전자 우편 보안

• 개요
  • 전자 우편의 송신자로부터 수신자까지 안전하게 전송
  • 전송 도중 컴퓨터의 사용자가 전자 우편의 내용을 도청, 변경, 방해 등으로 부터 보호함
       
• 전자 우편의 보안 서비스 기능
  • 기밀성(Confidentiality)
    • 지정된 수신자 외 불특정 사용자에게 전송된 메시지가 공개되지 않도록 보호하는 것
    • 기밀성의 또 다른 면은 트래픽 흐름 분석에 대한 보호로, 전송된 메시지의 출처와 목적지, 횟수, 길이, 통신 선로상의 트래픽 특성, 접속 비밀성, 내용 비밀성, 메시지 흐름 비밀성 등에 대해 불법 사용자가 알지 못하게 하는 것
  • 메시지 무결성(Integrity)
    • 메시지가 원문에서 복사, 추가, 수정, 순서 변경 또는 재전송되지 않았음을 수신자에게 보증하는 것
    • 무결성 서비스에는 접속 무결성, 내용 무결성, 메시지 순서 무결성 등이 포함됨
  • 인증(Authentication)
    송신자의 신분을 수신자에게 보증하는 것으로, 메시지 출처 인증, 확인 출처 인증, 보고 출처 인증, 의뢰 증명, 배달 증명, 상대자 인증 등이 있음
  • 부인 봉쇄(Non Repudiation)
    송신자가 메시지를 전송하였을 때, 제3자에게 증명할 수 있는 기법
  • 전송 확인(Proof of Submission)
    송신자에게 메시지가 전자 우편 시스템에 의해 전송되었음을 확인해 주는 서비스
  • 수신 확인(Proof of Delivery)
    수신자가 메시지를 수신하였음을 확인해 주는 보안 서비스
  • 소멸(Self Destruction)
    송신자가 메시지를 수신자에게 송신한 후, 필요 시 그 메시지를 제거할 수 있도록 하는 보안 서비스
  •    
• 전자 우편의 보안 도구
  • PEM(Privacy Enhanced Mail)
    • IETF에서 제정한 전자 우편 표준안으로 PGP(Pretty Good Privacy)와 같이 암호 기술을 도입해 보안을 강화한 전자 우편의 한방식
      • PGP
        • Phil Zimmermann이 독자적으로 개발한 전자 우편 보안 시스템으로, IETF에서 표준으로 채택한 PEM에 비해 보안성은 부족하지만, 이것을 구현한 프로그램이 공개되어 있어 현재 가장 많이 사용되고 있음
        • 전자 우편에 필요한 보안 기능 중 수신 부인 방지와 메시지 재연 방지를 제외한 나머지 4개 기능을 지원
        • 기밀성을 위한 암호화에는 RSA와 IDEA 등의 암호화 알고리즘이 이용되고, 매시지 인증과 사용자 인증의 디지털 서명에는 RSA가 이용되며, 해시 함수에는 MD5 알고리즘이, 키 관리에는 RSA가 이용됨
    • 본문을 암호화 해 내용의 도청을 방지하고 전자 서명에 의한 본문의 위조나 변조 여부를 검출할 수 있으며, 또한 공개키 암호 인증서를 이용해 사용자의 인증이 가능
    • PEM은 인터넷 표준으로 제안되어 있고, 암호화 알고리즘으로 RSA와 DES를 사용
    • 높은 보안성을 가지고 있지만, 구현의 복잡성 등을 이유로 널리 사용되지 않음
  • PGP(Pretty Good Privacy)
    • 암호화 기능을 가진 전자 우편 소프트웨어로서, 전자 우편 본문을 암호화하여 도청을 방지
    • PGP는 PEM에 비해 보안성에는 취약한 면이 있지만, 구현이 쉽고, 권한을 집중시키지 않고 사용자 스스로가 가진다는 점에서 많이 사용되고 있음
         
• PEM과 PGP비교

구분	PEM	PGP
개발자	IETF	Phil Zimmermann
키 인증 방식	중앙 집중화된 키 인증	분산화된 키 인증
특징	인터넷 표준(안) 익명의 메시지 불허용 구현의 어려움 높은 보안성(군사용, 금융계 등) 이론 중심 많이 사용되지 않음	응용 프로그램 익명의 메시지 허용 구현의 용이성 PEM에 비해 낮은 보안성 실세계 사용 중심 현재 많이 사용됨