앞서 우린 공인인증서와 암호화폐 지갑의 유사성을
보았습니다.
하지만 아시다시피 둘다 살짜기 불안한 감이 있죠
그것을 극복한 것이 지금부터 설명할
하드웨어 지갑과 생체인식 시스템입니다 +_+/
먼저 하드웨어 월렛입니다.
하드웨어 월렛은 앞서의 키파일을 별개의 하드웨어
깊숙한 곳 메모리에 보관합니다.
PC야 하드웨어를 접근하는 여러가지 방법이 있지만
하드웨어 월렛은 아예 분리되어 있어서
쉽게 접근할 수가 없습니다
고로 키파일을 복사해 갈 수가 없습니다.
설령 복사해가더라도 아시다시피
키파일은 암호화되어 있어 암호가 필요합니다.
그리고 하드웨어 월렛의 암호는
외부입력에 의존합니다.
(NANO S 의 경우 위의 두 버튼키로 비번을 입력)
이걸 세가지로 정리할 수 있습니다.
- 물리적으로 다른 곳에 보관되어 접근이 어렵다
- 암호화되어 있어 가져가 봤자 쓸모가 없다
- 암호화 되어 있지 않은 알짜베기 정보는
아예 저장이 안되어 있고 그때그때 외부에서 입력한다.
근데 정확히 이러한 방식이
우리 일상생활에도 또 있었습니다
바로 생체인증방식입니다.
지문이나 홍채말이죠.
이런 생각을 해보신 적은 있으신가요?
안드로이드폰이 해킹당해서 OTP도 털리고 비번도 털리고
자신의 연락처도 털리고 팬티속까지 털리는 마당에
등록해놓은 지문이 털릴 염려는 없는 것일까요?
정답은 바로 하드웨어 지갑과 같은 곳에서
찾을 수 있습니다.
먼저 물리적 저장창고 얘기입니다.
지문이나 홍체관련의 매우 중요한 생체정보는
핸드폰의 일반 저장영역이 아니라
Secure Element(SE) 라고 불리는 핸드폰내
다른 저장장치에 저장됩니다.
해킹을 하더라도 다른 곳과 달리
이 구역은 쉽게 접근할 수가 없습니다.
두번째로 키파일처럼 이것도 암호화되어 저장됩니다.
단순히 대조를 위해서 존재하죠.
무슨말이냐면 만약 지문을 센서에 대면
센서는 그것을 분석한 후 곧장 암호화해서 저장합니다
이 암호는 단방향 암호라고 해서 역방향으로 풀수가 없습니다
즉 암호화는 할 수 있지만 해제는 못하는 것입니다.
다만 똑같은 정보를 암호화하면 똑같은 결과물이 나옵니다
이에 대해선
🔗해시함수를 알아보자
요기에 상세히 적어놨습니다.
http://www.convertstring.com/ko/Hash/SHA256
여기가서 자신의 아이디를 치고 암호화하면
아래에 결과가 나올 것입니다.
(저는 TWINBRAID를 쳤습니다)
64자길이의 긴 암호가 나오는데 이는 역해독이 안되므로
해킹해봤자 아무짝에도 쓸모가 없습니다.
하지만 TWINBRAID 를 치면 한자도 틀림없이
반드시 저 결과가 나옵니다.
그것을 응용해서 비밀번호를 직접 저장하지 않고
저렇게 암호화된 결과만 저장해놓고 있다가
상대가 비번을 입력했을때
해당 결과랑 똑같은가만 확인하면 상대방이 올바른
패스워드를 입력했다는 것을 알수 있는 것입니다.
마찬가지로 지문을 최초등록할때
암호화문장을 보관하게 됩니다.
그리고 이후 지문을 갖다대면 센서가 정보를 암호화한후
기존에 등록된 암호문장과 비교합니다.
그것이 동일하다? 그럼 99% 본인인 것이죠.
세번째로 진짜 알짜베기인 지문정보는 아시다시피
인간의 몸에 찰싹 붙어있습니다.
그리고 핸드폰안에 저장해두는게 아니라
그때그때 일회성으로 입력하죠.
거기에 요즘은 센서와 암호화 기술이 발달하여
단순히 지문 사진을 찍는거로는 안됩니다.
광학센서와 압박센서등을 통해
3차원적으로 지문의 모습을 재현하고 암호화합니다.
즉, 해킹을 할려면 본인을 납치-ㅅ-하거나
아니면 손꾸락을... (생략) 인 것입니다.
어떤가요
생각보다 하드웨어 지갑이나 보안의 체계가
어렵지만은 않죠? +_+/
nice post plz upvote me urgently request reward
흐어어 저는 절대 알 수 없는 흥미로운 세계!
늘 궁금하고 불안했던 부분인데 효자손글 감사합니다
님두 알수 있습니다!! 구글님이 계시니까요! +_+/
그리고 구글선생님께 물어보면 이 글이 나오죠 ㅎㅎ
매우 유용한 정보 @twinbraid.
공유 해 주셔서 감사합니다, 건강하게 잘 지내기를 바랍니다.
어렵..ㅋㅋ 핵심은 털리지 않으려면 나노 렛저?? 하드웨어 지갑이 꼭 필요하겠군요. 컴퓨터랑 휴대폰 털리면 전 개망..
웬만큼 재산을 암호화폐에 넣어두고 있다면 하드웨어지갑을 강추합니다
안전장치가 하나도 없어 한순간에 통채로 날아갈 수 있는게 암호화폐라
스스로 최대의 수단을 마련해야되죠
아 트윈님, 혹시 트론 존버방에 계신가요? 오늘 어떤 분이 거기서 트윈님 봤다고 그러시던데.
아뇨 전 트론 안샀어요. 그리고 요새 짬이 안나서 카톡방은 거의 안들어갑니다ㅠㅠ
아 그럼 그 사람은 사칭이네요. 이 사실을 얼른 단톡방에..
뭔지는 잘 모르겟지만 좋은 정보군요! 후훗!
언제나 수고하십니다? ㅎㅎ
감사합니다 언젠간 이런 걸 적을 필요없이
쉽게 될날이 올겁니다.
하드웨어월렛은 지문인식같은 더 안전한 수단을 가지고 있군요 기회되면 하나 구입하고 싶어요
하드웨어 월렛이 가졌다기보다.. 지문인식의 보안원리가 비슷하다고 할 수 있겠네요
아.... 저는 하드웨어지갑이라는게 그냥 usb인줄 알았네요;;;
이런 똥멍청이...
혹시 하드웨어지갑중에 지문으로 작동하는것도 있나요?
금년 6월을 전후해서 많은 업체들이 출시 예정입니다. 다만 지문인식이라도 다 같은 지문인식이 아닙니다. 지문센서의 성능, 보안알고리즘, BIP 준수 여부에 따라 좋은 제품을 구매하셔야 합니다.
와....
저는 그동안 뭘 알고 있었던걸까요?;;
진지하게 고려해봐야겠네요.
대부분 그냥 usb정도로 알죠. 저도 그랬습니다 ㅎㅎ
mikekim님 말씀처럼
지문으로 작동하는 방식을 개발중에 있는 걸 압니다.
당장은 아니더라도 좀 알아봐둬야겠네요.;;;
스팀잇을 접하지 않았더라면
'남'의 일로 치부되었을텐데...
싶은 생각이 절로 들었네요..
잘 보고 가요
그렇죠. 저도 완전히 몰랐을겁니다.
예전 비트코인 붐이 있었을때도 그냥 남의 일로 넘어간것처럼..
안녕하세요. TWINBRAID님. 하드웨어 지갑에 대해 좋은 글을 써주셔서 감사합니다. 하드웨어 지갑은 업체마다 다르게 만드는 것이 아니라 BIP로 표준화되어 있으며 보통 BIP 32, 39, 44 를 지원하면 됩니다. 그리고 저장은 WIF 로 저장됩니다. https://en.bitcoin.it/wiki/Wallet_import_format
이것도 비빔밥으로 표준화되어 있었군요. 하긴 안그러면 이것저것 나올테니.. 좋은 정보 감사합니다
네..좋은 글 잘 읽었습니다. 보완은 철저한 것 같은데..마지막 문장과 같이 극단적인 끔직한 범죄가 더 많이 발생되는 것은 아닌지 살짝 걱정이됩니다. 감사합니다.
매우 중요한 정보.. 예를들어 이 사람이 돈을 많이 가지고 있고
그것을 빼내는 중요한 수단이 지문이며
그것이 통용되는 장치는 무엇이다.. 정도까지 유출되지 않으면
그럴일은 거의 없을 것 같습니다.
보통 부자들은 유동성 자산보다는 부동산등.. 쉽게 뺄수 없는
자산을 많이 만들어두죠.
하드웨어 지갑도 고려해 봐야겠습니다. 그리 큰 돈을 가진 건 아니지만요 ㅎㅎ
일단 마음이 편하니까요. 지갑이 비싸긴한데..
전 이미 뽕을 뽑았다고 생각합니다 ㅎㅎ
저는 biometric info에 대해 조금 다른 의견을 가지고 있습니다. 요즘 유행처럼 많이들 쓰고 있지만 역시 그래도 가장 보안성이 좋은건 여전히 password라고 생각합니다 .
https://theintercept.com/2015/03/26/passphrases-can-memorize-attackers-cant-guess/
예를 들어...다른 이의 지문을 훔치기 위한 방법은 으~엄처~응나게 많습니다. 사진에서 추출한다던지 그 사람이 많이 쓰는 물건에서도 손쉽게(?) 구할 수 있습니다. 손꾸락을 절단할 필요도 그 사람을 납치할 필요도 없죠. 더욱 조심해야 하는건 이 biometric info는 한번 유출되고 나면 이번 생이 끝나기 전까지는 바꿀 수 없다는 것입니다. 편리한 것에는 반드시 대가가 따릅니다 ;)
본문에도 있지만 좋은 센서는 단순히 사진이라던지, 물건에서의 지문체취로는 통용되지 않습니다. 또한 등록한 단계에서 info 형태로 유출되지도 않습니다. 암호화되어 있으니까요.
결국 센서단계에서 지문정보를 가져오는 수밖에 없습니다.
매우 세밀하게 말이죠. 그런데 그런 경우는 거의 없습니다.
그리고 그정도로 유출될 정도면 이미 패스워드는 다 털린 후 겠죠.
그외에도
패스워드보다 월등한 점이 입력시 분리된 하드웨어를 통한다는 것과
소지와 입력이 훨씬 편하다는 것입니다.
자신의 몸이 패스워드니까요.
분리된 하드웨어를 통하는 것은 위의 하드웨어 월렛 역시
실현하고 있지만 역시 생체인식에 비하면
입력이 어렵고 유출 가능성은 월등히 높습니다.
SAR 말씀하시는 것 같은데 불행하게도 아무리 좋은 센서라 할지라도 100% spoofing을 막을 수는 없습니다. 좋아봤자 2~8% 정도니까 물건에서의 지문체취나 사진에서의 지문체취로 fingerprint template의 구현이 가능합니다. 물론 그런 경우는 말씀하신대로 많이는 없지만 해보면 당연히 가능합니다. 그리고 그런 matching algorithm SW quality도 보안에 한 몫 하는데..이건 아시다시피 회사마다 SW quality가 굉장히 다르기 때문에 그냥 그렇게 무조건 안전하다고 믿는 것은 좀 위험하지 않을까 하는것이 제 생각입니다. biometric password가 많이 뚫리지 않았던 이유는...일단 remote attack이 어렵고 ROI가 낮기 때문이죠. 해킹에 들어가는 비용에 비해 얻어낼 수 있는 정보가 그닥 가치가 없기 때문인데...cryptocurrency로 넘어가면 이게 또 다른 얘기가 됩니다. 아까 제가 붙여드린 링크에서처럼 안전하게(?) password를 만들고 관리한다면 biometric password 보다는 훨씬 안전합니다. NSA도 못뚫으니까요~ ㅋ
보통 보안업계(?)에서 password의 안전성과 보안성을 논할 때 'password > bitmetric password' 입니다. 소지와 입력의 편리함이 무조건 덜 secure 하다는 것은 아니지만 그만큼 attack surface이 넓어져서 hacking의 가능성을 높이는 것은 맞는듯 합니다. 그냥 제 2 cent 입니다~ ㅎ
만5세 바께 안되서 억울하게 죽은 관우를 도와주십시요