Comments on: 오픈API 인증 원리 http://www.likejazz.com/archives/282 Working Smart: Getting Better at Work and Life Tue, 29 Nov 2011 00:32:35 +0000 hourly 1 http://wordpress.org/?v=3.0.1 By: likejazz.COM · 옥션 해킹으로 되돌아본 오픈API와 보안 http://www.likejazz.com/archives/282/comment-page-1#comment-11306 likejazz.COM · 옥션 해킹으로 되돌아본 오픈API와 보안 Mon, 21 Apr 2008 14:08:57 +0000 http://www.likejazz.com/archives/282#comment-11306 [...] 이제 오픈API에 대해 얘기해보자. 오픈API의 인증 보안은 비교적 견고한 편이다. 이전에 설명한 바 있는 오픈API 인증 원리에 따라 대부분의 오픈API는 대칭키 기반의 인증 방식을 취하고 있으며 기본적으로 별도의 인증키/비밀키를 갖고 본 서비스와 별도의 보안 체계로 동작한다. 따라서 키가 노출되더라도 본 서비스의 비밀번호는 알 수 없다. [...] [...] 이제 오픈API에 대해 얘기해보자. 오픈API의 인증 보안은 비교적 견고한 편이다. 이전에 설명한 바 있는 오픈API 인증 원리에 따라 대부분의 오픈API는 대칭키 기반의 인증 방식을 취하고 있으며 기본적으로 별도의 인증키/비밀키를 갖고 본 서비스와 별도의 보안 체계로 동작한다. 따라서 키가 노출되더라도 본 서비스의 비밀번호는 알 수 없다. [...]

]]> By: Hopangbear's Story http://www.likejazz.com/archives/282/comment-page-1#comment-11282 Hopangbear's Story Mon, 21 Apr 2008 04:21:15 +0000 http://www.likejazz.com/archives/282#comment-11282 <strong>[펌] 오픈API 인증 원리</strong> 오픈API는 매우 쉬운 기술이다. 오히려 어려워선 안될 기술이다. 오픈API는 기술을 활용하기 위한 도구이기 때문이다. 도구가 어렵다면 아무리 좋은 기술도 효용가치가 없다. 하지만 어쩔수 없... [펌] 오픈API 인증 원리

오픈API는 매우 쉬운 기술이다. 오히려 어려워선 안될 기술이다. 오픈API는 기술을 활용하기 위한 도구이기 때문이다. 도구가 어렵다면 아무리 좋은 기술도 효용가치가 없다. 하지만 어쩔수 없…

]]> By: likejazz http://www.likejazz.com/archives/282/comment-page-1#comment-11097 likejazz Wed, 16 Apr 2008 04:43:31 +0000 http://www.likejazz.com/archives/282#comment-11097 무명님, 알려주셔서 감사합니다. 제가 조금 잘못 이해하고 있었네요. 공개/비밀키 방식은 상호 교환한 키를 통해 원본 데이타를 추출하는 방식이 맞습니다. 오픈API의 인증방식은 말씀하신대로 대칭키 기반의 인증방식으로 본문에서 용어를 인증키/비밀키로 수정하였습니다. 무명님, 알려주셔서 감사합니다. 제가 조금 잘못 이해하고 있었네요. 공개/비밀키 방식은 상호 교환한 키를 통해 원본 데이타를 추출하는 방식이 맞습니다.

오픈API의 인증방식은 말씀하신대로 대칭키 기반의 인증방식으로 본문에서 용어를 인증키/비밀키로 수정하였습니다.

]]> By: 無名 http://www.likejazz.com/archives/282/comment-page-1#comment-11090 無名 Tue, 15 Apr 2008 07:17:00 +0000 http://www.likejazz.com/archives/282#comment-11090 수정합니다. 오픈API 설명에서 말씀하신 개인키의 경우 개인식별자 정도로 생각하는게 혼돈이 없지 않을까요? ==> 오픈API 설명에서 말씀하신 공개키의 경우 개인식별자 정도로 생각하는게 혼돈이 없지 않을까요? 수정합니다.

오픈API 설명에서 말씀하신 개인키의 경우 개인식별자 정도로 생각하는게 혼돈이 없지 않을까요?

==>

오픈API 설명에서 말씀하신 공개키의 경우 개인식별자 정도로 생각하는게 혼돈이 없지 않을까요?

]]> By: 無名 http://www.likejazz.com/archives/282/comment-page-1#comment-11089 無名 Tue, 15 Apr 2008 07:15:22 +0000 http://www.likejazz.com/archives/282#comment-11089 공개키/비밀키 기반은 1. 원본데이터==(공개키)==>암호화된 데이터 2. 암호화된데이터==(비밀키)==>원본 데이터 인데요. ^ ^ 그래서 오픈API의 경우 공개키/비밀키 구조와 매칭시키는건 맞지 않은것 같네요. 오픈API 설명에서 말씀하신 개인키의 경우 개인식별자 정도로 생각하는게 혼돈이 없지 않을까요? 전형적인 대칭키 기반의 인증방식인듯 하네요. ^ ^ 공개키/비밀키 기반은

1. 원본데이터==(공개키)==>암호화된 데이터
2. 암호화된데이터==(비밀키)==>원본 데이터

인데요. ^ ^

그래서 오픈API의 경우 공개키/비밀키 구조와 매칭시키는건 맞지 않은것 같네요. 오픈API 설명에서 말씀하신 개인키의 경우 개인식별자 정도로 생각하는게 혼돈이 없지 않을까요?

전형적인 대칭키 기반의 인증방식인듯 하네요. ^ ^

]]> By: likejazz http://www.likejazz.com/archives/282/comment-page-1#comment-11087 likejazz Tue, 15 Apr 2008 04:03:39 +0000 http://www.likejazz.com/archives/282#comment-11087 ㄴㄴ님, 네 맞습니다. 그런 방식도 있습니다만 계산 비용(Computational cost)때문에 개인키를 나눠갖고 서로 암호화해서 일치 여부를 검증하는 기술이 널리 사용됩니다. 계산 비용이 훨씬 적게 듭니다. ㄴㄴ님, 네 맞습니다. 그런 방식도 있습니다만 계산 비용(Computational cost)때문에 개인키를 나눠갖고 서로 암호화해서 일치 여부를 검증하는 기술이 널리 사용됩니다. 계산 비용이 훨씬 적게 듭니다.

]]> By: ㄴㄴ http://www.likejazz.com/archives/282/comment-page-1#comment-11083 ㄴㄴ Mon, 14 Apr 2008 10:05:01 +0000 http://www.likejazz.com/archives/282#comment-11083 오픈API는 제가 잘 모르지만, 일반적으로 공개키/비밀키 기반의 암호화 인증은: 1. 원본 데이터==(비밀키)==>암호화된 데이터 2. 암호화된 데이터==(공개키)==>원본 데이터 의 두 가지만 인코딩만 가능합니다. 따라서, AWS는 공개키만 저장하고 있으면 될 텐데요. 오픈API는 제가 잘 모르지만,
일반적으로 공개키/비밀키 기반의 암호화 인증은:

1. 원본 데이터==(비밀키)==>암호화된 데이터
2. 암호화된 데이터==(공개키)==>원본 데이터

의 두 가지만 인코딩만 가능합니다.
따라서, AWS는 공개키만 저장하고 있으면 될 텐데요.

]]> By: likejazz http://www.likejazz.com/archives/282/comment-page-1#comment-11082 likejazz Mon, 14 Apr 2008 09:06:05 +0000 http://www.likejazz.com/archives/282#comment-11082 제가 설명이 조금 부족했던것 같네요. AWS는 개인키를 발급한 주체이며 기본적으로 공개키, 개인키를 다 알고 있습니다. 이 자체는 암호화하지 않으며 데이타베이스등에 그대로 저장되어 있습니다. 그래서 AWS가 공개키를 받으면 조회해서 개인키를 알아낼 수 있습니다. 일반적으로 비밀번호는 그 자체도 암호화해서 저장하지만 개인키는 비밀번호와 달리 그대로 저장합니다. 왜냐면 서비스 제공자는 언제든 개인키를 꺼내올 수 있어야 하기 때문입니다. 개인키는 사용자(You)와 서비스 제공자(AWS), 단 둘만이 알고 있어야 하는 키이며 유출될 경우 언제든 다른 키로 재발급 받을 수 있습니다. 제가 설명이 조금 부족했던것 같네요. AWS는 개인키를 발급한 주체이며 기본적으로 공개키, 개인키를 다 알고 있습니다. 이 자체는 암호화하지 않으며 데이타베이스등에 그대로 저장되어 있습니다. 그래서 AWS가 공개키를 받으면 조회해서 개인키를 알아낼 수 있습니다. 일반적으로 비밀번호는 그 자체도 암호화해서 저장하지만 개인키는 비밀번호와 달리 그대로 저장합니다. 왜냐면 서비스 제공자는 언제든 개인키를 꺼내올 수 있어야 하기 때문입니다.

개인키는 사용자(You)와 서비스 제공자(AWS), 단 둘만이 알고 있어야 하는 키이며 유출될 경우 언제든 다른 키로 재발급 받을 수 있습니다.

]]> By: grayger http://www.likejazz.com/archives/282/comment-page-1#comment-11081 grayger Mon, 14 Apr 2008 08:40:40 +0000 http://www.likejazz.com/archives/282#comment-11081 잘 봤습니다.^^ 그런데 AWS가 어떻게 공개키로 개인키를 알아낼 수 있는지 궁금하네요. 잘 봤습니다.^^
그런데 AWS가 어떻게 공개키로 개인키를 알아낼 수 있는지 궁금하네요.

]]> By: Daum 개발자 네트워크 » Blog Archive » 오픈API 인증 원리 http://www.likejazz.com/archives/282/comment-page-1#comment-11080 Daum 개발자 네트워크 » Blog Archive » 오픈API 인증 원리 Mon, 14 Apr 2008 08:39:09 +0000 http://www.likejazz.com/archives/282#comment-11080 [...] 참고: 오픈API 인증 원리 [...] [...] 참고: 오픈API 인증 원리 [...]

]]>