TLS 통신에서 가장 중요하고 복잡한 단계는 Handshake 단계라고 할 수 있다. 

이 과정에서 상호 인증 및 통신에 사용할 알고리즘과 공유키를 결정 하기 때문이다. 


각 과정은 다음의 순서로 진행된다. 


1. Client Hello 

  • 클라이언트가 서버에 Client Hello메시지를 전송한다. 
  • 메시지는 버전, Nonce,  세션 ID, Cipher Suites, Compression Methods 등의 정보를 포함한다. 

2. Server Hello 

  • Client Hello메시지를 받은 서버도 클라이언트에 Server Hello메시지를 전송한다. 
  • 포함된 정보는 Client Hello와 동일하다. 

3. Certificate 

  • 서버는 자신의 certificate를 클라이언트에게 전송한다. 
  • 필요에 따라 CA의 certificate를 함께 전송하기도 한다. 
  • 클라이언트는 서버의 인증서가 유효한지 검사한다. 
  • 필요에 따라 서버 인증서의 CN을 검사할 수도 있다. 

4. Server Key Exchange

  • 서버는 ECDHE 키 쌍을 만들어서 클라이언트에게 public키를 전송한다. 
  • 이 키는 클라이언트의 public키를 이용해서 ECDHE shared secret를 만들기 위해 사용된다. 

5. Certificate Request

  • 서버는 클라이언트의 certificate를 요청하는 메시지를 전송한다. 
  • 서버가 지원하는 certificate type 목록을 보낸다. (RSA, ECDSA, etc)

6. Server Hello Done

  • 서버가 자신의 Hand shake 절차가 완료 되었음을 알리는 메시지를 전송한다. 

7. Certificate

  • 서버의 Certificate Request를 받은 클라이언트가 자신의 certificate를 서버에게 전송한다. 
  • 클라이언트도 필요에 따라 CA의 certificate를 함께 전송하기도 한다. 
  • 서버는 클라이언트의 인증서가 유효한지 검사한다. 

8. Client Key Exchange

  • 서버와 마찬가지로 ECDHE키 쌍을 만들어서 서버에게 public 키를 전송한다. 

8.1 Encryption Keys Calculation

  • 서버와 클라이언트는 상대방으로부터 받은 public 키를 이용해서 PreMasterSecret라고 부르는 ECDHE shared secret를 생성한다. 
  • PreMasterSecret을 키로 쌍방의 Nonce값을 HMAC 연산한 결과를 이용해서 MasterSecret를 생성한다. 
  • MasterSecret 값을 가지고 다음 용도로 사용한다. 
    • 클라이언트/서버의 MAC 키
    • 클라이언트/서버의 대칭 암호 키
    • 클라이언트/서버의 CBC 암호화 용 IV(Initial Vector)값 

9. Certificate Verify

  • 클라이언트는 Handshake 한 모든 메시지의 서명된 Hash값을 전송한다. 
  • 서버도 동일한 값을 계산하여 클라이언트가 보낸 Hash값과 같은지 비교하게 된다. 

10. Change Cipher Spec

  • 클라이언트가 성공적으로 공유키를 생성했으며, 이후 메시지는 암호화 하여 전송할 것을 알리는 메시지는 전송한다. 

11. Finished(Encrypted Handshake Message)

  • 클라이언트는 서버에게 Handshake가 성공적으로 완료 되었음을 알린다. 
  • Handshake 메시지에 대한 hash를 암호화 해서 전송한다. 

12. Change Cipher Spec

  • 서버도 공유키 생성이 성공 했음을 알린다. 

13. Finished(Encrypted Handshake Message)

  • 서버도 Handshake가 성공적으로 완료 되었음을 알린다. 

14. 애플리케이션 데이터 

  • 서로 상대방에게 전송할 데이터를 암호화 해서 전송한다. 


TLS Handshake 예제 패킷은 다음 사이트에서 확인 해 볼 수 있다. 

https://tls.ulfheim.net/

'IT 생활 > TLS & Mbedtls' 카테고리의 다른 글

openssl로 ssl/tls 통신 절차 확인하기  (5) 2018.11.22
Posted by KT한
,

SSL/TLS 통신이 동작하는 원리를 이해하기 위해 opensssl로 간단하게 서버-클라이언트 통신을 확인 해 보자.


먼저 서버와 클라이언트간 상호 인증을 위해 사용할 인증서 및 키를 준비해 줘야 한다. 

별도로 만드는게 귀찮아서 Mbedtls에서 제공하는 인증서 및 키 파일들을 가져와 사용하였다. 

mbedtls 코드를 git에서 받아서 보면 tests/data_files 폴더에 여러 종류의 인증서 및 키 파일들이 존재한다. 


서버는 다음과 같은 형식으로 실행해 준다.  

옵션으로 서버의 인증서 및 키 그리고 CA의 인증서 파일을 지정해 준다.

'Verify'옵션은 상호 인증을 위해 지정해 주며 인증서 체인의 depth를 숫자로 주면 된다.

예를 들어 서버 인증서를 CA가 직접 발급해 줬다면 depth는 1로 하면 된다. 


클라이언트는 다음과 같은 형식으로 실행해 준다. 


옵션은 서버와 동일하다. 


정상적으로 TLS 연결에 성공하였다면 터미널에서 입력한 메시지가 상대방 터미널에 표시된다. 

아래 접혀져 있는 로그를 펼쳐서 확인해 보면 맨 하단에 클라이언트가 전송한 'Hello' 메시지를 서버쪽 로그에서 확인 할 수 있다. 


TLS 서버 로그 


TLS 클라이언트 로그 




'IT 생활 > TLS & Mbedtls' 카테고리의 다른 글

TLS 핸드쉐이크 (Handshake) 프로토콜 분석  (0) 2018.11.23
Posted by KT한
,

스마트폰이 등장한 이후로 한때 M2M이나 유비쿼터스(Ubiquitous)로 불리던 것들이 IoT(사물인터넷)란 이름으로 재조명 받고 있습니다. 정부나 기업들도 앞다퉈 IoT란 이름을 붙여서 새로운 사업이나 제품을 출시하고 있는 상황이죠. 

현재 가장 주목받고 있는 기술 중 하나가 블루투스 비콘(Bluetooth Beacon)일 겁니다. 이미 상품화 된 것도 많죠.  실질적으로 사용자들이 쉽게 체감 할 수 있고 별도로 장치를 구입하지 않아도 기존의 스마트폰에서 쉽게 사용이 가능 하기 때문일 겁니다. 


서론은 이쯤에서 접고.. 비콘기술에 사용되는 BLE(Bluetooth Low Energy)에 대해 알아봅시다. 


BLE란?

2010년 6월에 발표한 블루투스 버전 4.0에 Low Energy기술이 탑재되었습니다. Bluetooth Smart라고도 불리며 일반적으로 Bluetooth Low Energy를 줄여 BLE로 불립니다. 

요즘 출시되는 대부분의 스마트폰에 적용되어 있으며 Andorid는 4.3 이후 버전 부터, 아이폰은 iOS5(iPhone 4S) 이후 버전에서 사용 가능합니다. 



  • 기존 버전 대비 다른 점은 아래와 같습니다. 

  1. 저 가격 생산

  2. 저 전력 동작

  3. 디바이스 연결 절차를 간소화

  4.  패킷 사이즈 감소

  5. 채널 수 감소

  6. 음성지원 안됨

  7. 스타-버스 토폴로지 지원


한마디로 힘이 덜드는 일을 오랫동안 지속 가능하도록 했다는 겁니다.  


  • 전원 사용의 효율성을 높히기 위해 다음과 같은 특징을 가집니다.

  1. 동작 사이클을 줄여서 더 오랜시간 슬립(Sleep)하고 덜 자주 깨어납니다. 

  2. GATT profile을 사용해서 더 작은 데이터 패킷을 더 짧은 시간동안 전송합니다. 

  3. 통신을 하지 않는 동안 링크를 유지하지 않습니다. 다음 번 통신 시점에 빠르게 다시 연결을 맺습니다. 


이런 특징들 덕분에 기존 버전의 블루투스에서 주로 사용되던 헤드셋, 키보드와 같은 장치 보다는 헬스케어와 같은 애플리케이션에서 사용하기 적합합니다. 

그리고 비콘 처럼 별도의 전력을 연결하지 않고 작은 배터리로 동작하는 장치에 적용하려면 저전력에서 동작해야 하는데 그걸 BLE가 충족시킬 수 있어서 블루투스 비콘이 이처럼 빠르게 확산되고 있는 거라고 생각됩니다. 




프로토콜 구조

BLE의 프로토콜 스택은 크게 컨트롤러, 호스트 그리고 어플리케이션 영역으로 구분 할 수 있고, 컨트롤러와 호스트 영역 간의 통신을 위해 HCI가 사용됩니다. 


Bluetooth Protocol StackBluetooth Protocol Stack



이 그림은 기존 블루투스와 BLE의 프로토콜 스택을 그림으로 표현한 것입니다. 

두가지 버전을 모두 지원하는 것을 듀얼 모드(Dual-mode)라고 하며 Bluetooth Smart Ready라고도 불립니다. 



  • 각 스택별 역할 

  1. LM(Link Manager): 두 장치간의 무선 링크를 설정하고 컨트롤 하는데 사용됩니다. 

  2. HCI(Hardware Controller Interface): 컨트롤러와 호스트간 통신을 위해 사용됩니다. (bluez패키지에 포함되어 있는 hciconfig, hcitool 명령어를 사용하면 됩니다.)

  3. L2CAP(Logical Link Control and Adaptation layer Protocol): 상위 레벨로 데이터 서비스를 제공하고, 컨트롤러로 보낼 패킷을 쪼개주거나 받은 패킷을 재조합 하는 역할을 합니다. 

  4. SDP (Service Discovery Protocol): 자신이나 다른 장치에서 제공하는 서비스를 탐색하는데 사용됩니다. (bluez 패키지에 포함되어 있는 sdptool 명령어를 사용하면 됩니다. )

  5. RFCOMM (Radio Frequency Communications): 가상 시리얼 데이터 스트림을 생성해서 케이블을 대신 할 수 있도록 해주는 프로토콜입니다. 다시 말해 시리얼 포트 에뮬레이션을 제공합니다. ( bluez패키지에 포함되어 있는 rfcomm 명령어를 사용하면 됩니다.)

  6. GAP (Generic Access Profile): 장치간 페어링과 링크를 위해 사용됩니다. 어플리케이션 레이어에서 다른 블루투스 모드를 구현하기 위한 인터페이스로 사용됩니다.

  7. SM (Security Manager): 암호화화 사용자 인증을 위해 사용됩니다. AES-128bit 암호화 엔진을 사용합니다.

  8. GATT(Generic Attribute Profile): ATT(Attribute Protocol)을 이용하여 서비스 검색, 특성 값 파악, 읽기, 쓰기 등의 기능을 수행합니다. 



디바이스간 통신


BLE는 2.4GHz ISM, 40개의 채널을 사용합니다. 3개의 채널(38~40번째)을 사용해서 광고(advertise)를 하고, 남은 37개의 채널을 통해 데이터를 주고 받습니다.



  • 역할 

BLE에서는 주변장치(Peripheral device) 와 중앙 장치(central device)로 역할을 나눌 수 있습니다. 보통 central은 scan을 하는 스마트폰이 되고, Peripheral 은 비콘과 같은 센서 장치가 됩니다. 

peripheral은 동시에 하나의 central 장치와만 연결을 맺을 수 있습니다. 물론, 하나의 central은 여러 개의 peripheral과 연결을 맺을 수 있습니다. 두 장치 간의 연결이 이루어진 이후에는 peripheral의 advertising이 중단되서 다른 장치에서 peripheral의 advertising을 스캔할 수 없게 됩니다. 



  •  페어링(pairing)과 본딩(bonding)

페어링 절차는 본딩을 생성하기 위해 시작되거나, 서비스에 접속할 때 장치의 ID가 필요한 경우 시작됩니다. 페어링 과정에서 링크 키(link key or shared secret)를 생성하게 되고, 링크 키 생성 후에는 두 장치간 통신은 암호화 됩니다. 

페어링 매커니즘은 v2.1이전과 이후로 나뉘는데 2.0까지는 두 장치가 모두 동일한 PIN코드를 입력해야 페어링이 이루어 졌습니다. v2.1부터는 SSP(Secure Simple Pairing) 매커니즘이 적용 되었는데, 이는 공개키 암호화 형식을 사용해서 MITM공격으로 부터 보호할 수 있는 기능도 제공합니다.

페어링을 성공하고 난 후 두 장치간 본딩을 하도록 하면 다음 번 두 장치간 연결시에는 페어링를 필요로 하지 않게 됩니다.



개발 툴 설치 

BLE 동글(dongle)을 구입해서 다양한 설정을 직접 해보고 싶다면  bluez패키지를 설치 하시면 됩니다. 

해당 패키지 안에는 아래와 같은 유용한 툴들이 포함되어 있습니다. 


  1. hciconfig : 블루투스 장치의 기본적인 설정이 가능합니다. scan을 켜고 끄거나, advertising을 시작/중지 시킬 수 있습니다.

  2. hcitool: 블루투스 장치를 사용 하는데 필요한 기본적인 명령이 가능합니다. scan을 시작하거나 연결을 맺거나 끊을 수 있습니다.

  3. sdptool: 서비스와 관련된 명령이 가능합니다. 자신이나 통신이 가능한 다른 장치의 서비스 정보를 조회하거나 새로운 서비스를 추가/삭제 하는것도 가능합니다.

  4. rfcomm: rfcomm 관련 설정 및 조회가 가능합니다.

  5. bluez-* : 블루투스 장치와 관련된 다양한 설정 및 정보 조회가 가능합니다.

예) bluez-test-discovery: 스캔 가능한 블루투스 장치들의 정보를 보여준다. Pairing, bonding 여부를 확인 할 수 있습니다.


Posted by KT한
,

기본적인 TPM(Trusted Platform Module) 프로그래밍에 대해 알아봅시다. 



 준비 단계 

먼저 필요한 라이브러리들을 설치해야 합니다. 


  • Fedora계열 

# yum install trousers tpm-tools trousers-devel 


  • debian 계열 

$ sudo apt-get install trousers tpm-tools libtspi-dev 


설치를 완료하고 난 후에는 TPM의 takeownership 명령을 수행해서 사용 권한을 획득해야 합니다. 자세한건 이전에 쓴 글을 참고하시면 됩니다. 



 알고 넘어가기  


  • TSS 아키텍처는 아래 그림과 같습니다. 


Architectural overview of the TSSArchitectural overview of the TSS

TPM 프로그래밍에서는 Tspi라이브러리 들을 사용합니다.


  • 다음 라이브러리들은 미리 추가해 두고 시작하는게 편합니다. 


#include <stdio.h>

#include <string.h>

#include <tss/tss_error.h>

#include <tss/platform.h>

#include <tss/tss_defines.h>

#include <tss/tss_typedef.h>

#include <tss/tss_structs.h>

#include <tss/tspi.h>

#include <trousers/trousers.h>


  • 디버깅 함수를 미리 정의해 두고 사용하면 편합니다. 


#define DEBUG 1

#define DBG(message,tResult) if(DEBUG) {printf("(Line %d, %s) %s returned 0x%08x. %s.\n", __LINE__, __func__, message, tResult, Trspi_Error_String(tResult));}


tResult값은 Tspi명령을 수행한 후 리턴 받은 값을 넣어주면 됩니다. 



  • 프로그램 초반부에 항상 필요한 값들은 미리 알아두면 편합니다. 


1. TSS_HCONTEXT 


TSS_HCONTEXT  hContext;

result =Tspi_Context_Create(&hContext);

result=Tspi_Context_Connect(hContext, NULL);



2. TSS_HTPM


TSS_HTPM hTPM;

result=Tspi_Context_GetTpmObject(hContext, &hTPM);



3. TSS_HKEY


TSS_HKEY hSRK;

TSS_UUID SRK_UUID = TSS_UUID_SRK;

result=Tspi_Context_LoadKeyByUUID(hContext, TSS_PS_TYPE_SYSTEM, SRK_UUID, &hSRK);


이 외의 TSS 변수들은  'include/tss/tss_typedef.h' 파일을 참고하면 됩니다. 



  • 모든 작업을 완료한 후에는 불필요한 자원을 해제해주면 됩니다. 

Tspi_Context_Close (h objects you have created);

Tspi_Context_FreeMemory(hContext, NULL);

Tspi_Context_Close(hContext);



필요한 기능 구현하기 


1. 키 생성 - 서명키(signing key)



2. 키 저장 및 로드 



3. 공개키 생성 후 파일로 저장



4. 데이터 해시 (Hashing data)



5. 데이터 실링 (Sealing data)



6. 서명 및 검증 (signing and verify)



7. 랜덤 넘버 생성 


즐거운 TPM 프로그래밍 하세요~


Posted by KT한
,

TPM은 TCG(Trusted Computing Group)에서 만든 것으로 중요한 자료를 안전하게 보호하기 위해 사용됩니다. TPM에 대한 내용은 다음에 차차 다루기로 하고 이번에는 TPM을 사용하는 법에 대해 얘기해보고자 합니다. 


여기서는 debian 환경을 기준으로 정리해보겠습니다.  먼저 TPM을 사용하기 위해서는 관련 패키지들을 설치해 줘야 합니다. 

libtspi-dev, trousers, tpm-tools 을 설치해 줍시다. 


$ sudo apt-get install  libtspi-dev  trousers  tpm-tools


tpm-tools 패키지 안에는 커맨드로 TPM 정보를 읽거나 설정 하는게 가능한 실행 파일들이 존재합니다. 

1.3.7 버전 기준으로 다음과 같습니다. 


tpm_nvread, tpm_changeownerauth, tpm_setoperatorauth, tpm_selftest, tpm_getpubek

tpm_clear, tpm_setpresence, tpm_resetdalock, tpm_restrictpubek, tpm_setclearable

tpm_revokeek, tpm_createek, tpm_nvinfo, tpm_nvrelease, tpm_version, tpm_setownable

tpm_nvwrite, tpm_nvdefine, tpm_setenable, tpm_setactive, tpm_takeownership, tpm_restrictsrk



이제 TPM을 사용하기 위한 초기화 과정을 알아봅시다. 

(명령별로 지정해준 옵션은 해당 명령에 '-h' 옵션을 주면 설명을 볼 수 있습니다. )


먼저, TPM이 정상적으로 인식되는지 확인 해 봅시다. 


$ tpm_version 

  TPM 1.2 Version Info:

  Chip Version:        1.2.37.13

  Spec Level:          2

  Errata Revision:     2

  TPM Vendor ID:       ATML

  TPM Version:         01010000

  Manufacturer Info:   41XXXXX


버전 정보가 제대로 출력되지 않는 다면 TPM이 정상적으로 설치 되지 않았다는 의미입니다. 



TPM을 사용하기 위해서는 궁극적으로는 tpm_takeownership 명령을 수행해 줘야 합니다. 

하지만, 처음 이 명령을 실행하면  다음과 같은 오류가 연쇄적으로 발생하게 됩니다. 


$ tpm_takeownership 


Tspi_TPM_TakeOwnership failed: 0x00000006 - layer=tpm, code=0006 (6), TPM is deactivated

activate되어 있지 않는 다는군요. 


$ tpm_setactive -a 


Tspi_TPM_SetStatus failed: 0x00000007 - layer=tpm, code=0007 (7), TPM is disabled

enable되어 있지 않다고 합니다. 


$ tpm_setenable -e -f 


Tspi_TPM_SetStatus failed: 0x0000002d - layer=tpm, code=002d (45), Bad physical presence value

persence를 해줘야 할것 같군요. 


$ tpm_setpresense -a 


Tspi_TPM_SetStatus failed: 0x0000002d - layer=tpm, code=002d (45), No SRK 

SRK(Storeage Root Key)가 없다고 합니다. SRK는 takeownership을 해줘야 생성됩니다. 결국, 문제는 다시 원점으로 오게 됩니다. 



이를 해결하기 위한 절차는 다음과 같습니다. 


먼저 run level을 single user mode로 변경해 줘야 합니다. 

그렇지 않고 tpm_setenable 명령어를 수행해 보면 


$ tpm_setenable -e -f 


Tspi_TPM_SetStatus failed: 0x0000002d - layer=tpm, code=002d (45), Bad physical presence value 처럼 오류가 발생합니다.


$sudo init 1


자.. run level을 변경한 후..  다시 해보면 .. 


Tspi_Context_Connect failed: 0x00003011 - layer=tsp, code=0011 (17), Communication failure와 같은 오류가 발생하게 됩니다.

trousers 서비스를 시작 시켜줘야 합니다.


$sudo service trousers start


toursers를 실행 해 주고.. 다시 enable을 시켜 줍시다. 


$ tpm_setenable -e -f


만약, 이 때 Tspi_TPM_SetStatus failed: 0x0000002d - layer=tpm, code=002d (45), Bad physical presence value 와 같은 오류가 여전히 발생 한다면..  setpresence 명령어를 실행해 줘야 합니다. 


$ tpm_setpresence -a


별 에러 없이 수행이 완료되면 성공! 다시 한 번 enable해주고..


$ tpm_setenable -e -f


enable이 성공했다면 활성화를 시켜 줍니다. 


$ tpm_setactive -a


정상적으로 active 가 되었다면 .. 'Action requires a reboot to take effect' 이런 메시지가 나옵니다.  리부팅을 시켜줍니다. 


$ sudo reboot


이제 takeownership을 해봅시다. 


$ tpm_takeownership


Tspi_TPM_TakeOwnership failed: 0x00000023 - layer=tpm, code=0023 (35), No EK 와 같은 오류가 발생한다면.. EK(Endorsement Key)가 없다고 하니 EK를 먼저 생성해 줍시다. 


$ tpm_createek


Tspi_TPM_TakeOwnership failed: 0x00002004 - layer=tcs, code=0004 (4), Internal software error 와 같은 에러 메시지가 발생한다면..

다시 한번 reboot을 해줍시다. 


$ tpm_takeownership


오류가 발생하지 않았다면 드디어 ownership을 획득에 성공한 것입니다. 


사용하다가 설정을 다시 초기화 하고 싶다면 clear 명령을 실행하면 됩니다. 


$ tpm_clear 


이상으로 TPM을 사용하기 위한 절차를 알아봤습니다. 

Posted by KT한
,

TPM(Trusted Platform Module)은 TCG(Trusted Computing Group)-신뢰할 수 있는 컴퓨팅 그룹에서 만든 것으로 우리말로는 신뢰(할 수 있는) 플랫폼 모듈 정도로 해석 할 수 있습니다.  암호 키를 매우 안전하게 보관할 수 있는 금고 정도로 생각하면 됩니다. 




왜 TPM과 같은 것이 필요할까요?


개인 PC나 노트북에 다른 사람에게 공개되면 안되는 중요한 자료가 있다고 생각해봅시다. 해커가 이 자료를 훔쳐가지 못하게 하려면 어떻게 해야 할까요? 

아마도 가장 먼저 떠오르는 것은 백신일 겁니다. 이 외에도 애드웨어, 개인 방화벽 등이 해커들의 간단한 공격을 막아 줄 수는 있지만 완벽하게 공격을 차단할 수 있는 소프트웨어란 현실적으로 불가능합니다. 버그가 없는 소프트웨어를 만든다는게 거의 불가능에 가깝기 때문이기도 하지만, 금전적인 이익을 얻기 위한 해커들의 공격 수법이 날로 진화하고 있기 때문이기도 합니다. 


백신등으로 해커의 침입을 완벽하게 막았다 치더라도, 노트북을 분실하거나 A/S를 맡겼을 때 다른 사람이 데이터를 빼간다거나 하는 경우에는 속수무책일 수 밖에 없습니다. 데이터를 복사해가고 원본을 그대로 놔둔다면 자료가 유출됐는지 조차 알아채지 못할 겁니다. 


결국 이런 문제들을 해결하기 위해 중요한 자료를 암호화해서 보관하는게 좋겠다는 결론에 이르렀습니다. 


그래서 인터넷에서 데이터를 암호화 하는 프로그램을 다운로드 받아 중요한 데이터를 암호화 했다면 이제 안전 할까요? 

이전에 비해 상당히 안전해 진 것은 맞습니다. 하지만, 안타깝게도 암호키가 유출된다면 우리의 노력은 수포로 돌아가게 됩니다. 



그림에서 보는것 처럼 컴퓨터만 잠궈두게 되면 하드디스크만 띄어서 다른 컴퓨터에 연결하게 되면 그 안의 자료는 모두 볼 수 있게 됩니다. 


그래서 TCG에서는 이를 보완하기 위해 하드웨어적으로 암호화하는 방법을 고안해 냈고 그게 바로 TPM입니다. TPM을 사용하면 해당 TPM에서만 암호화된 자료를 복호화 할 수 있도록 하여 디스크만 추출해서 내부 자료를 탈취하려는 시도도 막아줍니다. 

TPM의 주요 기능에는 RTM(Root of Trust for Measurement), RTS(Root of Trust for Storage), RTR(Root of Trust for Report)가 있습니다. 


1) RTS(Root of Trust for Storage)

 RSA 암호화 알고리즘을 사용해 암호화 및 복호화를 수행합니다. 

 외부 스토리지에 암호화된 데이터를 저장하기 위해 내부에 보유하고 있는 SRK를 이용해 키를 생성 및 관리하고, 트리 형식으로 스토리지의 데이터를 암호화 하여 관리합니다. 컴퓨터에 저장된 자료를 모두 TPM을 사용해서 암호화 해두었다면 설령 컴퓨터를 도둑 맞더라도 자료가 유출되는 걱정은 하지 않아도 됩니다. 


2) RTM(Root of Trust for Measurement)

 디바이스가 부팅될 때 외부 사용자로부터 불법적인 변경 및 조작이 있었는지에 대한 상태를 점검하고 이전에 저장되어 있는 상태와 비교하여 변화된 동작이 없음을 확인함으로써 디바이스가 무결하다는 것을 증명하는 과정을 말합니다. 

한마디로 누군가 장치에 접근해서 펌웨어와 같은 것을 변조해서 TPM에 있는 키를 빼내려 하는 시도를 막아주기 위한 기능입니다. 


3) RTR(Root of Trust for Report)

 외부의 사용자에 의해서 디바이스에 대한 무결성 인증 요청을 받았을 경우 RTM과정을 통해서 무결성을 인증했던 데이터의 정보를 제공해 주는 역할을 수행합니다. 사실 이것이 보장되지 않는다면 RTM이 보장된다 하더라도 해커에 의해 공격을 받을 수 있기 때문에 반드시 필요한 기능입니다. 



이런 기능들을 제공하기 위한 TPM의 구조는 아래 그림과 같습니다. 



우리는 이제 TPM의 이런 기능 덕분에 노트북과 같은 장치를 도둑맞을 수 있어도 그 내부에 저장된 자료는 도둑맞지 않을 수 있는게 가능합니다. 물론, 노트북을 되찾기는 어렵겠지만요.. 









Posted by KT한
,

IDF 2014 에서 인텔은 에디슨 개발 플랫폼 판매를 시작한다고 발표했습니다. 



에디슨은 인텔의 급성장하는 사물인터넷(IoT)을 위한 개발 플랫폼 입니다. 우표보다 조금 더 큰, 매우 작은 크기의 에디슨은 아톰(Atom) CPU와 쿼크(Quark) CPU를 사용한 듀얼 코어를 탑재하고 있습니다. 주요 스펙은 다음과 같습니다. 


 CPU 

 Dual-Core Silvermont Atom @ 500MHz + Quark @ 100MHz

 RAM 

 1GB LPDDR3 (2x32bit)

 WiFi

 2.4/5GHz 802.11a/b/g/n, BT 4.0

 Storage 

 4GB eMMC

 I/O

 SD + UART + SPI + GPIO + USB 2.0 OTG

 OS

 Yocto Linux v1.6

 크기

 35.5 x 25 x 3.9 mm


에디슨은 인텔의 22nm 공정으로 아톰 실버몬트(Silvermont Atom)과 쿼크(Quark)를 듀얼코어로 탑재하고 있다는 점이 흥미롭습니다. 아톰은 SoC를 위한 주 프로세서이고, 쿼크는 플랫폼에서 다른 기능들을 실행하기 위한 임베디드 마이크로 컨트롤러(embedded microcontroller)의 역할을 하게 된다고 합니다. 무선은 브로드컴(Broadcome) 43340으로 Wifi와 Bluetooth를 제공한다고 하네요. 경량, 저전력 장치를 개발하기에 적합하기 때문에 웨어러블 장치에 많이 사용될것 같습니다. 


에디슨 플랫폼은 추가적은 개발 보드에 부착함으로써 기능을 확장하거나 I/O에 접근할 수 있습니다. 인텔은 USB보드 타입의 'Breakout Board'와 아두이노(Arduino)와 호환가능한 'Arduino Kit' 두가지를 제공합니다. 물론, 아두이노와의 호환성을 제공합니다. 


Edison용 Brakout Board


Edison용 Arduino호환 Board



에디슨 모듈은 현재 $50, Brakout board kit은 $75, Arduino kits은 $100 정도에 판매되고 있습니다. 

혹시 구입해 보고 싶으시다면 SparkFun 상점에서 구입이 가능합니다.  참고로, SparkFun에서 자체 제작해서 판매하는 다양한 kit들도 있답니다. 


Posted by KT한
,

리눅스 환경에서 프로그래밍을 한다면 Makefile의 필요성을 절실하게 느낄겁니다. 

Makefile이 있기에 수 많은 파일을 간단한 명령어 하나로 손쉽게 빌드하는게 가능하기 때문입니다. 

문제는 대규모 프로젝트에서 Makefile을 문법에 맞게 작성하는것이 간단한 일은 손이 많이 가고 귀찮은 일일 겁니다. 


이럴 때 autotool을 사용해 보세요. 

초기 설정과 수정이 용이하고, 누구나 쉽게 변경 할 수 있게 해줍니다. 


프로젝트 폴더로 이동해서 아래의 순서에 따라 명령어를 수행해 보세요. 









$ autoscan 

하위 폴더를 검색해서 configure.scan 파일을 생성해줍니다. 

이 파일을 configure.ac로 이름을 변경해서 사용 하면 됩니다. 


파일명을 변경 한 후 configure.ac 파일을 열어서 대괄호로 묶여 있는 변수에 적절한 값을 채워주세요. 



예를 들면  'AC_INIT'에는 이렇게 되어 있을 겁니다. 


AC_INIT([FULL-PACKAGE-NAME], [VERSION], [BUG-REPORT-ADDRESS])


여기에 아래와 같이 현재 프로젝트에 맞게 값을 채워주시면 됩니다.  


AC_INIT(iwinfo, 1.0, bugreports@kthan.co.kr )




$ autoconf 

configure 스크립트를 생성합니다. (동시에 autom4te.cache 파일도 생성해줍니다. )

이 과정을 위해서는 configure.ac 파일이 존재해야 합니다. 

즉, configure.ac 파일에 있는 설정을 참고해서 configure 파일을 생성하는 겁니다. 



$ aclocal

다음 과정인 automake를 하기 위해 필요한 aclocal.m4 파일을 생성해줍니다. 

이 파일에는 automake에서 쓰는 매크로(macros)에 대한 내용이 들어있습니다. 



$ automake 

Makefile을 만드는데 필요한 Makefile.in 파일을 만들어 줍니다. 

automake명령어를 수행하게 되면 Makefile.am 파일을 참고해서 Makefile.in 파일을 생성해줍니다. 


Makefile.am은  프로그래머가 작성해 줘야 하는 파일로, 해당 프로젝트에 해당하는 정보를 기술해 주는 파일입니다. 

결과물로 생성될 실행 파일 이름을 뭐라고 할 지, 하위 디렉터리, 소스 파일, 사용할 라이브러리 정보 등을 써주셔야 합니다. 



bin_PROGRAMS = kthanUtil

SUBDIRS = tools

kthanUtil_SOURCES = parser.c util.c main.c


AM_CFLAGS = -Wall  -g


kthanUtil_LDADD =

kthanUtil_LDFLAGS= -lm -lpcre



위의 예제만 봐도 대충 어떻게 작성해줘야 하는지 감을 잡을 수 있을 겁니다. 

이 파일은 프로젝트의 모든 디렉터리 마다(include 폴더는 제외) 작성해 주어야 하며, 해당 경로에 소스코드가 없다면 'SUBDIRS'만 쓰면 됩니다. 


Makefile.am 파일의 문법에 대해 자세히 알고 싶으시다면 다음 링크를 참고하세요. 




만약, automake 과정에서 아래와 같은 에러가 발생하면.. 


configure.ac: no proper invocation of AM_INIT_AUTOMAKE was found.

configure.ac: You should verify that configure.ac invokes AM_INIT_AUTOMAKE,


configure.ac 에 아래처럼  'AM_INIT_AUTOMAKE'를 추가해 줘야 합니다. 


AM_INIT_AUTOMAKE(iwinfo, 1.0)



$ autoreconf 

automake 과정에서 config.h.in 파일이 없다고 아래와 같은 오류가 나오면 실행해 줍시다. 


configure.ac:7: required file `config.h.in' not found


그러면 config.h.in 파일이 생성됩니다. 



$ automake --add-missing

automake 에서 아래와 같이  'COPYING' 이 필요한데 없다고 에러가 나면 실행해 줍시다. 


Makefile.am: required file `./COPYING' not found

Makefile.am:   `automake --add-missing' can install `COPYING'


그러면, 'COPYING'와 같은 automake 에 필요한 디렉터리가 자동으로 생성됩니다. 



$ ./configure

autoconf로 생성한 configure를 실행 시킵니다. 

이 스크립트는 automake로 생성한 Makefile.in을 참고해서 Makefile을 만들어줍니다. (중간 과정에서 config.status 파일이 생성됩니다. )

이 과정까지 모두 오류없이 진행 하였다면 Makefile이 생성되어 있어야 합니다. 



$ make

위 과정에서 생성한 Makefile에 따라 빌드를 수행합니다.



$ make install

필요에 따라 빌드한 결과를 설치하면 됩니다. 



결과적으로 직접 만들어 줘야 하는 것은 Makefile.am 파일 하나 밖에 없구요. configure.ac는 조금 수정만 해주면 됩니다. 

과정이 조금 복잡해 보이기는 하지만 한 번 설정 해두면 복잡한 문법의  Makefile  대신 하위 디렉터리, 소스코드 이름 정도만 나열해 주면 되는 Makefile.am파일만 수정하면 되기 때문에 매우 편하게 작업을 할 수 있답니다. 



Posted by KT한
,

클래쉬 오브 클랜(Clash of Clans)은 다른 유저의 마을을 공격해서 일명 전리품인 골드(Gold ), 엘렉서(Elixir ), 다크 엘렉서(Dark Elixir ) 를 약탈 할 수 있습니다. 

물론, 상대방이 내 마을에 와서 약탈해 갈 수도 있구요. 


클래쉬 오브 클랜에는 약탈하는 자원에 관란 공식이 존재합니다. 

이 게임을 조금 더 재미있게 즐기고자 한다면 이 공식을 외울 필요는 없더라도 대략적으로라도 알아두는게 좋습니다. 




Clash of Clans 에는 약탈이 가능한 자원 건물 종류는 마을회관, 생산건물, 저장소로 총 세가지가 존재합니다. 

각각에 대해 자세하게 알아봅시다. 



마을 회관(Town Hall)


레벨에 무관하게 골드/엘렉서가 각각 1,000씩 보관되어 있습니다. 별도의 제한 없이 모두 약탈 가능합니다. 



생산건물 

자원을 추출하는 건물을 말합니다. 

업그레이드를 통해 시간당 추출하는 자원의 양과 보관할 수 있는 양을 늘리는게 가능합니다. 


금광(Gold Mines)/엘렉서 정제소(Elixir Collectors)





골드/엘렉서를 생산하는 건물을 말합니다. 금광과 정제소에 수거하지 않고 보관되어 있는 자원의 50%까지 약탈 할 수 있습니다. 

별도의 최대치는 없습니다. 


다크 엘렉서 정제소(Dark Elixir Drill)



다크 엘렉서를 생산하는 건물을 말합니다. 정제소(Dril)에 수거하지 않고 보관되어 있는 자원의 75%까지 약탈이 가능합니다. 

역시 별도의 최대치는 없습니다. 



저장소(Storages)

자원 추출기를 통해 생산한 자원을 보관해 두는 건물입니다. 

많은 양의 자원을 보관 하는 것이 가능하며 업그레이드를 통해 보관양을 늘릴 수 있습니다. 


골드(Gold Storage)/엘렉서(Elixir Storage) 저장소 


공격하는 사람의 타운홀이 1~5레벨 까지는 저장소에 있는 자원의 20%까지 약탈이 가능합니다. 

약탈 가능한 최대치(cap)가 존재하는데 20만 입니다. 

타운홀 6부터는 타운홀 레벨이 1 올라갈 때마다 2%씩 약탈 가능한 자원이 줄어듭니다. 대신, 약탈 가능한 최대치는 5만씩 증가됩니다. 


침략자 타운 홀(Town Hall) 레벨 

약탈 가능한 퍼센트(%) 

 최대치(Cap) 

 최대치 만큼 약탈하기 위해 보관되어 있어야 하는 자원 양 

 1-5

 20%

200,000 (20만) 

 1,000,000 (100만) 

 6

18% 

 200,000 (20만)

 1,111,100 (111만)

 7

16% 

250,000 (25만) 

1,562,500 (156만) 

 8

14% 

300,000 (30만) 

2,142,800 (214만) 

 9

12% 

350,000 (35만) 

 2,916,700 (291만) 

 10

 10% 

 400,000 (40만) 

 4,000,000 (400만) 



다크 엘렉서 저장소(Dark Elixir Storage) 



다크 엘렉서 저장소는 타운홀 레벨 7부터 건설이 가능합니다. 

약탈 가능한 양은 6%부터 시작해서 타운홀 레벨이 올라감에 따라 1%씩 줄어들게 되고, 최대치는 2천 부터 시작해서 5백씩 증가됩니다. 



 침략자 타운 홀(Town Hall) 레벨 

 약탈 가능한 퍼센트(%) 

 최대치(Cap) 

 최대치 만큼 약탈하기 위해 보관되어 있어야 하는 자원 양 

 7-8

6% 

2,000 (2천) 

 33,000 (3만3천) 

 9

5% 

2,500 (2천 5백) 

 50,000 (5만) 

 10

 4% 

3,000 (3천) 

 75,000 (7만 5천) 





※ 추가 규칙 ※


여기에 상대적으로 강한 상대가 약한 상대를 약탈 하는것을 어느정도 방지하기 위한 별도의 공식이 하나 더 존재합니다. 

침략한 사람의 타운홀 레벨이 공격당하는 사람의 타운 홀 보다 레벨이 높다면 약탈 가능한 자원이 줄어듭니다.


 침략자 타운 홀 레벨 차이

 약탈 가능한 퍼센트(%) 

 0 (동렙 혹은 더 낮은 경우) 

 100% 

 1

 90%

 2

 50% 

 3

 25% 

 4 이상

 5% 


2렙 이상 차이가 나면 약탈 가능한 자원이 현저하게 줄어들게 됩니다. 



두 줄 결론

타운 홀을 무리하게 빨리 올리면 약탈을 하기는 어렵고 약탈은 자주 많이 당하는 난감한 상황에 처할 수 있습니다. 

자원 약탈의 피해를 최소화 하고 싶다면 금광과 정제소에 보관된 자원을 자주 자주 수거해서 저장소로 옮겨 둬야 합니다. 


Posted by KT한
,


MacBook Pro 의 하드디스크를 SSD로 교체 한 후 애플의 타임머신 기능을 이용해서 시스템을 복원하는 내용입니다. 

SSD를 교체하는 내용은 이미 많은 분들이 자세하게 올려두셨으므로 따로 다루진 않겠습니다. 


참고로, 별도의 부팅 디스크나, 맥 OS 이미지는 필요하지 않습니다. 

타임머신으로 백업해둔 외장하드만 있으면 됩니다. 

Wifi를 켜고 작업을 하긴 했지만.. Wifi가 필요한지는 정확하지 않습니다. 


어두운 방에서 작업을 하다 보니.. 화면에 비친 모습이 적나라 하게 나왔네요.안돼

사진은 참고용으로만 보세요~ 



추천은 저를 춤추게 합니다 ^^



SSD를 교체 한 후 맥북을 켜면 아무것도 없는 하얀 화면이 나타납니다. 


잠시 후 물음표가 있는 폴더 모양의 아이콘이 나타납니다. 

뭘 하겠냐고 물어보는건가 봅니다. 


타임머신 데이터로 시스템을 복원 하기 위해, 타임머신으로 백업해둔 외장 하드를 연결해줍니다. 


잠시 후, 친숙한 사과 모양의 애플 아이콘이 나타나게 됩니다. 


Command + R 키를 눌러 주면 Mac OS 복구 화면으로 이동합니다. 


언어를 선택하는 화면이 나오게 되고.. 언어를 선택 하고 다음 화면으로 이동하게 되면.. 


OS X 유틸리티 화면이 나타나게 됩니다. 


할 수 있는 작업 리스트가 나타납니다. 

우리가 하고 싶은 'Time Machine 백업으로부터 복원'이 보이네요. 


하지만, 먼저 해줘야 할 선행 작업이 있습니다. 

새로 설치한 SSD 디스크를 맥 OS에서 인식할 수 있도록 포맷을 해줘야만 합니다. 



'디스크 유틸리티'를 선택하고 '계속' 버튼을 눌러줍니다. 

맨 위에서 부터 차례대로 새로 장착한 SSD 하드 디스크(512GB), 타임머신 백업해둔 외장 하드(320GB), 복구 디스크 (disk2) 가 보이네요. 

복구 디스크(disk2)는 맥북에 내장되어 있는 저장공간 인것 같네요. 


SSD 하드를 선택 하고 '지우기' 탭에 들어가 봅시다. 

SSD를 맥 OS에서 인식할 수 있도록 'Mac OS 확장(저널링)'을 선택한 후 '지우기' 버튼을 눌러서 포맷을 시켜줍니다. 


포맷을 진행하면서 SSD에도 파티션이 생성되는 것을 확인 할 수 있습니다. 


짜잔~ 포맷이 진행되면 SSD에 지정해준 이름으로 파티션이 생성됩니다. 

이제 시스템을 복원해 봅시다. 


'Time Machine 백업으로부터 복원'을 선택하고 '계속' 버튼을 눌러줍니다. 


시스템 복원에 대한 설명이 나오게 되고.. '계속' 버튼을 눌러주고 나면.. 


백업 해둔 자료가 어디 있는지 선택 하라고 나오게 됩니다. 

타임머신 백업해둔 외장하드를 선택 하고 '계속' 버튼을 눌러주면 됩니다. 


복구를 진행할 디스크를 선택하라고 나옵니다. 

새로 장착한 SSD를 선택하면 됩니다. 조금 전에 맥OS용으로 포맷 할 때 지정해준 이름이 보여지게 됩니다. 


디스크 선택 후 '복원' 버튼을 눌러줍니다. 


드디어 복원 시작~!


잠시 후, 파일 복원이 진행 되고, 남은 시간이 보여지게 됩니다. 


복원이 완료되면 리부팅을 하게 되고 기존에 사용하던 시스템 그대로 복원된 맥북을 사용할 수 있게 됩니다. 

참 쉽죠? 신나2


결과적으로, 별도의 부팅 디스크나 맥 OS이미지가 없이도 타임머신으로 부터 복구가 가능합니다. 

SSD 교체 부담없이 하셔도 됩니다. ^^

Posted by KT한
,