| [ garbages ] in KIDS 글 쓴 이(By): teeroz (티로) 날 짜 (Date): 2011년 08월 03일 (수) 오후 04시 07분 45초 제 목(Title): Re: 주민번호 보관하지 않는 실명제 실시방 네이트의 경우를 보면 생일 정보까지 같이 유출되어서 앞의 6자리는 어렵지 않게 유추 가능합니다. 두의 첫자리는 가지수가 많아야 4개이고, 4자리는 지역숫자이기 때문에 이것도 그다지 경우수가 많지는 않습니다. 6번째 자리는 거의 1 아니면 2 이고, 마지막 자리는 위 조합으로 나오는 숫자이기 때문에 경우수는 1개입니다. 이렇게 보면 현대 컴퓨터로 어느 개인의 주민번호라는 것은 암호화 되어있다고 하더라도 시행착오방식으로 충분히 풀수 있지 않을까요? (지역수자도 주소를 가지고 유추하면 꽤 많은 시간을 단축시킬수고 있구요.) 네이트 해킹할 정도라면 암호화 하는 방법과 코드 정도는 서버에 있는 코드나 바이너리 정도 만으로도 충분히 알아낼수 있을겁니다. 2011년 08월 03일 (수) 오후 02시 39분 32초 cookie: > > 네이트가 그런 비슷한 방식으로 안호화 해서 저장했을걸요. 문제는, 그렇게 > > 암호화 한 것도 3초면 밝혀낼 수 있다고 주장하는 사람들이 있는 거임. > > 네이트가 쓴 방식은 "패스워드"를 MD5 hash 로 저장한거고 > 그건 패스워드가 6-8 자 정도로 짧으면 모든 조합을 시험해보는 > 시행착오 방식으로 단시간에 풀어낼수 있습니다. > > 제가 제안 하는 건 현재 DB 에 저장된 "실명"과 "주민번호"를 > 저장하지 말고 실명 + 주민 번호의 HMAC hash 로 저장 하자는 거죠. > 대상과 목적이 다른 거죠. > > HMAC hash 는 MD5 와는 달리 별도의 비밀 key 가 들어가므로 > 이 key 를 모르면 위의 시행착오 방식으로는 찾아낼수 없습니다. > > 그리고 설사 키가 주어진다고 하더라도 주민번호는 14자리나 > 되는 숫자 이므로 무효인 숫자조합을 감안해도 그렇게 짧지 않죠. > 그리고 "한글 실명" 이 들어가므로 더욱 유효 자리수가 길어져서 > 6-8자의 영숫자 패스워드 처럼 단시간에 찾아내긴 어렵습니다. |