Cryptography Stack

TLS 하이브리드 암호화와 MAC, 서명 흐름

현대 네트워크 암호화는 대칭키로 데이터를 빠르게 보호하고 공개키로 키 교환과 신원 검증을 수행하며, 해시와 MAC으로 무결성을 보강합니다.

01

알고리즘 협상

클라이언트와 서버가 지원하는 TLS 버전과 cipher suite 후보를 교환합니다.

hello
02

서버 인증

서버 인증서와 서명을 확인해 접속한 이름이 실제 서버와 맞는지 검증합니다.

certificate
03

키 교환

ECDHE 같은 공개키 기반 교환으로 세션 키 재료를 안전하게 만듭니다.

key exchange
04

대칭키 보호

실제 애플리케이션 데이터는 세션 키로 암호화해 성능과 안전성을 맞춥니다.

record
05

무결성 확인

AEAD 또는 MAC이 변조 여부를 확인하고 실패하면 레코드를 폐기합니다.

integrity
대칭키
데이터 본문 보호 빠르지만 키를 어떻게 안전하게 공유하느냐가 핵심 문제입니다.
AES, ChaCha20
공개키
키 교환과 신원 검증 속도는 느리지만 처음 만난 상대와 안전한 비밀을 만들 수 있습니다.
ECDHE, RSA 서명
해시/MAC
변조 탐지 해시는 요약, MAC은 공유 비밀을 이용한 무결성 검증에 가깝습니다.
HMAC, AEAD

운영 확인 기준

프로토콜 버전 낡은 TLS 버전과 약한 cipher suite가 열려 있지 않은지 확인합니다.
인증서 체인 이름, 기간, 중간 인증서, 신뢰 루트가 모두 맞아야 합니다.
키 회전 장기 키 유출에 대비해 인증서와 비밀키 교체 절차를 갖춥니다.