개발자일을 그만 둔지 1년이 넘게 흘렀다.
이것 저것 자잘한 프로젝트들을 진행했고 이제
나아가기 위한 최종 과거 포트폴리오 중 핵심이었던 전자여권 개발에 대해 이야기 해보려고 한다.
[표준]
1. 전자여권은 ICAO표준 : ICAO 9303
2. 유럽 id카드 표준이 합쳐져 구성되어 있는 제품이다 : tr-03110
[명칭별 기능]
1. 가장 기본적인 기능은 BAC.
표준을 보면 복잡해 보이지만 핵심은 핸드쉐이킹.
어렵다면 핸드쉐이킹의 간단한 문서를 보자.
2. PACE ecc 기반의 대칭키 인증 구조를 가진다.
3. EAC 는 데이터 처리 흐름으로 유럽 id 카드의 인증
흐름과 호환되거나 특정 목적의 제어 흐름을 이야기
한다.
[전자여권 개발 흐름]
1. IC 칩의 선정. 하드웨어적인 보안 이슈들을 검증 받은 인증된 제품을 사업적 이슈를 고려하여 선택한다.
2. 외부 통신기능 포팅 : 기본 칩사에서 제공하는 라이브러리는 이슈가 있으므로 수정하여 상위 레이어의 전자여권 소프트와 문제 없이 붙인다.
3. 데이터 무결성 검증 : 발급 시 통신 중단이나 불시
중단 시에 문제 없도록 개발 테스트한다.
4. 표준 기능 개발 : 전자여권 표준, 유럽 표준을 보고 기능 개발한다. 표준만 가지고 확실치 않은 데이터 흐름은 기 개발된 전자여권 테스트 툴과 디버깅 툴을 통해 데이터 역공학으로 이진 데이터를 까면서 진행한다.
5. 기능 검증 : 하드웨어 부터 최상의 레이어까지 유료 테스트 툴로 검증한다.
6. 인증 문서 작성 : 인증문서는 PP 라는 표준화된 양식이 있으며 거기 맞춰 빈칸 넣기 식으로 문서를 쓰는 것이 쉬운데 EAC 전자여권은 표준 양식이 그 당시 없었다. 해결법으로 표준 양식에 어팬드하는 형태로 기능을 기술하여 인증 문서를 작성한다. 인증 기관인 에이플러스에서 인증 문서 교육시 검토받은 문서 작성 방법으로 검증 방법과 이미 있는 표준 양식의 모순이 없다면 인증 과정에서 대화로 풀어 갈 수 있다.
6. 호환성 테스트 : RF 안테나 업체 선정과 기 여권 판독기에 대한 테스트가 이루어 진다.
7. 인증 진행 : 인증기관과 창과 방패 싸움을 한다. 제품 인증시에 제품이 안전 뿐만 아니라 제품 개발환경, 보관 환경에 대한 이슈도 같이 검토 받아야 한다.
8. 입찰 문서 작성 : 조폐공사의 입찰 양식과 입찰 과정에 맞게 문서 작성과 입찰 과정을 거친다.
말도안되는 대장정을 3번이나 했고 마지막 3번째는 거의 다 관여 관여했다. 개발쪽은 혼자 다했고..
내 인생에 중요한 중심이 되는 프로젝트다.
[인증 이력 참조]
https://www.commoncriteriaportal.org/nfs/ccpfiles/files/epfiles/2017-13%20INF-2571.pdf
https://www.commoncriteriaportal.org/nfs/ccpfiles/files/epfiles/2017-14%20INF-2572.pdf
'보안 이야기' 카테고리의 다른 글
보안관점에서 인코딩 (0) | 2024.07.26 |
---|