시도응답(challenge-response)

시도-응답 인증(challenge-Response Authentication)

기존 ID+PW 방식은 재전송 공격에 취약하다. challenge-Response Authentication은 이런 취약점을 보완하기 위해 대칭기 비반의 소지기반 보안을 추가한 인증 방법이다.

challenge-Response Authentication에서 중요한 개념은 일회성 인증이다. 인행의 시크리트 카드보다 OTP가 보안성이 훨씬 좋은 것과 같은 맥락이다.  사용자가 인증을 원할 경우 서버에선 사용자에게 일회성 Challenge를 보낸다. 사용자는 이를 비밀키로 암호화하여 서버에 Response한다.  Challenge는 일회성으로 난수로 예측할 수 없고 매번 다른 값으로 바뀌어야 한다.

이런 방식이라면 해커가 중간에 Response를 스니핑 하더라도 이를 재사용 할 수 없다. 이미 한번 사용되었던 일회용 값이기 대문이다.

이런 인증 방법을 사용하려면 서버와 클라이언트만 알고 있는 대칭키(비밀키)가 필요하다. 결국 온인인증서나 OTP 처럼 사전에 인증을 받고 준비가 된 경우에만 사용할 수 있다는 것이다.

출처 및 참고 : http://raisonde.tistory.com/455