2014 년 8 월 중순 이후 E 메일을 암호화하는 수단이다 "Pretty Good Privacy (PGP)"의 효과에 대해 많은 논의가 이루어지고 있습니다. 이 PGP에 대한 최신 논의는 Johns Hopkins 대학 암호화 교수 Matthew Green 씨 에 의한 비판이 계기였습니다. Matthew Green 씨는 주로 PGP는 키 관리 방법에 문제가있는 것, 키 합의 프로토콜 인 ' forward secrecy "이 불충분하다고 지적했습니다.
모든 산업에서 암호를 제대로 구현하는 것은 매우 중요합니다. 암호는 21 세기의 인터넷 사용을 안전한 것으로하는 것이 필수적입니다. PGP는 오랫동안 E 메일을 보호하는 중요한 역할을했습니다. 그래서 PGP의 불편을 수정해야한다는 제안에 대해 심각하게 고려해야합니다.
PGP 암호화는 견고하다고되어 있지만 사용자에게는 매우 쓰기가 좋지 않으면 항상 알려져 있습니다.그러나 PGP가 일반 사용자를 대상으로 고려 된 것은 한번도 없다. 이전에는 PGP를 사용할 수있는보다 전문적인 지식이있는 사용자를 항상 대상으로 왔습니다. 쓰기가 나쁜에도 불구하고 이러한 사용자는 당시의 PGP 클라이언트를 사용할 수 있습니다.
현재의 상황은 이전과는 다릅니다. 일반 사용자가 PGP의 사용에 관심을 갖고 있지만 기존의 소프트웨어를 사용하여 전문적인 지식이없는 것을 상상할 수 있습니다. 그러한 사용자는 전문적인 지식이 없어도 사용할 수있는 소프트웨어를 바라고 있습니다. 그러나 "안전한 것"과 "사용하기 편리한 것 '은 근본적으로 관련이 없습니다. 그 중개를하는 것은 어려운 일입니다.
비판을 받아도 어쩔 수없는 PGP의 특징 중 하나는 키 관리 방법입니다. 단적으로 말하면, PGP는 키 관리의 모든 책임을 사용자에게 돌리지 있습니다. 이것은 "SSL / TLS"등 기타 암호화 솔루션과는 대조적입니다. "SSL / TLS"는 암호화 프로세스는 최종 사용자가 확인할 수 없습니다.
사용하기 편리함과 보안은 근본적으로 상반되는 것입니다. PGP는 보안을 최우선으로 설계되어 있으며, 키 교환은 사용자간에 의해 직접 이루어집니다. 즉, 사람의 키를 믿죠은 사용자 자신이 판단하게됩니다.이것은 보안에있어서 가장 기본이되는 판단입니다. PGP는 그것을 직접 사용자의 손에 있습니다. 기술에 익숙한 사용자에게는 문제가없는 것일지도 모릅니다 만, 일반 사용자들에게는 매우 어려운 일입니다.
PGP 이외의 E 메일 암호화 솔루션은 "신뢰할 수있는 기관 (Trusted Authority, TA) '에 키 관리를 위임하고 있습니다. 당사가 제공하는 암호화 솔루션도이 방법입니다. TA가 사용자를 인증해야하지만,이를 통해 키 관리라는 부담에서 사용자가 해제됩니다. 물론, 이것은 사용자가 TA 서버를 신뢰한다는 것이기 때문에, 기업은이 키 관리 방법은 좋은 겠지만, 일반 사용자에게 받아 들여지는 것은 아닙니다.
인터넷 기업이 일반 사용자에 의해 적절한 방법으로 PGP를 구현하고있는 것은 틀림 없을 것입니다. 이것은 바로 Google 과 Yahoo 가하고있는 것이며, 어떻게하여 이러한 기업이 PGP를 일반 사용자에게 받아 들여지는 것으로 해 나갈지는 볼거리입니다.
또 말하면, 어떤 결함을 가지고하든, PGP가 도입 된 후 그것의 안정성을 증명하고 신용을 얻고 있습니다. 확실히 그대로입니다. PGP는 확실히 문제가 있지만, 그 이유의 대부분은 한번도 대상으로되지 않은 시장에서 이용되고 있기 때문입니다. 또한 계산 능력이 발전함에 따라 키 길이를 필요에 따라 늘려 갈 필요가 있습니다. 그러나이 문제는 이미 인식되었습니다.
PGP의 핵이되는 것은 여전히 견고합니다. PGP의 사용을 막을 역효과가 될 것입니다. 왜냐하면 그것은 완벽한 보안을 보장하면서 실제로는 안전하지 않은 다른 방법으로 사용자를 향하게하는 것이되기 때문입니다. PGP 필요한 것은 변화하는 사용자의 요구에 부응하기 위해 개선 성능을 높여 나갈 것입니다. 제대로 구현되면 PGP는 오랫동안 강력한 보안 기준으로 존재하는 것을 계속할 수있을 것입니다.
참고 기사 :
- " PGP : Not Perfect, But Something To Build On "
by Martin Roesler (Director, Threat Research)
번역 : 절구 본 将貴 (Core Technology Marketing, TrendLabs)
'Security_News > 해외보안소식' 카테고리의 다른 글
| iCloud에서 정보 유출 보도에 대해 우리가 배워야 할 (0) | 2014.09.09 |
|---|---|
| "Operation Huyao": 하나의 사이트에서 다수의 점포를 가장 가능한 피싱 사이트 (0) | 2014.09.09 |
| 네트워크를 보호하기 위해 네트워크 보안에서 IT 관리자가 배울 수 (0) | 2014.09.09 |
| Apple ID 탈취를 목적으로 한 '피싱 사이트 구축 키트 "확인 (0) | 2014.09.09 |
| HealthCare.gov 서버에 악성코드 탐지 (0) | 2014.09.07 |