HTTP 완벽가이드 14장 - Secure HTTP

HTTP 완벽가이드 14장 Secure HTTP를 읽고 정리한 글입니다.

 

HTTP란 hypertext transfer protocol

http://도메인 ←도메인에 해당되는 컴퓨터와 통신을 하고자 하는데 http 프로토콜 사용하겠다는 뜻입니다.

 

사람들은 인터넷을 통해 중요한 정보를 주고 받음.

→기본적인 인증 인가 외 보안이 필요

 

그래서 나온게 HTTPS. (S는 over secure socket layer의 약자)

보안 장치가 추가되었음.

 

HTTPS는

1. req & res data is encrypted.
2. SSL(Secure Sockets Layer) 또는 TLS(Transport Layer Security)를 사용하여 HTTP 기반의 암호화된 보안 계층 transports-level 을 제공

 

암호화

클라이언트와 서버간 데이터 통신시 데이터를 알아볼 수 없도록 하는 과정

 

암호키

키값에 따라 암호화 결과값이 달라짐.

 

대칭키(symmetric-key)

• 수신자와 발신자 모두 같은 키를 사용
• 인코딩 디코딩 모두 같은 키를 사용
• 공유키 설정 (Establishing Shared Keys)
  • 대칭키는 수신자와 발신자가 통신하기 이전에 공유된 비밀키를 가져야함.
  • N명의 클라이언트가 서버에 요청시 서버에서 N개의 key를 보유해야함.
  • 관리가 쉽지가 않음. → 비대칭키로 해결

 

비대칭키(asymmetric keys) - encoding과 decoding시 서로다른 key 사용

• 암호화할 때는 공개키 (클라이언트 → 서버)
• 복호화할 때는 비밀키 (서버)

 

 

RSA - 공개키 암호화 알고리즘

• 암호화된 텍스트와 공개키로 비밀키를 알아 낼 수 없도록 하기 위해서 만들어짐.
• Ron Rivest, Adi Shamir, Leonard Adleman 세 사람의 성을 따서 네이밍.
• 전세계 대부분의 인터넷 뱅킹에서 RSA-2048을 사용한다고 합니다

 

그 외 추가적인 인증 수단

 

서명(Signatures)

• 암호 시스템을 사용하여 메세지에 서명하고 조작되지 않았음을 증명
• 서명을 통해 본인을 증명

디지털 인증서(Digital Certificates)

• X.509 v3 표준 형식으로 정보를 저장
• 웹 서버 인증서, 클라이언트 전자 메일 인증서, 소프트웨어 코드 서명 인증서, 인증 기관 인증서 등에 사용

 

HTTPS Schemes

1. HTTP 일 경우
   1. 80 포트로 연결
2. HTTPS 일 경우
   1. 443 포트로 연결
   2. 서버와 handshakes - SSL 인증서 교환

 

HTTPS에서 전송 단계

1. 클라이언트는 443 포트(보안 HTTP의 기본 포트)에 연결
2. TCP가 연결되면 클라이언트와 서버가 SSL 계층 초기화 후 키를 교환 (handshake)
3. 교환한 키로 암호화 작업
4. 클라이언트가 보안 계층으로 request 메시지를 전송
5. TCP disconnect

 

 

handshake

1. 암호 선택
2. ID 인증
3. 채널 암호화를 위한 임시 세션 키 생성

 

 

Server Certificates

1. HTTPS 전송 시 항상 필요
2. 신용카드 정보와 같은 보안전송
3. 조직의 이름, 주소, 서버 DNS 도메인 이름 및 기타 정보를 보여주는 X.509 v3에서 파생된 인증서

 

 

Site Certificate Validation

브라우저 인증서에 대한 검증 4가지 방법

1. 인증서 만료 일자 확인
2. 인증기관(eg. CA)으로부터의 서명 확인
3. 서명 권한이 신뢰할 수 있는 것으로 판단되면 브라우저는 서명 권한의 공용 키를 서명에 적용
4. 인증서의 도메인 이름이 통신한 서버의 도메인 이름과 일치하는지 확인합니다.

 

 

Virtual Hosting and Certificates

서버 인증서에 나열된 공식 호스트 이름이 사용자가 검색한 가상 호스트 이름과 일치하지 않는 문제

도메인 주소가 www.naver.com 인데 https://www.naver.com 를 입력할 경우

→ 리다이렉션으로 해결해줘야 함.

 

 

Open SSL

/*************************************************************

---

• https_client.c --- very simple HTTPS client with no error checking
• usage: https_client servername

---

• *******/

#include <stdio.h> #include <memory.h> #include <errno.h> #include <sys/types.h> #include <sys/socket.h> #include <netinet/in.h> #include <arpa/inet.h> #include <netdb.h>

#include <openssl/crypto.h> #include <openssl/x509.h> #include <openssl/pem.h> #include <openssl/ssl.h> #include <openssl/err.h>

void main(int argc, char **argv) { SSL *ssl; SSL_CTX *ctx; SSL_METHOD *client_method; X509 *server_cert; int sd,err; char *str,*hostname,outbuf[4096],inbuf[4096],host_header[512]; struct hostent *host_entry; struct sockaddr_in server_socket_address; struct in_addr ip;

/========================================/ /* (1) initialize SSL library / /========================================*/

SSLeay_add_ssl_algorithms( ); client_method = SSLv2_client_method( ); SSL_load_error_strings( ); ctx = SSL_CTX_new(client_method);

printf("(1) SSL context initialized\n\n");

/=============================================/ /* (2) convert server hostname into IP address / /=============================================*/

hostname = argv[1]; host_entry = gethostbyname(hostname); bcopy(host_entry->h_addr, &(ip.s_addr), host_entry-

 

h_length);

 

printf("(2) '%s' has IP address '%s'\n\n", hostname, inet_ntoa(ip));

/=================================================/ /* (3) open a TCP connection to port 443 on server / /=================================================*/

sd = socket (AF_INET, SOCK_STREAM, 0);

memset(&server_socket_address, '\0', sizeof(server_socket_address)); server_socket_address.sin_family = AF_INET; server_socket_address.sin_port = htons(443); memcpy(&(server_socket_address.sin_addr.s_addr), host_entry->h_addr, host_entry->h_length);

err = connect(sd, (struct sockaddr*) &server_socket_address, sizeof(server_socket_address)); if (err < 0) { perror("can't connect to server port"); exit(1); }

printf("(3) TCP connection open to host '%s', port %d\n\n", hostname, server_socket_address.sin_port);

/*======================================================== / / (4) initiate the SSL handshake over the TCP connection */

/========================================================/

ssl = SSL_new(ctx); /* create SSL stack endpoint / SSL_set_fd(ssl, sd); / attach SSL stack to socket / err = SSL_connect(ssl); / initiate SSL handshake */

printf("(4) SSL endpoint created & handshake completed\n\n");

/============================================/ /* (5) print out the negotiated cipher chosen / /============================================*/

printf("(5) SSL connected with cipher: %s\n\n", SSL_get_cipher(ssl));

/========================================/ /* (6) print out the server's certificate / /========================================*/

server_cert = SSL_get_peer_certificate(ssl);

printf("(6) server's certificate was received:\n\n");

str = X509_NAME_oneline(X509_get_subject_name(server_cert), 0, 0); printf(" subject: %s\n", str);

str = X509_NAME_oneline(X509_get_issuer_name(server_cert), 0, 0); printf(" issuer: %s\n\n", str);

/* certificate verification would happen here */

X509_free(server_cert);

/********************************************************* / /* (7) handshake complete --- send HTTP request over SSL */

/*********************************************************/

sprintf(host_header,"Host: %s:443\r\n",hostname); strcpy(outbuf,"GET / HTTP/1.0\r\n"); strcat(outbuf,host_header); strcat(outbuf,"Connection: close\r\n"); strcat(outbuf,"\r\n");

err = SSL_write(ssl, outbuf, strlen(outbuf)); shutdown (sd, 1); /* send EOF to server */

printf("(7) sent HTTP request over encrypted channel:\n\n%s\n",outbuf);

// /* (8) read back HTTP response from the SSL stack */ //

err = SSL_read(ssl, inbuf, sizeof(inbuf) - 1); inbuf[err] = '\0'; printf ("(8) got back %d bytes of HTTP response:\n\n%s\n",err,inbuf);

// / (9) all done, so close connection & clean up / //

SSL_shutdown(ssl); close (sd); SSL_free (ssl); SSL_CTX_free (ctx);

printf("(9) all done, cleaned up and closed connection\n\n");

 

프로그램 섹션을 섹션별로 살펴보겠습니다:

• 프로그램 상단에는 TCP 네트워킹 및 SSL을 지원하는 데 필요한 지원 파일이 포함되어 있습니다.
• 섹션 1은 핸드셰이크 매개변수 및 기타 정보를 추적하는 로컬 컨텍스트를 생성합니다

SSL_CTX_new를 호출하여 SSL 연결에 대한 상태를 표시합니다.

• 섹션 2는 입력 호스트 이름(명령줄 인수로 제공)을 IP로 변환합니다

이름별 유닉스 gethost 함수를 사용하는 주소. 다른 플랫폼에는 다음과 같은 다른 방법이 있을 수 있습니다

이 시설을 제공합니다.

• 섹션 3은 로컬 소켓을 생성하여 서버의 포트 443에 대한 TCP 연결을 엽니다

원격 주소 정보를 업데이트하고 원격 서버에 연결합니다.

• TCP 연결이 설정되면 SSL 계층을 TCP 연결에 연결합니다

SSL_new 및 SSL_set_fd를 사용하여 서버와의 SSL 핸드셰이크를 수행합니다

SSL_connect. 섹션 4가 완료되면, 다음과 같은 기능을 하는 SSL 채널이 설정됩니다

암호를 선택하고 인증서를 교환했습니다.

• 섹션 5는 선택한 대량 암호화 암호의 값을 출력합니다.
• 섹션 6은 다음에서 보낸 X.509 인증서에 포함된 일부 정보를 출력합니다

인증서 소유자 및 발급한 조직에 대한 정보를 포함하는 서버

증서. OpenSSL 라이브러리는 의 정보를 사용하여 특별한 작업을 수행하지 않습니다

서버 인증서. 웹 브라우저와 같은 실제 SSL 애플리케이션은 제정신이 아니다

인증서가 올바르게 서명되고 올바른 호스트에서 왔는지 확인합니다. 우리가

14.7.6에서 브라우저가 서버 인증서로 수행하는 작업에 대해 설명했습니다.

• 이 시점에서 SSL 연결을 사용하여 안전한 데이터 전송을 수행할 수 있습니다. 섹션 7에서, 우리는

SSL_write를 사용하여 SSL 채널을 통해 단순 HTTP 요청 "GET / HTTP/1.0"을 전송합니다,

그런 다음 연결의 아웃바운드 절반을 닫습니다.

• 섹션 8에서는 SSL_read를 사용하여 연결에서 응답을 다시 읽고 인쇄합니다

스크린. SSL 계층이 모든 암호화 및 암호 해독을 처리하기 때문에, 우리는 다음과 같이 할 수 있습니다

일반 HTTP 명령을 쓰고 읽습니다.

• 마지막으로 섹션 9에서 청소합니다.

 

 

프록시를 통한 보안 트래픽 터널링

암호화 작업 시 프록시 서버를 사용할 경우 문제점

→ 공용키로 암호화된 헤더 데이터를 프록시가 읽을 수 없음.

 

 

HTTPS SSL 터널링 프로토콜을 사용하여 해결

1. 클라이언트는 먼저 프록시에 연결하려는 호스트와 포트를 알려줍니다.
2. 암호화가 시작되기 전에 프록시가 이 정보를 읽을 수 있도록 일반 텍스트로 이 작업을 수행합니다.
3. HTTP는 CONNECT라는 새로운 확장 방법을 사용하여 일반 텍스트 end point 정보를 보내는 데 사용됩니다.
4. CONNECT 는 프록시에 원하는 호스트와 포트 번호에 대한 연결을 열고 연결이 완료되면 클라이언트와 서버 간에 직접 데이터를 터널링하도록 지시합니다.
5. CONNECT 메서드는 보안 오리진 서버의 호스트 이름과 포트를 콜론(:)으로 구분하여 제공하는 한 줄 텍스트 명령입니다
6. host:port 뒤에는 공백과 HTTP 버전이, CRLF 뒤에는 0개 이상의 HTTP 요청 헤더 행이, 빈 행이 차례로 이어집니다. 빈 줄 이후에 연결을 설정하기 위한 핸드셰이크가 성공하면 SSL 데이터 전송을 시작할 수 있습니다.
7. 프록시는 요청이 유효한지, 사용자 연결 권한이 있는지 확인 후 res 200 반환