Re: 질문있어요.. from Sangwhan Moon on 2013-08-09 (public-html-ig-ko@w3.org from August 2013)

From: Sangwhan Moon <sangwhan@iki.fi>
Date: Fri, 9 Aug 2013 21:07:09 +0900
To: yslee <yslee@pentasecurity.com>
Cc: Wonsuk Lee <wonsuk73@gmail.com>, HTML KIG <public-html-ig-ko@w3.org>
Message-ID: <CAO4+quGtG+5vfJ5X3XHiSDK5OO3b+Q+Vv9p_uAgLG+BFzn0MyQ@mail.gmail.com>
2013/8/9 yslee <yslee@pentasecurity.com>

> 안녕하세요.
> 지난 번 행사때 처음 만나서 되지도 않는 이런 저런 질문들을 했었는데.. 혹
> 시 기억하실 지 모르겠습니다.
> 이번 교육 때 session I, II 가 진행되지 않아 매우 아쉬웠습니다.
>
> 저는 보안 관련 업체에서 개발을 하고 있는데요.
> 웹에 대한 이해가 짧아서 질문이 이상하더라도 살짝 이해해 주시길 부탁드립니다.
>
> HTML 5에 보면 CryptoAPI 가 제공되는데요.
> 제가 궁금한 것은 난수 부분입니다.
> 난수는 보통 Block cipher에서 key를 만들거나, 공개키 특히 RSA에서 short
> message attack을 방지하기 위한 de facto standard인 RSA-OAEP(현재는
> RSAES)에서 사용되기 때문에 필수라고 할 수 있습니다.
>
> 아시겠지만, 난수는 entropy 확보를 위하여 난수를 생성하는 seed(block
> cipher의 한 종류인 SEED가 아니라 난수를 생성하기 위한 씨앗 값을 말합니
> 다.)가 매우 중요합니다.
>
> 현재 우리나라에서 인정하는 표준은 ISO/IEC 18033-2:2006입니다.(기존에는
> "FIPS PUB 186-2 Addendix 3에 명시된 난수발생기의 변형 모델 중 SHA-1을 이
> 용한 G함수 사용 모델"이었습니다.)
>
> 국정원에서는 최소 256의 entropy를 확보하도록 하고 있는데, 이를 위해서
> CPU Clock, PID, TID, memory address, mouse pointer 위치 등의 값들을 가져
> 옵니다.
>
> 제 질문의 요지는 HTML 5에서 저런 system의 값들을 가져올 수 있느냐는 것입
> 니다.
> 가져올 수 없다면 우리가 "난수"라고 부를 수 있는 것들을 생성하기 어렵기
> 때문입니다.
>
> 기존에 Javascript 등으로 암호 알고리즘을 구현하고 싶어도 할 수 없었던 이
> 유가 난수를 제대로 만들 수 없어서였습니다.
>
> HTML 5에서 이 문제를 어떻게 해결하고 있는지 궁금합니다.
> 아시는 분들 있으시면 답변 부탁드릴께요.
>

암호화에 대해서 전문가는 아닌지라 허접한 답변이 될 수 있습니다만, 요부터 말씀드리면 순수
javascript로는 언급하신 접근 방법 자체를 그대로 구현하는건 불가능하다고 봅니다.

다만,  가장 근접한것이 window.crypto.getRandomValues가 되는데, 이것의 하위 단에 있어서
구현 방법 자체는 브라우저 그리고 환경에 따라 달라집니다. 언급하신 방법을 true multi process
+ multi threading 환경에서 구현할 경우 해당 방법과 유사한 또는 추가적인 요소들이 포함될 것으로
생각됩니다. 반대로 RTOS와 같은 cooperative multi tasking 환경의 경우에는 다르게 구현을 해야
할것으로 생각됩니다.

이유인즛은, cooperative multi tasking 환경의 경우에는 PID가 없고, TID도 없고, memory
address의 경우 대부분 정해진 절대 주소에 매핑이 되는 지라 해당 요소들의 변동 여지가 굉장히
적기 때문에 getRandomValues() 의 구현 단에서 다른 방법으로 접근을 해야할 것으로 생각됩니다.
기본적으로는 현재 상황에서는 getRandomValues()를 사용하고 나머지는 브라우저에 맡기셔야 합니다.

추가적으로 Math.random()의 경우 대다수 브라우저에서 가장 속도가 빠른 PRNG를 사용하는 경우가
대부분이므로 암호용 entropy로 사용하는건 대단히 위험합니다. 아울러 암호화와 무관하면서도 난수성이
높아야만 하는 프로그램을 구현하는데에도 사용하기가 어렵습니다. 이것 때문에 이전에 [1] mersenne
twister를 javascript로 구현한적이 있습니다. 다만 MT도 암호화용으로는 사용하기는 어려울것으로
생각합니다.

순수한 여담이지만 CPU clock이라고 말씀하신건 clock speed가 아니라 tick count겠지요? clock
speed를 entropy용으로 사용하고 있다면 최근 상황에서는 난수성이 적다고 봅니다만... (tick count또는
프로세스 시작 시점부터의 정밀한 단위의 monotonic timer를 이용하는거라면 괜찮겠지만요)

(특히 CPU 종류가 그닥 많지 않은 모바일이나 Mac 환경에서는 더욱 문제가 될 것으로 생각합니다만..)

만약에 javascript로 난수성이 높은 정보를 가져오고 싶다면 1) 사용자 입력을 유도해서 그 입력시
발생하는 key/mouse/touch/pointer events 2) deviceorientation events 3) sensor
apis
그리고 4) webrtc의 getusermedia 를 이용해서 카메라에서 들어오는 데이터 등을 적당ㅎ사용하는
방법이 있을것으로 생각됩니다. (geolocation도 사용이 가능할 것 같긴 합니다만, 기본적으로
triangulation 이 된 데이터를 받는지라 원하는 만큼 난수성이 높을지는 잘 모르겠습니다.)

감사합니다.
문상환 배상

[1] https://github.com/cynthia/mt.js
Received on Friday, 9 August 2013 12:07:36 UTC