계: Security Features

소프트웨어 보안은 보안 소프트웨어가 아닙니다. 여기서는 인증, 액세스 제어, 기밀성, 암호화, 권한 관리 등의 항목에 대해 설명합니다.

Weak Encryption: Stream Cipher

Abstract

암호화된 데이터를 디스크에 저장하거나 키를 여러 번 사용할 때 스트림 암호를 사용하는 것은 위험합니다.

Explanation

스트림 암호는 "투 타임 패드(two-time pad)" 공격이라고도 하는 "키 재사용" 공격에 취약합니다. 같은 키를 여러 번 사용하면 이러한 유형의 취약점이 발생합니다. 암호화 텍스트 문자열 두 개를 XOR 처리하고 키를 무효화하여 XOR 처리된 일반 텍스트만 남길 수 있기 때문입니다. 인간의 언어가 구성된 방식으로 인해 대개의 경우 원래의 두 메시지를 쉽게 복구할 수 있습니다.
앞에서 언급한 공격을 방지하려면 새 IV(Initialization Vector)를 사용해야 합니다. 따라서 암호화된 데이터를 저장하는 데 스트림 암호를 사용하면 다음과 같은 상황이 발생하므로 적합하지 않습니다.
1) 디스크 섹터를 IV로 사용:
이 경우 저장된 데이터를 수정해야 할 때마다 동일한 IV를 다시 사용해야 하기 때문에 안전하지 않습니다.
2) 새 IV를 디스크 섹터에 매핑하는 복잡한 시스템 사용:
이 방식은 유지 관리가 어렵습니다. 이러한 방식을 사용할 때는 IV를 지속적으로 업데이트해야 하고 사용자가 읽을 수 없도록 유지해야 합니다. 또한 암호화 텍스트는 암호화되지 않은 일반 텍스트보다 디스크 공간도 더 많이 사용합니다.

이러한 두 가지 요인으로 인해 암호화된 데이터를 저장하기 위해 블록 암호가 아닌 스트림 암호를 사용하는 방식은 효율적이지 않습니다. 스트림 암호와 관련된 또 다른 문제는 authentication을 제공하지 않으므로 “비트 플리핑(Bit-flipping)” 공격에 취약하다는 점입니다. “CTR” 같은 일부 블록 암호는 스트림 암호와 비슷하게 작동하기 때문에 이러한 공격에 취약합니다.

예제 1: 다음 코드에서는 스트림 암호를 만든 후 이를 사용하여 상수 IV로 데이터를 암호화하고 디스크에 저장합니다.


import (
    "crypto/aes"
    "crypto/cipher"
    "os"
)
...
iv = b'1234567890123456'
CTRstream = cipher.NewCTR(block, iv)
CTRstream.XORKeyStream(plaintext, ciphertext)
...
f := os.Create("data.enc")
f.Write(ciphertext)
f.Close()

Example 1에서는 iv가 상수 IV(Initialization Vector)로 설정되어 있으므로 재사용 공격에 취약해집니다.

References

[1] Disk Encryption Theory Wikipedia

[2] Clemens Fruhwirth New Methods in Hard Disk Encryption

[3] Standards Mapping - Common Weakness Enumeration CWE ID 327

[4] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002450

[5] Standards Mapping - FIPS200 MP

[6] Standards Mapping - General Data Protection Regulation (GDPR) Insufficient Data Protection

[7] Standards Mapping - NIST Special Publication 800-53 Revision 4 AU-10 Non-Repudiation (P2), SC-13 Cryptographic Protection (P1)

[8] Standards Mapping - NIST Special Publication 800-53 Revision 5 AU-10 Non-Repudiation, SC-13 Cryptographic Protection

[9] Standards Mapping - OWASP Application Security Verification Standard 4.0 2.6.3 Look-up Secret Verifier Requirements (L2 L3), 2.9.3 Cryptographic Software and Devices Verifier Requirements (L2 L3), 6.2.1 Algorithms (L1 L2 L3), 6.2.2 Algorithms (L2 L3), 8.3.7 Sensitive Private Data (L2 L3), 9.1.2 Communications Security Requirements (L1 L2 L3), 9.1.3 Communications Security Requirements (L1 L2 L3)

[10] Standards Mapping - OWASP Mobile 2014 M6 Broken Cryptography

[11] Standards Mapping - OWASP Mobile 2024 M10 Insufficient Cryptography

[12] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CRYPTO-1

[13] Standards Mapping - OWASP Top 10 2004 A8 Insecure Storage

[14] Standards Mapping - OWASP Top 10 2007 A8 Insecure Cryptographic Storage

[15] Standards Mapping - OWASP Top 10 2010 A7 Insecure Cryptographic Storage

[16] Standards Mapping - OWASP Top 10 2013 A6 Sensitive Data Exposure

[17] Standards Mapping - OWASP Top 10 2017 A3 Sensitive Data Exposure

[18] Standards Mapping - OWASP Top 10 2021 A02 Cryptographic Failures

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.8

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.3, Requirement 6.5.8

[21] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.3

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.3

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.3

[24] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.3

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.3

[26] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[27] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[28] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 7.1 - Use of Cryptography

[29] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 7.1 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design

[30] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 7.1 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design

[31] Standards Mapping - SANS Top 25 2009 Porous Defenses - CWE ID 327

[32] Standards Mapping - SANS Top 25 2010 Porous Defenses - CWE ID 327

[33] Standards Mapping - SANS Top 25 2011 Porous Defenses - CWE ID 327

[34] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3150.1 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3150.1 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3150.1 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3150.1 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3150.1 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3150.1 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3150.1 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[45] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[46] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[47] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[48] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[49] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[50] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[51] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[52] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[53] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[54] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000590 CAT II, APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[55] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000590 CAT II, APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

desc.semantic.golang.weak_encryption_stream_cipher

Abstract

스트림 암호는 저장된 데이터와 함께 사용하거나 키를 두 번 이상 사용하는 경우에 적용하기에는 위험합니다.

Explanation

스트림 암호는 "투 타임 패드(two-time pad)" 공격이라고도 하는 "키 재사용" 공격에 취약합니다. 즉, 동일한 키가 두 번 이상 사용되는 경우에는 쉽게 암호화 텍스트의 문자열 두 개를 XOR하고 키를 무효화하여 XOR된 일반 텍스트만 남길 수 있습니다. 인간의 언어가 구성된 방식으로 인해 대개의 경우 원래의 두 메시지를 다시 얻게 됩니다.
앞에서 언급한 공격을 막기 위해 새 IV(Initialization Vector)를 사용해야 하므로, 암호화된 데이터를 저장하는 데 스트림 암호를 사용하면 다음과 같은 상황이 발생하므로 적합하지 않습니다.
1) 디스크 섹터를 IV로 사용:
이 경우 저장된 데이터를 수정해야 할 때마다 동일한 IV를 다시 사용해야 하기 때문에 안전하지 않습니다.
2) 새 IV를 디스크 섹터에 매핑하는 복잡한 시스템 운용:
이러한 시스템은 지속적으로 업데이트해야 하고, 사용자가 판독할 수 없는 상황이 발생해서는 안 되며, 암호화 텍스트는 암호화되지 않은 일반 텍스트만 있는 경우보다 디스크 공간을 훨씬 많이 사용해야 하므로 관리하기가 어렵습니다.

이러한 두 가지 요인으로 인해 암호화된 데이터를 저장하기 위해 블록 암호가 아닌 스트림 암호를 사용하는 방식은 효율적이지 않습니다. 스트림 암호와 관련된 또 다른 문제는 authentication을 제공하지 않으므로 "비트 플리핑(Bit-flipping)" 공격에 취약하다는 점입니다. "CTR" 같은 일부 블록 암호는 스트림 암호와 비슷하게 작동하기 때문에 이러한 공격에 취약합니다.

예제 1: 다음 코드에서는 스트림 암호를 만든 후 이를 사용하여 상수 IV로 데이터를 암호화하고 디스크에 저장합니다.


...
const cipher = crypto.createCipheriv("AES-256-CTR", key, 'iv')
const ciphertext = cipher.update(plaintext, 'utf8');
cipher.final();
fs.writeFile('my_encrypted_data', ciphertext, function (err) {
    ...
});

References

[1] Standards Mapping - Common Weakness Enumeration CWE ID 327

[2] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002450

[3] Standards Mapping - FIPS200 MP

[4] Standards Mapping - General Data Protection Regulation (GDPR) Insufficient Data Protection

[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 AU-10 Non-Repudiation (P2), SC-13 Cryptographic Protection (P1)

[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 AU-10 Non-Repudiation, SC-13 Cryptographic Protection

[7] Standards Mapping - OWASP Application Security Verification Standard 4.0 2.6.3 Look-up Secret Verifier Requirements (L2 L3), 2.9.3 Cryptographic Software and Devices Verifier Requirements (L2 L3), 6.2.1 Algorithms (L1 L2 L3), 6.2.2 Algorithms (L2 L3), 8.3.7 Sensitive Private Data (L2 L3), 9.1.2 Communications Security Requirements (L1 L2 L3), 9.1.3 Communications Security Requirements (L1 L2 L3)

[8] Standards Mapping - OWASP Mobile 2014 M6 Broken Cryptography

[9] Standards Mapping - OWASP Mobile 2024 M10 Insufficient Cryptography

[10] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CRYPTO-1

[11] Standards Mapping - OWASP Top 10 2004 A8 Insecure Storage

[12] Standards Mapping - OWASP Top 10 2007 A8 Insecure Cryptographic Storage

[13] Standards Mapping - OWASP Top 10 2010 A7 Insecure Cryptographic Storage

[14] Standards Mapping - OWASP Top 10 2013 A6 Sensitive Data Exposure

[15] Standards Mapping - OWASP Top 10 2017 A3 Sensitive Data Exposure

[16] Standards Mapping - OWASP Top 10 2021 A02 Cryptographic Failures

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.8

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.3, Requirement 6.5.8

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.3

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.3

[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.3

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.3

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.3

[24] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[26] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 7.1 - Use of Cryptography

[27] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 7.1 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design

[28] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 7.1 - Use of Cryptography, Control Objective B.2.3 - Terminal Software Design

[29] Standards Mapping - SANS Top 25 2009 Porous Defenses - CWE ID 327

[30] Standards Mapping - SANS Top 25 2010 Porous Defenses - CWE ID 327

[31] Standards Mapping - SANS Top 25 2011 Porous Defenses - CWE ID 327

[32] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3150.1 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3150.1 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3150.1 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3150.1 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3150.1 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3150.1 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3150.1 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[45] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[46] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[47] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[48] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[49] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[50] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[51] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[52] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000590 CAT II, APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

[53] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000590 CAT II, APSC-DV-002010 CAT II, APSC-DV-002040 CAT II

desc.structural.javascript.weak_encryption_stream_cipher

Abstract

암호화된 데이터가 디스크에 저장되거나 키가 두 번 이상 사용되는 경우 스트림 암호를 사용하는 것은 위험합니다.

Explanation


from Crypto.Cipher import AES
from Crypto import Random
...
key = Random.new().read(AES.block_size)
iv = b'1234567890123456'
cipher = AES.new(key, AES.MODE_CTR, iv, counter)
...
encrypted = cipher.encrypt(data)
f = open("data.enc", "wb")
f.write(encrypted)
f.close()
...