초록 ▼

본 연구의 목적은 정보보호제품의 개발에서 가장 활발히 사용되고 있는 암호 및 통신용 오픈소스인 OpenSSL 암호컴포넌트의 시험방법론을 연구 및 개발하는 것이다. 이 목적을 달성하기위한 세부 목표는 다음과 같다.
(1) 오픈소스 관련사항 조사 및 분석
$\bullet$ 오픈소스의 일반사항 조사
$\bullet$ 오픈소스의 보안문제 및 평가현황의 조사 및 분석
$\bullet$ 오픈소스형으로 제공되는 보안 분석 및 시험도구의 조사 및 분석
(2) 소

본 연구의 목적은 정보보호제품의 개발에서 가장 활발히 사용되고 있는 암호 및 통신용 오픈소스인 OpenSSL 암호컴포넌트의 시험방법론을 연구 및 개발하는 것이다. 이 목적을 달성하기위한 세부 목표는 다음과 같다.
(1) 오픈소스 관련사항 조사 및 분석
$\bullet$ 오픈소스의 일반사항 조사
$\bullet$ 오픈소스의 보안문제 및 평가현황의 조사 및 분석
$\bullet$ 오픈소스형으로 제공되는 보안 분석 및 시험도구의 조사 및 분석
(2) 소프트웨어 컴포넌트 시험방법의 조사 및 분석
$\bullet$ 시험방법론의 조사 및 분석
$\bullet$ 컴포넌트에 대한 인터페이스 도출 방법 및 시험기법 분석
(3) OpenSSL 버전 0.9.7의 분석
$\bullet$ 보안컴포넌트의 기능 및 보안모듈 분석
$\bullet$ 각 보안모듈별 구성요소 및 인터페이스 도출
$\bullet$ 명령어 및 알려진 취약성 조사
$\bullet$ 보안기능의 파악 및 분류와 CC 보안기능과의 대응성 도출
(4) OpenSSL이 포함된 제품의 시험 및 평가 방법론
$\bullet$ 시험 및 평가방법론의 골격
$\bullet$ OpenSSL로부터 제출물의 도출방법
$\bullet$ 실시간 OpenSSL 실행모니터링 시스템의 개발

Abstract ▼

(1) Major research targets are listed as follows:
$\bullet$ obtaining structural information of OpenSSL
$\bullet$ obtaining relationship between OpenSSL and CC security functional requirement
$\bullet$ deriving documents from OpenSSL by means of static analy

(1) Major research targets are listed as follows:
$\bullet$ obtaining structural information of OpenSSL
$\bullet$ obtaining relationship between OpenSSL and CC security functional requirement
$\bullet$ deriving documents from OpenSSL by means of static analysis or reverse engineering
$\bullet$ developing guidances of develop and evaluation of TOE that developed by using OpenSSL
(2) Scope and contents of research are listed as follows:
$\bullet$ Open Source Software(OSS)
- survey on OSS
- security problem of OSS
$\bullet$ Component based software testing method
- survey on software testing method for OSS
- derivation method of interface and testing method for software component
$\bullet$ Analysis of Crypto API in OpenSSL
- effect on security
- derivation of structure of Cryptographic function and component in OpenSSL
- derivation of interface of cryptographic modules
- correspondence between security function of OpenSSL and CC's functional requirement

목차 Contents

• 표지 ...1
• 제출문 ...2
• 요약문 ...3
• SUMMARY ...8
• 목차 ...12
• Table of Contents ...16
• 그림 목차 ...20
• 표 목차 ...24
• 제1장 서 론 ...26
• 제2장 오픈소스 소프트웨어 ...28
• 제1절 일반사항 ...28
• 1. 역사 ...28
• 2. 개념 ...30
• 3. 정의 ...30
• 4. 특성 ...32
• 5. 라이센스의 종류 ...33
• 6. 법적문제 ...34
• 제2절 오픈소스의 종류와 평가현황 및 보안 문제 ...35
• 1. 오픈소스의 종류 ...36
• 2. 오픈소스중 보안성 평가된 제품 ...44
• 제3절 오픈소스의 보안문제와 개발 프로세스 ...46
• 1. 오픈소스의 보안문제 ...46
• 2. 오픈소스의 개발 프로세스 ...48
• 참고문헌 ...51
• 제3장 소프트웨어 시험기술 ...53
• 제1절 시험의 일반사항 ...53
• 1. 시험시 고려 사항 ...53
• 2. 시험기술 ...55
• 3. 시험기술의 예제 ...64
• 제2절 소프트웨어 컴포넌트 기반 시험방법 ...72
• 1. 컴포넌트의 특성 ...73
• 2. 컴포넌트의 시험시 고려사항과 전략 ...74
• 3. 소프트웨어 컴포넌트 기반 시험방법의 종류 ...78
• 4. 시험 측정 기법 ...86
• 제3절 보안시험 ...89
• 1. 일반시험과 보안시험간의 차이 ...89
• 2. 보안시험의 종류 : 침투시험, 적합성 시험 ...90
• 3. 공개소스형 소프트웨어 보안 검증도구 ...91
• 4. 오픈소스 보안 시험방법론(OSSTMM) ...97
• 참고문헌 ...102
• 제4장 오픈소스의 보안평가 ...104
• 제1절 암호모듈 평가 ...104
• 1. 암호모듈 평가체계 : CMVP ...104
• 2. CMVP에서의 보안 등급 ...105
• 3. 암호모듈 평가기준 : FIPS 140-2 ...107
• 4. 암호 알고리즘 구현 적합성 평가 ...116
• 제2절 정보보호제품 평가 ...131
• 1. 개요 ...131
• 2. 보안기능요구사항 및 보증요구사항 클래스 ...132
• 제3절 CC/CEM에 나타난 오픈소스의 평가 기준 ...136
• 1. 가정 사항 및 분석 기준 ...137
• 2. CC에서의 오픈소스에 대한 평가요구사항 분석 (상세 분석) ...139
• 3. CEM에 나타난 오픈소스 평가요구사항 (EAL4를 중심으로) ...143
• 참고문헌 ...147
• 제5장 OpenSSL 분석 ...149
• 제1절 일반사항 ...149
• 1. OpenSSL 개요 ...149
• 2. 개발 방법 ...150
• 3. OpenSSL 분석 - Crypto ...153
• 4. OpenSSL - Crypto 동작 Call 분석 ...171
• 5. OpenSSL- SSL 분석 ...184
• 6. OpenSSL기능 명세 ...191
• 7. OpenSSL의 취약성 ...193
• 제2절 OpenSSL의 보안기능 분류 체계 ...193
• 참고문헌 ...208
• 제6장 실시간 OpenSSL 실행 모니터링 시스템 ...209
• 제1절 요구사항 명세 ...209
• 제2절 ROSEM의 설계 ...211
• 1. ROSEM의 동작 알고리즘 ...211
• 2. ROSEM의 구조설계 ...215
• 제3절 구현 ...225
• 제4절 ROSEM의 사용 방법 ...226
• 1. 준비 작업 ...226
• 2. ROSEM의 사용방법 ...229
• 제7장 OpenSSL 컴포넌트의 시험방법 ...234
• 제1절 오픈소스의 시험방법의 고려사항 ...234
• 1. 평가 기준 ...234
• 2 평가 프로세스 ...234
• 3. 평가 제출물 ...235
• 4. 고려사항의 요약 ...236
• 제2절 OpenSSL 컴포넌트 시험방법론 ...237
• 1. 평가 절차 ...237
• 제3절 OpenSSL 컴포넌트의 시험사례 ...255
• 제8장 요약 및 결론 ...271
• 부록 A. BS-7925의 부록 ...275
• A.1 프로세스 지침 ...275
• A.2 시험기술과 시험측정 지침 ...286
• A.3 시험기술의 효과성 ...330
• A.4 참고문헌 ...333
• 부록 B. OpenSSL 취약성 목록 ...334
• 부록 C. OpenSSL 명령어 목록 ...337
• 부록 D. OpenSSL의 RC2 기능 수행시의 함수 호출 순서 ...381
• 부록 E. OpenSSL API 목록 ...399