 그리고 변조되지 않은 공개키/비공개키를 주고받기 위함인데
스크립트로 비공개키방식 암호화를 처리하시면... 소스보기 하면 바로 암호화키를 알 수 있다는 말이고...
그렇다는 것은 제 3자가 서버로 보내는 데이터, 서버로부터 오는 데이터를 해당 공개키로 복호화할 수 있다는 말이거든요. ㅠㅠ
https://ko.m.wikipedia.org/wiki/RSA_암호
이론대로 하면 공개키만으로는 암호화된 데이터를 복호화 시키지 못하지 않나요?
스크립트단에서는 공개키로 암호화 하고 서버단(php)에는 서버에 저장된 개인키로 복호화 하도록 만들었는데...
이쪽에는 초보라 (그렇다는 것은 제 3자가 서버로 보내는 데이터, 서버로부터 오는 데이터를 해당 공개키로 복호화할 수 있다는 말이거든요. ㅠㅠ) 이부분이 조금 이해가 안되서.. 설명좀 부탁 드려도되나요?
이론대로 하면 공개키만으로는 암호화된 데이터를 복호화 시키지 못하지 않나요?
스크립트단에서는 공개키로 암호화 하고 서버단(php)에는 서버에 저장된 개인키로 복호화 하도록 만들었는데...
이쪽에는 초보라 (그렇다는 것은 제 3자가 서버로 보내는 데이터, 서버로부터 오는 데이터를 해당 공개키로 복호화할 수 있다는 말이거든요. ㅠㅠ) 이부분이 조금 이해가 안되서.. 설명좀 부탁 드려도되나요?
1. 서버 ----(공개키)---> 브라우저
2. 서버 <---(공개키로 암호화한 데이터)-- 브라우저
3. 서버에서 개인키로 복호화
4. 서버 ---(개인키로 암호화한 데이터) ---> 브라우저
5. 브라우저에서 공개키로 복호화
이렇다는 얘기는..
누구나 공개키를 알 수 있다면, 5번 과정에서... 서버로부터 오는 데이터를 복호화 할 수 있다는 얘기 같네요.
요약, 공개키가 공개되면??
브라우저 -> 서버 로는 암호화하여 민감한 데이터를 감출 수 있지만,,
(하지만, 누구나 암호화 가능, 즉 변조 가능)
서버 -> 브라우저 로는 암호화로 데이터를 감출 수 없다.
2. 서버 <---(공개키로 암호화한 데이터)-- 브라우저
3. 서버에서 개인키로 복호화
4. 서버 ---(개인키로 암호화한 데이터) ---> 브라우저
5. 브라우저에서 공개키로 복호화
이렇다는 얘기는..
누구나 공개키를 알 수 있다면, 5번 과정에서... 서버로부터 오는 데이터를 복호화 할 수 있다는 얘기 같네요.
요약, 공개키가 공개되면??
브라우저 -> 서버 로는 암호화하여 민감한 데이터를 감출 수 있지만,,
(하지만, 누구나 암호화 가능, 즉 변조 가능)
서버 -> 브라우저 로는 암호화로 데이터를 감출 수 없다.
@동하아빠
친절한 설명 감사합니다!
보통의 경우는 4번과 5번 단계는 없지 않나요?
개인키의 경우는 오로지 암호화를 푸는 목적을 지니고있는것으로 알고있습니다.
ps. 요세 코인까지 하면서 블록체인과 암호화 방식을 검색하고있네요 ㅎㅎㅎ
친절한 설명 감사합니다!
보통의 경우는 4번과 5번 단계는 없지 않나요?
개인키의 경우는 오로지 암호화를 푸는 목적을 지니고있는것으로 알고있습니다.
ps. 요세 코인까지 하면서 블록체인과 암호화 방식을 검색하고있네요 ㅎㅎㅎ
@terrorboy 근데.. 1번과정에서 해킹당해서 해커의 공개키를 준다면?? 공개키를 온전히 신뢰 할 수 있을까하는 문제가 있네요. 그래서 공개된 신뢰할 수 있는 공증이 필요한 듯요..;; 아 복잡해 ㅎㅎ
@동하아빠
아!
무조건적인 신뢰를 기반으로 생각을 했었는데...
그럴수도있겠군요....
(브라우저에서 공개키 변형 후 전송패킷을 가로채서 복호화는 생각지 못했네요)
이해됬습니다 ㅎㅎㅎ
아!
무조건적인 신뢰를 기반으로 생각을 했었는데...
그럴수도있겠군요....
(브라우저에서 공개키 변형 후 전송패킷을 가로채서 복호화는 생각지 못했네요)
이해됬습니다 ㅎㅎㅎ
