TLS: SHA1 해시의 종말이 다가오고 있다

ars technica: SHA1 암호학적 해시가 연말 전에 (쉽게) 무력화된다 라는 글이 올라왔다. (2015-10-08)

저 글에서도 나오고, 이 블로그의 이전 글에서 링크한 Bruce Schneier의 2012년 예측 에서는 2018년이면 조직범죄자들 정도의 재정이면 충분히 깰 수 있는 수준이 될거고 예측했었다. 하지만 새로 나온 논문에 따르면 이미 현재 기준으로 $75k ~ $125k 정도면 충돌을 찾을 수 있다 라는 것. (이전 예측치는 2018년에 $175k 정도)

즉, 지금이라도 어느 정도의 재정 규모가 되는 정부건 정부 단체건, 혹은 조직범죄자들이건 이걸 깨려는 시도를 할 수 있는 수준으로 계산 비용이 내려와 있다는 얘기. 다행히도 언급된 논문에서 찾은건 chosen prefix attack 은 아니어서, 당장 인증서를 위조해내는 정도는 아님. 하지만 여태까지 그래왔고, 앞으로도 그렇겠지만 공격은 항상 향상되지 악화될리가 없다. 그러니 근미래에 뚫린 상황 — $100k 수준에서 chose-prefix attack이 가능해지는 상황 — 에 진입할지도 모른다. (Google 은 2017년 1월부터 SHA1 해시를 쓴 인증서를 안전하지 않은 것으로 간주하기로 했다(Chrome 41이후) )

여하튼 해야할 일:

  • 사용 중인 인증서가 SHA-1 해시로 서명되어 있는가? (직접 쓰는 인증서, intermediate 인증서 모두) 그러면 바꿀 것. 아마 이미 발급된 인증서에 대해서 무료(?) 재서명을 해줄지도 모름
  • SHA-1 해시로 서명된 사이트에 접속하고 그 사이트와 안전하게 통신하는게 중요하다면 그 사이트 사용을 멈추거나 (예를 들어 국민은행?) 바꾸라고 요구해야 한다
  • 조만간 주요 웹 브라우저에서 SHA-1 해시를 이용해서 서명한 인증서들을 안전하지 않다 라고 표시하는 업데이트가 나올테니 일찍일찍 설치해둘 것

정도를 해야.

아 그리고 SHA-1 해시를 root 인증서 에 쓴 건 상관없다. 아침에 일어났다가 불현듯 이게 떠올라서 — 이 블로그가 쓰는 인증서의 Root CA는 SHA-1 서명; 구글도 같은 Root CA 씀(…) — 검색해보니 Gradually sunsetting SHA-1 이란 글 발견. 해당 부분을 발췌하면,

Note: SHA-1-based signatures for trusted root certificates are not a problem because TLS clients trust them by their identity, rather than by the signature of their hash.

즉, root 인증서의 경우 공개키(pub-key)를 가지고 있는거고, (자가) 서명한 signature 자체는 검증할 일이 없기 때문에 상관없다는 것. (대조할 대상 이 아예 없으니까)

리뷰: 셜록 홈즈: 모리어티의 죽음 – 앤터니 호로비츠

둘째 태어나기 좀 전에 “셜록 홈즈: 실크하우스의 비밀”을 읽었던 것 같은데 그 후속이 나왔다.
이번에 다루는 부분은 “마지막 사건”과 “빈 집의 모험” 사이 이야기다. 즉, 라이헨바흐 폭포에서 셜록 홈즈와 제임스 모리어티가 싸워 추락사하고, 홈즈의 귀환까지의 공백 기간으 다룬 얘기.

이 책에서도 셜록 홈즈와 모리어티가 육체적으로 싸워야한 부분을 비꼬는 느낌이 좀 들긴하는데, 어쨌든 그 공백을 훌륭하게 살려낸 느낌.
주인공 격인 애설니 존스와 프레데릭 체이스 조합도 굉장히 잘 맞는 느낌이라 — 홈즈 + 왓슨 만큼 — 흥겹게 읽을 수 있더라.
읽는내내 얘가 걔아닌가? 하는 생각을 하면서 읽는데 여러 번 뒷통수를 막고 아주 살짝만 실마리를 잡아서 정말 진실의 끝자락 정도만 맞출 수 있더라.

실크하우스 때는 꽤 괜찮다정도 였는데, 이번 책은 정말 훌륭했다. 추리소설로써 괜찮은 점 + “네 개의 서명” (이 책의 주인공인 애설니 존스가 등장하는) 처럼 모험 활극같은 분위기가 섞여서 맘에 들었다. 실크하우스의 비밀 편을 중고로 판매한 것 같은데 다시 사야할 듯한(…).

리뷰: 야경 – 요네자와 호노부

고전부 시리즈 (애니메이션 빙과의 원작) 은 읽었었는데 나오키 상 후보였다는 말 + 알라딘 굿즈 (…) 에 눈이 멀어서 주문해봄.
장편이라고 생각했는데 — 왜 이렇게 착각했는지는 지금도 모르겠음 — 첫 단편인 야경이 휙 하고 끝나버려서 멍.
본격적인 추리물이라고 하기보단 미스테리 물에 가까운 단편들이 수록되어 있다.

고전부 시리즈는 뭔가 굉장히 편안한 일상 미스테리 물이었는데 이건 정말 본격적으로 묵직한(…) 내용이 나옴 — 그러니까 살인, 괴담스러운.
필체도 약간 달라진 느낌이지만 여전히 취향(..)이니 이 작가 책을 몇 개 더 주문해 봐야.

연재물 전자책이 개선되면 좋겠다

딱 맥북 / 맥북에어 정도만 들어가는 가방을 들고다니 시작해서, 그리고 늦봄부터는 자전거 통근을 해서; 요즘 통근 중의 책은 거의 리디북스나 레진코믹스에 의존 중. (물론 얇은 문고판 책이나 추가 케이블; 그리고 지갑정도는 들어가지만 그런 책이 항상 있는건 아니라서)

리디북스에서 연재물을 읽고 있는데 — 200화 가까이 연재된 걸 대충 120화부터 따라 잡아서 읽고 있는듯 — 이게 딱히 편하질 않다. 그래서 뭐가 대안일까가 궁금했는데, 최근에 John Scalzi의 신작, End of the all things의 연작 중편을 예약 구매로 사보다가 훨씬 나은 경험을 했다. 대략,

  1. amazon.com 에서 첫 중편 이후의 3개 중편을 예약 구매.
  2. 발매 시간이 되자 결제와 함께 영수증을 포함한 이메일이 옴
  3. 킨들 앱 런치하니 다운로드 시작

리디북스에서도 이 정도로 편하게 해주면 안될까;

  1. 연재물이라 정확히 뭐가 언제 나온다는 정보가 없긴하다. 작가가 그걸 보장하는 것도 이상하니까. 그래도 나오면 결제하겠다는 opt-in은 가능해 보인다. (한국에서 말이 안되는 계약 형태면 어쩔 수 없고…)
  2. 새 연재물이 올라오면 이메일 발송 (결제와 함께. 카드 정보는 저장 못하지만 리디북스는 리디 캐시로 구매할 수 있으니까 구매 가능한 정도만 있으면…)
  3. 리디북스 앱 런치하면 다운로드 시작 (이건 지금도 됨)

1, 2가 불가능한가? 이게 한국적인 제약이라서 안되는건지, 아니면 아직 이런 “욕구”가 없어서 그런건지. 카드 결제는 리디북스에서 회피할 수 있으니 괜찮을 것도 같은데 -_-;

새 랩탑 도착

지난 달 초에 주문한 맥북이 어제 도착.
원래 쓰던 랩탑 (2012년 맥북에어)에서 이전 작업을 한 기록을 여기에 남긴다.

  1. Migration Assistant 시도 (1차): 실패하고 두 대 모두 제어 불가능한 상태가 되서 리붓.
  2. 2차 시도: 새 맥북에서 맥북에어는 보이는데 반대가 안되어서 똥망 -_-
  3. 3차 시도: 이전이랑 같음.

여기서 GG치고 수동 복사 시작(…).

대략 다음과 같은 애들을 수동으로 옮겼다:

  1. 작업 디렉터리 및 문서 디렉터리. 작업물 디렉터리에서 현재 손 안댄 것은 과감히 제외 (그래도 복사한 용량 10기가 수준). 문서 디렉터리에 vmware vm들이 있어서 복사가 천 년. 맥북에어 배터리 절반과 energy impact 120을 찍어준 rsync에 감사(…). 더불어 google chrome 설치 및 설정 동기화.
  2. 맥북에 app-store 기반 프로그램들 설치. 근데 이거랑 복사랑, 기존 구입한 프로그램들 + 맥북 새로사면서 갱신된 iwork동시에 깔았더니 프리즈. ㅠㅠ 리붓.
  3.  iTerm 설치. 기존 설정을 디렉터리로 저장해서 옮김. 새 맥북엔 bash 새로 빌드 안해서 굉장히 특이한 에러를 냈다(…). 폰트 파일이 없어서 inconsolata 와 나눔고딕 코딩을 가져다가 설치. bash 설정을 옮겼더니 git 없다고 (…) xcode command line tool을 설치하기 시작 (…).
  4. homebrew 설치. 그대로 python, vim, git 새로 설치.
  5. VPN 키 복사 및 설정
  6. Moom 설정 (창 크키 조정용)
  7. X Server 설치 (xquartz)

(잠)

출근하고 나서 구글 계정이랑 동기화 시작 (주소록 + 캘린더) 두 셋트. 이러고나니 대략 쓸 수 있는 상태가 된 듯. 밤에도 (상대적으로) 잘 보이니 기쁜데 그거 말고는 딱히 차이는 없다. 출근할 때 좀 더 가벼운건 좋긴함. 아마 외근 나갈 때 뼈저리게 느끼겠지 -_-.

(추가: 2015-06-05)

중요한 걸 빠뜨렸다. 한국 정부 혹은 준정부 기관에 해당하는 Root CA들을 제거하지 않았음. 다음 Root CA를 삭제:

  • KISA Root CA1

여기서 서명해준 intermediate CA는 이 이후 신뢰하지 않는다.

오랜만에 확인해본 FeedBurner 통계

feedburner-collapsed

Google 사용량 통계 메일 (매달 오는듯?) 보다가 FeedBurner가 아직 살아있는 것 보고 반가운 마음에 (???) 들여다본 결과.

Google Reader가 2013년 7월 1일 부로 서비스 종료한 이후로 구독자 수 / 도달률 모두 거의 붕괴한 상황이다. 내가 블로그를 덜 읽고, 글도 덜 쓰게 된 것도 대충 저것과 유사한 흐름인 것 같기도 하구나 -_-a

블로그 서비스 이전 준비 중

이 블로그는 만든 이래로 계속 동아리 서버 신세를 지고 있는데 이젠 옮길 때가 된 듯하여 — SSL + SNI 문제라거나 — 옮길 곳을 찾는 중.

대략 EC2 도쿄리전 아니면 GMO 쪽으로 옮기지 않을까 싶은데; (대략 월 2만 이하 가격; 트래픽은 크지 않음…)
뭔가 써 보신 분들은 추천 좀.

대략 다음과 같은 부분을 생각 중:

  • https-only w/ HSTS
  • .kr / .net / … 도메인에 대해서 SNI 설정이 가능해야 함 (.kr …)
  • VM 접근 권한이 다 있으면 좋지만, 안되면 스태틱 파일만 내보내는 것도 생각 중 (하지만 disqus 류는 느려서 괴로울지도)
  • 한 달 사용료 2만 안쪽으로…
  • DNS 서버 제공해주면 좋고
  • 싼 인증서 패키지 (…이건 약간 카테고리가 다른 듯)

하지만 과연 나의 귀차니즘을 이길런지는.