모든 사용자에 대해 동일한 암복호화 키를 사용하는 건 보안약점이 아닌가? - 컴퓨터공학 채널

컴퓨터공학 채널

알림 알림 중 알림 취소

구독자 3407명 알림수신 19명 @SeworL

컴퓨터를 좋아하는 사람들의 모임

보안 모든 사용자에 대해 동일한 암복호화 키를 사용하는 건 보안약점이 아닌가?

ㅇㅇ (49.175)

추천 0 비추천 0 댓글 12 조회수 228 작성일 2022-02-25 03:42:12

https://arca.live/b/programmers/45142045

사용중인 제품에서 취약점 발견되서 관련 보고서 작성하는데

관련 근거로 KISA 소프트웨어 보안약점 진단 가이드랑 CWE에서 보안약점 목록 보면서 작성중임

근데 모든 사용자에 대해 동일한 암복호화 키를 사용하는 건 아무리 생각해도 보안약점인데도 목록에 그런 보안약점이 없네

다른 보안약점이 줄줄이 소세지로 나와서 없어도 상관은 없는데

한 줄 더 적어서 까고싶은데 좀 아쉽다

댓글 글쓰기

wiki

2022-02-25 05:55:09 답글

그 암복호화 키를 알아내는게 ㅈㄴ 어려워서 그런거 아님?

펼쳐보기▼

ㅇㅇ (49.175)

2022-02-25 05:59:17 삭제 수정 답글

*수정됨

문제는 암복호화 키를 요청하는데 인증이 필요 없고 평문으로 전송하고 있음... 그건 보안약점 목록에 있고 PoC도 짜서 간단하게 인증 없이 암호화된 문서 열람하거나 신분 위조가 가능한 건 충분히 설명 가능함. 그냥 더 까고 싶어서 찾아보는 중인데 안 나오는 거 보면 똑같은 암복호화 키를 쓰는 거 자체는 문제 없는건가 보네

펼쳐보기▼

2022-02-25 08:18:53 답글

보안상 누출되어도 문제없는 내용에만 적용되는거 아님?

펼쳐보기▼

ㅇㅇ (49.175)

2022-02-25 08:52:31 삭제 수정 답글

당연히 보안상 누출되면 문제있는 내용들이고 누출돼도 상관 없는 내용이면 애초에 암호화를 안했겠지...

펼쳐보기▼

2022-02-25 10:01:06 답글

생각해보니 그르네... ㄹㅇ 윗댓처럼 걍 알아내기 뒤지게 어려운듯. 공개키 알고리즘 아님?

펼쳐보기▼

ㅇㅇ (49.175)

2022-02-25 10:11:24 삭제 수정 답글

*수정됨

ㄴㄴ 대칭키고 키 요청하는 URL은 JS로 박혀있는 거라 공개되어있고 URL에 요청하면 서버에서 평문으로 키를 전송함. 웹 브라우저로도 캡쳐 가능. 그리고 모든 사용자가 같은 키를 받고 이건 JS랑 키 보내는 쪽 코드는 있어서 PoC로 짜보고 테스트 한 결과라서 확실함.

펼쳐보기▼

ㅇㅇ (49.175)

2022-02-25 10:13:04 삭제 수정 답글

*수정됨

일단 핵심 문제는 URL로 키 요청시 인증, 인가 과정이 없다는 점이랑 평문으로 키를 전송한다는 게 제일 문제인데 그냥 모든 사용자가 다 같은 암복호화 키를 쓰는 것도 문제가 아닌가 싶어서 지적하고 싶은데 딱히 지적할만한 근거가 없어서 찾고있을 뿐임.

펼쳐보기▼

빅데이터에_알고리즘을_사용한닉

2022-02-25 13:31:20 답글

*수정됨

비대칭이라면 문제는 없겠지만 인증없이 대칭키를 보내는건 좀 에반데... 설마 https도 아니고 http로 보내는건 아니겠지? ㅋㅋㅋ

펼쳐보기▼

ㅇㅇ (49.175)

2022-02-25 16:45:34 삭제 수정 답글

그 설마가 사실이기 때문에 오지게 까고 싶은 보고서를 작성중입니다... 보안없는 보안 브로그램

펼쳐보기▼

빅데이터에_알고리즘을_사용한닉

2022-02-25 16:49:22 답글

Wnswl

2022-02-27 06:14:42 답글

...내가 지금 뭘 본 거지... 꿈인가...

펼쳐보기▼

DeltaLaboratory

2022-03-20 15:44:33 답글

전체글 개념글

최근 최근 방문 채널

최근 방문 채널

전체 공지사항 질문/조언 읽을거리 보안

번호 제목

작성자 작성일 조회수 추천

공지 아카라이브 모바일 앱 이용 안내(iOS/Android)

*ㅎㅎ 2020.08.18 27967735

공지 컴퓨터공학 채널 규칙 (2023-10-05 개정)

SeworL 2023.10.05 861

공지 빠르게 원하는 답변을 받기 위해 피해야 할 질문 방식

유자차 2022.07.02 2190

공지 신문고

SeworL 2023.10.07 252

숨겨진 공지 펼치기(1개)

34 보안 아래 랜섬웨어 걸렸다는 글 봤는데 질문있음 [7]

def 2022.06.25 192 0

33 보안 한국은 보안쪽으론 취업하기 힘들다는데 사실임? [7]

ㅇㅇ (211.221) 2022.06.17 264 0

32 보안 개인 VPS 쓸 때 팁

DETO 2022.06.02 130 2

31 보안 시스템 해킹과 보안 이 책 괜찮음?

ㅇㅇ (121.166) 2022.05.15 148 -1

30 보안 PGP, GPG 간단 이해 [3]

ㅇㅇ 2022.04.15 192 1

29 보안 옛날에 root 계정 비밀번호 toor로 할 때가 좋았는데

고감호닉 2022.03.04 194 0

28 보안 django로 짠 웹 사이트 비밀번호는 안전할 듯 [5]

ㅇㅇ (49.175) 2022.02.27 225 0

27 보안 백신 Reason Cybersecurity 좋은가요? [3]

흰고래 2022.02.25 289 -2

26 보안 모든 사용자에 대해 동일한 암복호화 키를 사용하는 건 보안약점이 아닌가? [12]

ㅇㅇ (49.175) 2022.02.25 229 0

25 보안 아카 계정 탈취하는 것도 만들 수 있지 않을까 [7]

고감호닉 2022.02.09 318 0

24 보안 이번에 발견된 자바 취약점 좀 어이없는 부분이 있다 [5]

타키투스 2021.12.11 399 0

23 보안 log4j 얘기 하러왔는데 아무 말 없네.. [4]

ㅇㅇ 2021.12.10 335 0

22 보안 오늘 갑자기 스팀결제되서 계정이잠겼는데 어떻게해야되나여

레몬베리 2021.11.02 120 0

21 보안 비트디펜더 쓰는사람 있음? [2]

ㅇㅇ (119.197) 2021.10.21 318 0

20 보안 Bitlocker에 대해 궁금증이 있습니다 [2]

흑마탄만세 2021.10.06 144 0

19 보안 형들... 나 좀 도와줘... (해킹) [3]

ㅇㅇ (58.120) 2021.09.22 554 0

18 보안 ip주소도 숫자 값이 1씩 올라가나? [5]

불패8소대 2021.09.12 298 0

17 보안 VPN에 대해 질문이 있습니다 [6]

흑마탄만세 2021.09.01 357 1

16 보안 VeraCrypt [2]

Kaly 2021.08.31 286 0

15 보안 [연구용 배포] 한국인터넷진흥원 내PC돌보미 [6]

병신경 2021.08.22 465 2

14 보안 멀웨어 감염 대처 [13]

DOZKI 2021.08.19 295 1

13 보안 포맷 스트링 공격에서 16진수 보수 연산 [1]

PVC고무통 2021.08.11 234 0

12 보안 host 파일 수정 질문 있습니다! [8]

바지춤 2021.07.15 177 0

11 보안 빌어먹을 티샤크ㅡㅡㅡㅡㅡㅡㅡㅡ

바지춤 2021.07.13 157 0

10 보안 보안 프로그램보다 중요한 보안 의식 [2]

코코는천사야 2021.07.11 701 3

9 보안 컴퓨터 보안 관련해서 물어봐도 괜찮겠노? [2]

ㅇㅇ (218.156) 2021.07.07 553 -2

8 보안 인터넷 속도가 비대칭인데, 통신 회사가 해킹을 하기 위해 이렇게 할 가능성이 있나요? [10]

ㅇㅇ (124.197) 2021.06.25 470 2

7 보안 경찰 사이버수사대 IP 추적 회피하는 방법 [3]

니들이긴급체포를알어 (121.129) 2021.06.17 8604 4

6 보안 V8 자바스크립트 엔진의 Math.random 구현 [3]

디비네스페아르 2021.05.31 836 9

5 보안 일단 다른 글이나 올려 봐야겠네요.

Wnswl 2021.05.18 190 4

전체글 개념글

사용하고 계신 브라우저가 시간대 설정을 지원하지 않으므로 GMT 시간대가 적용됩니다.