IT정보보안

#해시와 암호화

- 암호화는 평문을 암호화 하여 암호문을 다시 복호화하여 평문을 얻을 수 있다.

- 해시는 평문을 해싱 후 해시결과물로 다시 역해싱하여 평문을 얻을 수 없다.

PassWord Cracking

* Crack Type

- 사회공학 기법  < 협박, 몰래 탈취, 소리로 유추 등

- 사전 대입 공격 <Dictionary 사전에 알고 있는 정보를 활용

- 무차별 대입 공격 < 0000~9999 까지

- 레인보우 테이블 공격 < 해시값 비교..(17")

* Salt ( 소금, 조미료 )

- 해시를 이용한 패스워드 구성 시 똑같은 해시 결과값 생성

- 취약한 패스워드를 생성 방지   

- 레인보우 테이블 공격에 대한 시간 지연

유닉스 해시 생성 구현 실습

vim test.c

  1 #include <stdio.h>

  2 #include <string.h>

  3 #include <unustd.h>

  4 #include <crypt.h>

  5 #include <stdlib.h>

  6

  7 int main(void)

  8 {

  9         char *pHash;

 10         char *pWord;

 11         char* pResult;

 12

 13         pHash = (char*) calloc(20, sizeof(char));

 14         pWord - (char*) calloc(30, sizeof(char));

 15

 16         strcpy(pWord, "itbank");

 17         strcpy(pHash, "$6$PdQrQS7NuYxQKuJq$");

 18         pResult = crypt(pWord, pHash);

 19         printf("%s \n"), pResult);

 20         free(pWord);

 21         free(pHash);

 22         return 0;

 23 }

비밀번호 -> JZirzXwYSBahJo0vsIDLvuD4Y5c3Dmuh3kX1T2eEfrcxP.UNwT7E5OkLAC/U4N8W3nRdJEOg0CdbjM46YVi4I 값으로는 유추 가능

반대로는 불가능 하기 때문에 $6$UXXjOh06G8f4vigN$ 값을 알아온 뒤에 무한으로 맞춰보기