1 / 33

㈜ 블루베리

노트북 ( 하드디스크 ) 도난 / 분실 / 긴급상황을 대비한 . 하드웨어 암호화 솔루션. ㈜ 블루베리. 목 차. [ Hiddn ] 의 필요성 . 하드디스크 암호화 종류 및 장단점 . [ Hiddn ] 기능 및 특장점 . [ Hiddn ] 제품 소개 . [ Hiddn ] Reference & Market. [ Hiddn ] 의 필요성 중요 데이터 유출 / 분실 US DoD 요청 & CWID 검증 해결책은 ? 보안 인증 특허. 중요 데이터 유출 / 분실.

clodia
Download Presentation

㈜ 블루베리

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 노트북(하드디스크) 도난/분실/긴급상황을 대비한 하드웨어 암호화 솔루션 • ㈜ 블루베리

  2. 목 차 • [Hiddn]의 필요성. • 하드디스크 암호화 종류 및 장단점. • [Hiddn]기능 및 특장점. • [Hiddn]제품 소개. • [Hiddn] Reference & Market.

  3. [Hiddn] 의 필요성 • 중요 데이터 유출/분실 • US DoD요청 & CWID 검증 • 해결책은 ? • 보안 인증 • 특허

  4. 중요 데이터 유출/분실 지진/화재/전쟁/도난/분실 등의 비상 사태에서 데이터 보호

  5. US DoD요청 & CWID 검증 • 미 국방부 요구 조건 및 기술 개발(군사용). • Coalition Worrier Interoperability Demonstration, June 2008(연합군 상호 운영성 시험) • 두 가지 가상 시나리오: • 기밀 문서를 담고 있는 노트북컴퓨터가 적의 수중에 넘어 갔다. • 기밀 문서를 담고 있는 USB디스크가 적의 수중에 넘어 갔다 • 여섯 개소의 기지에서 On-Site 실전 테스트 진행 • 미국(NORTHCOM, Dahlgren, SPAWAR), 캐나다, 독일 (EUCOM) “Stable, simple, deployable.” “Extremely reliable and predictable.” “Simple technology that anyone could understand and use.” “This is a quality product.”

  6. 해결책은 ? • 하드디스크 전체를 완벽하게 암호화 한다.(Full Disk Encryption) • 디스크나 장착된 시스템에서 암호를 해제할 수 있는 키 정보를 추출해 내는 것을 철저히 막는다. • 고도의 전문 기술 및 시설로도 입수한 디스크의 내용을 해독해 낼 수 없도록 하는 완벽한 암호화 방법이 필요하다.

  7. 보안 인증 CC 4+ Level 3 Restricted Begrenset

  8. 특허 출원 및 취득 현황 • 취득: 미국(No. 7,434,069), 이스라엘, 호주, 남아프리카공화국, 대한민국, 러시아 • 출원 중 : EU, 노르웨이, 캐나다 외 다수

  9. [Hiddn] 하드디스크 암호화의 종류 및 장단점 • Softwae Encryption [취약] • Hybrid Encryption [취약] • Hardware Encryption [완벽] • Multi Users & Partitions • Normal mode & Forensic User case

  10. Software Encryption • 암호화 소프트웨어의 정의 • “파일, 이-메일 메시지, 컴퓨터 네트워크를 통해 전송되는 패킷의 형태 등으로 존재하는 데이터를 암호화/복호화 하는 것이 주된 역할인 소프트웨어”로 정의 되며 복잡하고 다양한 제품이 있읍니다. • 암호화 소프트웨어의 근본 적인 취약점 • “Lest we remember : Cold Boot Attacks on Encryption Keys” (By Princeton researchers in 2008) 보고서에 의하면: • 암호화 소프트웨어는 정보의 암호화에 사용된 키를 컴퓨터가 켜져 있는 동안 메모리에 저장한다. • 컴퓨터가 대기상태(Sleep)로 전이되면 이 암호화-키는 메모리 파일로 이동한다 • 메모리 모듈은 전원을 끄거나 심지어는 마더보드에서 제거해도 수초에서 수분까지 데이터를 유지하고 있을 수 있다. • 위의 상황에서 공격자는 다양한 방법으로 메모리에 저장된 암호-키를 얻을 수 있으며, 이는 소프트웨어를 통한 암호화가 윈도우의 패스워드 만큼이나 취약할 수 있다는 것을 의미 한다. • 암호화 소프트웨어 기타 문제점 • CPU 사용률 증가, 패치 & 업데이트, 사용자 무관심, 구성 문제, Brute Force Attack(많은 수의 암호화 소프트웨어들은 암호-키를 만드는데 사용자가 입력한 패스워드를 기반으로 하는 경우가 많은데, 이는 사용된 패스워드 보다 결코 더 안전할 수 없다.) • 결론 • 소프트웨어적인 암호화 방식은 하드웨어적인 방식이 일반화 될 때 까지만 한시적으로만 사용될 매우 취약한 암호화 방식이며, 업계에서는 5년 이내에 더 이상 사용되지 않을 방식으로 간주하고 있음.

  11. Hybrid Encryption • Hybrid Encryption 방식 “하드디스크에 실시간으로 암호화/복호화가 가능한 Chip을 미리 내장하고 인증 메커니즘에 따라 이 기능이 동작을 시작할 수 있도록 해 주는 암호화 방식” Encryption Software 방식의 취약점을 보완하고 높은 CPU사용률 등의 문제를 해결하기 위해, 암호화 소프트웨어 업체와 디스크 제조업체들이 협의해서 만들어낸 방식이다. 하지만 이 방식이 Encryption Software 방식의 약점을 모두 해결할 수 있는 것은 아니다. • Hybrid Encryption 방식의 취약점 “하드디스크 드라이브에 있는 암호화-키를 활성화 하기 위해 패스워드를 요구하게 되는데, 이럴 경우 Princeton Report에서 언급된 것 처럼 암호화 모듈이 내장된 하드디스크는 그 것을 보호하기 위한 패스워드 보다 더 안전할 수가 없다.” • Hybrid Encryption 방식의 취약점 사례 Microsoft BitLocker, Apple FileVault, Open Source Program TrueCrypt와 dm-crypt 등은 암호 무력확 가능함 암호화가 내장된 USB메모리 스틱 제품들도 패스워드를 키 생성에 사용하므로 해킹에 취약함. (Kingston Data Traveler BlackBox, SanDisk Cruzer Enterprise FIPS Edition, Verbatim Corporate Secure FIPS Edition등이 있다.) • 결론 하이브리드 방식이 초기 구매 비용 저렴하나 데이터와 암호화-키를 모두 100% 보호할 수 없고 복잡/불편함.

  12. Hardware Encryption • Hardware Encryption 방식 • “암호화-키가 암호화를 수행하는 Chip 내에서만 사용되고 Chip 밖에서는 절대로 사용되지 않게 함으로써 데이터에 대한 해킹의 위협을 완벽하게 제거할 수 있게 해 준다. 암호화-키를 훔치는 방법은 실리콘-칩을 물리적으로 부수는 방법 외에는 없다” 이 방식에서 암호화-키는 보통 스마트카드 등의 분리된 하드웨어토큰에 저장된다. • Hardware Encryption 방식 장점 • Password나 Key가 메모리에 남는 경우가 없으므로 메모리에 있는 정보가 노출될 가능성이 없다. • 가장 끈질긴 해커로부터도 데이터를 보호할 수 있는 확실히 신뢰성 있는 방법이며, 법적인 데이터 보호 규정에 부합 됨. • H/W 방식의 Full Disk Encryption은 한번 구현되면, 사용자의 행동에 의존하지 않으므로 문제가 발생할 가능성이 없다. • 단기적으로는 초기구매비용이 발생하지만 소프트웨어적인 방식에 비해 간단하므로 전체 비용을 절감 합니다. • 하드웨어 방식은 사용자 교육/별도의 서버/OS의 업그레이드에 비용 불필요 • 결론 • 하드웨어 방식은 TCO 측면에서 저렴하고 적용이 쉬운 방법이며, 컴퓨터의 분실 및 도난에 따른 데이터 절취 손실을 획기적으로 절감해 준다. Encryption Hardware를 적절한 위치에 장착하고 키 관리정책을 적절히 수행한다면, 데이터 보호는 최적화 될 수 있다.

  13. Multi Users & Partitions • Encryption Keys • 사용자 당 32개의 키를 지원. • 하드디스크의 주소를 참조, 중복되지 않고, 엑세스 레벨이 다르게 사용 가능. • Multiple Users case • 하나의 컴퓨터에서 • 3개의 파티션(파티션 1은 key 1, 파티션 2는 key 2, 파티션 3는 key 3 사용), • 3명의 사용자(Commander, 사용자 2, 사용자 3), • 3개의 Smart Card 사용 할 경우 • Commander • 스마트 카드에 3개의 암호화 키를 보유, 모든 파티션에 엑세스 가능. • 사용자 2 • 스마트 카드에 암호화 키 1 & 2 보유, 파티션 1 & 2에 엑세스, 파티션 3 엑세스 불가.(스마트 카드에 MBR 봉인) • 사용자 3 • 암호화 키 1 & 3 보유, 파티션 1 & 3에 엑세스, 파티션 2에 엑세스 불가 • Commander • 사용자 2 MBR • 사용자 3 Partition 2 Partition 1 Partition 3

  14. Normal mode & Forensic User case • Normal Mode • 스마트 카드를 보유 했을 때, 모든 데이터는 암호화/복호화 처리 됨. • 암호화/복호화 과정은 사용자가 인지 하지 못함 • (실시간 처리, maximum data rate given by the ATA/ATAPI-6 specification 지원) • AES Key는 User key token에서 다운로드 되며, AES 암호화키는 TDEA 암호화 키로 보호 됨. • Forensic User case • 전체 하드디스크 범위를 포함하는 암호키를 가지지 못하므로, 비인가 사용자는 암호화 정책에 의해 읽고/쓰기 금지

  15. [Hiddn]기능과 특장점 • 이중 암호화 & 이중 인증 • 하드웨어 암호화 엔진 • 주요 특장점 • 핵심 차별화 요소

  16. 이중 암호화 & 이중 인증 • Interface 간의 암호화 통신 – 168bit TDEA, AES 256비트를 암호화 • 암호화 엔진(데이터 암호화) – AES 256bit • PIN Code

  17. 하드웨어암호화 엔진 • 모든 컴퓨터/서버/제조사 의존성 없음. • 내장 및 외장 카드리더와 연동 가능, 무선 터미널 + 외부 안테나 • CPU 부하 없음. • No software involved(OS 의존성 없음) • Full ATA speed 제공 • 모든 사용자/파티션 암호화 제공 • Up to 32 different encryption keys per user • Keys stored in controlled environment and zeroized at power-off by validated mechanisms • Supports multiple clearance levels on the same drive • No Encryption keys stored on module after power off • Completely transparent use with no need for user intervention • 256 bits AES encryption / TDEA 168 bits Encryption • Certified by US certification authorities (NIST/NSA) & laboratories (SAIC/InfoGard) • Unparalleled user flexibility enforced by encryption key attributes • KMS allows Crypto Officer to set and change all the attributes and consequently enable all features and capabilities embedded within the [hiddn]™ Crypto Module • 모든 보안 요구에 대응 가능한 솔루션.

  18. 주요 특장점 • Robust • FIPS 140-2 Level 3 인증 (Federal Information Processing Standard Level3, 2006년) • CC EAL 4+ 인증 (Common Criteria Evaluation Assurance Level 4+, 2006년) • NATO Restricted 인증 (2008년), “NSM BEGRENSET” / “NATO RESTRICTED”용 데이터 처리에 사용 승인. • NSA(National Security Agency) 취약점 분석 테스트 통과 • 암호-키는 암호화된 링크를 통해 다운로드 됨 • The only FIPS Level 3 module for protection of data at rest on PCs • Flexible • 운영체제에 독립적임 • 사용자당 32개의 키 운영 가능 • 키 속성값을 통해 기능을 제어할 수 있음 • 한 드라이브에 대해 다중 허가 레벨 운영을 지원함 • Simple • 모든 암호화-키들은 물리적인 키-토큰에 보관됨 • 풀-ATA 속도로 투명하게 처리됨 • 기록되는 모든 데이터를 암호화 하며 액세스 되는 모든 데이터를 복호화 함. • 어떤 소프트웨어도 필요 없음 – OS에 독립적임.

  19. 차별화 요소 • 낮은 TCO – 라이선스, S/W 유지보수, 업그레이드 비용 없음 • 현재 시장에서 상용으로 구할 수 있는 암호화 기술 중 최고 보안 레벨 획득 제품 • 데이터를 안전하게 보호하기 위한, 사용자들의 요구를 충족하는 다양 기능/기술/제품 제공. • 보안 정보나 암호-키를 절대로 암호화 모듈이나 저장장치에 저장하지 않음 • (모든 것은 물리적으로 분리된 토큰에 저장됨.) • 암호입력과 같은 사용자 개입을 요구하지 않는 완벽한 하드웨어 방식의 암호화 • 보안성을 증대시키기 위해 이중(two-factor)인증 방식을 제공함. • Double Encrytions제공.

  20. [Hiddn]제품 소개 • 다양한 사용 환경과 멀티 유저 지원 • Laptop • Desktop • USB • Crypto Adapter(CA) • ServerPack / Video on-the-fly Encryption • KMS

  21. 다양한 사용 환경과 멀티유저지원 • 1 User 사용 하기. • 컴퓨터(PC or 노트북)에 hiddn CA(USB 장치)를 연결 합니다. • LED가 노란색 상태 입니다. • 스마트카드를 삽입 하면, LED는 그린 상태로 됩니다. • USB Memory Stick을 CA에 연결 합니다. • 컴퓨터에서 사용 합니다. • 스마트카드 분실에 주의 하십시오. • 소프트웨어 설치 없음, 드라이버 설치 없음. • Multi User(Multi place) 사용 하기. • CA 단말기가 5EA + 스마트카드 5EA 이상 보유 한 경우 사용하기 입니다. • 그림처럼 CA 단말기와 스마트카드는 1SET씩 각기 다른 장소에 있읍니다. • 본사에서 극비 문서를 저장해서, USB 메모리 스틱만 지사로 보냅니다. • (USB 메모리 스틱만 배송 합니다) • 지사에서 보안 인가자는 배송된 USB 메모리 스틱을 연결 사용 합니다. • (CA와 Smartcard가 있는 장소에서 사용 가능 합니다. • 공용 스마트카드 암호는 제품 구매 시에 정책에 따라 발급 됩니다)

  22. LapTop • 2.5” 폼-팩터, 모든 용량의 1.8” ZIF HDD, SSD 지원 • 사용중인 HDD 대체 – 완전한 FDE(Full Disk Encryption) 솔루션 • 스마트카드로 운영됨 – 내장 접촉식 혹은 무선기반 비-접촉식

  23. DeskTop • 어떤 종류의 데스크-탑 PC에도 설치 가능 • 스마트카드 리더 및 암호화 모듈을 지원하는 PCI/PCI-e 카드 • 하나 혹은 두 개의 스마트 카드 리더 • 하나 혹은 두 개의 내부 SATA 디스크 연결 지원

  24. USB • 인증 받은 [hiddn] 보안 모듈(Crypto Module)과 연동되어 작동 • 외장 저장장치에 대한 안전하고, 사용이 쉬운, 이동식 데이터 보호 • 내장 스마트카드 리더 • 2.5” IDE 드라이브 지원

  25. Crypto Adapter(CA) • 모든 종류의 이동식 저장장치를 위한 FDE(Full-Disk Encryption) • 인증 받은 [hiddn] 보안 모듈(Crypto Module)과 연동되어 작동 • 이중 인증 – 비밀번호 입력을 위한 키-패드 • 더 큰 용량을 위한 2.5” 하드 드라이브 인클로우져 옵션(백업에 이상적임)

  26. Serverpark/ Video on-the-fly Encryption • 서버에 저장된 데이터를 인증된 암호화를 통해 실시간으로 보호 한다. • 서버를 교체한 이후에도 데이터 보안 우려로 복잡한 폐기 과정을 거칠 필요가 없어진다. • [hiddn] KMS를 통한 중앙 집중적인 키 관리 • 전원이 차단 될 때 까지 혹은 일정 시간 동안 데이터를 암호화 하도록 UAV를 설정할 수 있다. • 감시 카메라가 녹화하는 데이터를 실시간으로 암호화해서 저장할 수 있도록 해 준다.

  27. KMS(Key Management System) I • 암호-키와 토큰의 수명주기 관리 • 스마트카드 생성,폐기,변경,복제,백업 • 하나의 CM에 대한 다중 스마트카드, 다중 사용자 운영 환경 관리 • 부트 전(pre-boot) 비밀번호 인증 설정(PIN) • 공유 혹은 개별적으로 분리 암호화된 파티션에 대한 다중 사용자 환경 설정

  28. KMS(Key Management System) II • 키 방향: To and From Disk Drive • 암호화/복호화 키를 다르게 가져갈 수 있다. • 이 기능은 on-the-fly 재 암호화를 가능하게 해 준다. • 사용자가 복호화 키만 가졌다면, 디스크에 쓰는 것은 불가능 하게 한다. (Forensic Mode) • 키 수명 (Life Time) • 키-토근(스마트카드 등)을 제거 했을 때, CM 내에 있는 암호화 키의 유효 수명을 분단위로 정함 • PC가 켜 있는 상태에서 키의 수명이 다하면, 암호화된 디스크는 더 이상 액세스 할 수 없다. • 범위는 0(즉시 액세스가 차단됨) 부터 FFFF (다음 리부트 까지 유효)까지 정할 수 있다. • 분리된 키 (Split Key)가 보안을 더 강화 • 암호 관리자는 키의 일부만 키-토큰에 존재하고 나머지는 [HiDDN]의 Crypto Module(CM)에 저장되도록 할 수 있다. • 키가 CM으로 다운로드 되는 과정에서 두 부분이 결합되어 유효한 키가 된다. • 서로 독립적으로 분리되어 있고, 각 부분은 단순 임의 숫자(Random Number)로 구성되어 있으므로 스마트카드를 분실할 경우에도 완전한 키 정보가 누출될 가능성은 없다는 것을 의미 한다.

  29. 제품 소개 용 도 구 성 품 비 고 LT 256GB SATA Smart Card 2EA LapTop LT 256GB SATA Smart Card w/RF 2EA LT Contactless Module for Selected PCs DT 1TB PCI/PCIe 1 / 2 Channel w/Reader bracket Smart Card 2EA DeskTop Server/ On-the-fly Video 특수 목적. Crypto Adapter with CM & Smard Cards USB & Smart Cards ETC

  30. Products • KMS는 [HiDDN]과 함께 PC에 설치되는 소프트웨어 • Windows Vista 지원 • 키-에스크로, 관리,사용자,토큰구조관리 • 토큰 및 사용자 정보 관리 • 암호-키와 토큰의 수명주기 관리 • 스마트카드 생성,폐기,변경,복제,백업 • 한 CM에 대한 다중 스마트카드,다중 사용자 관리 • 부트-전 비밀번호 인증 설정 • 공유 혹은 개별로 암호화된 파티션에 대한 다중 사용자 환경 구성 • 모든 외장 저장장치에 대한 Full Disk 암호화 • 이중의 안전한 인증(PIN, Key) • 공인된 [HiDDN] CM과 연계 작동 • 어디에서나 데이터를 안전하게 지켜줍니다. • 특허기술로 공인된 Full Disk 암호화 • 기존 사용 중인 하드디스크 대체 • 이중의 안전한 인증 (PIN, Key) • 비 접촉식 키 토큰 지원 • 외장저장장치 데이터 보호 • 민감한 데이터를 쉽고 안전하게 이동 • 모든 키는 분리된 토큰에 저장됨 • 특허기술과 기관 인증된 하드웨어 방식의 암호화 • 향상된 보안을 위한 이중 인증 • 모든 데이터를 AES 256-비트 암호화로 보호 • 어떤 키도 본 장치나 미디어에 저장되지 않음 • 투명하고 사용자 친화적인 보안 • 모든 데이터를 안전하게 보호 • 이중 인증으로 향상된 보안 • 보안 백업을 위한 최대 두 개의 외장 저장장치 지원

  31. [Hiddn] Reference & Market • 해외 레퍼런스 • Market(국내 시장)

  32. 해외 레퍼런스 • US Military • US Coastguard • EU Military

  33. Market(국내 시장) • 금융 • 은행 • 증권사 • 사모펀드 등 • 관공서 / 국방 • 외교부 • 공보관실 등 • 기업 • 임원 • 연구소 • 비서실

More Related