16. 인증2(다이제스트 인증)

2022 우아한스터디 "HTTP 완벽가이드"를 진행하면서

'HTTP 완벽 가이드' 책을 읽고, 글쓴이의 생각을 정리하는 글 입니다.

https://book.naver.com/bookdb/book_detail.nhn?bid=8509980 

HTTP 완벽 가이드

1. 다이제스트 인증

이전 포스팅을 통해서, 기본 인증을 이용 할 경우 발생하는 보안 결함에 대해서 이야기하면서 포스팅을 끝냈습니다.

 

다이제스트 인증은 별도의 SSL프로토콜(다음 포스팅에서 다룹니다) 없이 HTTP 프로토콜로 인증 정보를 암호화해서 전송하는 방법 입니다.

Client -------Request------------> Server (재고 정보 요청)

Client <------Response------------ Server (재고 정보는 인증된 사람만 가능)
  ↓                                       (사용자 인증을 요구하는 Response전달)
  |                                       (이때 사용자의 ID와 Digest된 PW를 요구)
Digest(PW) = "EE22"
  |
  ↓
Client -------Request------------> Server (Digest된 PW와 ID를 전송)
                                      ↓
                                      |
                                  서버에 저장된 ID, PW를 기반으로
                                  Digest(PW in Server) == "EE22"
                                  인지 검사
                                      |
                                      ↓
Client <------Response------------ Server (PW 검사 완료 후 Data전송)

위 예시는 Digest값이 EE22였지만, 암호화 방법에 따라서 128비트로 표현되거나 합니다.

(MD5의 경우 32개의 16진수로 표현됩니다. 16진수는 4bit이니깐, 4*32 = 128bit이 됩니다)

 

암호화는 단방향 이기 때문에 중간에 Digest 패킷을 가로챈다고 해서 원래 PW를 파악하기는 사실상 어렵습니다.

※암호화의 단방향성?
A를 B로 변환한다고 했을 때, f(A) = B가 됩니다.
이때 B를 해커들이 안다고 하더라고, f를 알지 못하기 때문에 원래 A의 값을 알지 못합니다.
이처럼 A를 알면 B를 알수 있지만, B를 알아도 A를 알지 못할때 단방향성 이라고 합니다.

 

2. Nonce

하지만, 잘 생각해보면 중간에 해커가 "EE22"를 가로채고, 이것을 서버로 보낸다면

 

해커는 서버인증에 아무런 애로사항이 발생하지 않습니다.

 

이때 이러한 문제를 방지하기 위해서 nonce라는 특별한 증표를 사욯합니다.

 

인증할 때 마다 바뀌는 String(=Nonce)을 첫 Response에 보내고, 사용자는 Nonce와 PW를 혼합해서 Digest를 합니다.

 

그렇게 되면 해당 Nonce는 한번의 인증에만 유효하고, 이후에 동일한 Digest정보를 전달해도 인증에 실패하게 됩니다.

Client -------Request------------> Server (재고 정보 요청)

Client <------Response------------ Server (재고 정보는 인증된 사람만 가능)
  ↓                                       (사용자 인증을 요구하는 Response전달)
  |                                       (이때 사용자의 ID와 Digest된 PW를 요구)
  |                                       (추가로 Nonce를 Response에 추가해서 보냄)
Digest(merge(PW, Nonce)) = "123ABAED"
  |
  |
  ↓
Client -------Request------------> Server (Digest된 PW와 ID를 전송)
                                      ↓   (이때 Request의 Authorization Header에 Nonce가 추가됨)
                                      |
                                  서버에 저장된 ID, PW + Req로 받은 Nonce를 기반으로
                                  Digest(PW in Server) == "EE22"
                                  인지 검사
                                      |
                                      ↓
Client <------Response------------ Server (PW 검사 완료 후 Data전송)

......<작성중. 나중에 보완 예정>