기본 인증은 편리하고 유연하지만, 사용자 이름과 비밀번호를 평문으로 보내 메시지 위조의 위험을 가진다는 단점이 있음

다이제스트 인증은 기본 인증의 더 안전한 대체재로서 개발되었다.

다이제스트 인증이란?

기본 인증의 가장 심각한 결함을 수정한 또 다른 HTTP 인증 프로토콜이다.

다음과 같은 특징을 가진다.

• 비밀번호를 절대 평문으로 전송하지 않는다.
• 인증 체결을 가로채서 재현하려는 악의적인 사람들을 차단한다.
• 구현하기에 따라 메시지 내용 위조를 막는 것도 가능하다.
• 그 외 몇몇 잘 알려진 형태의 공격을 막는다.

다이제스트 인증은 위와 같은 장점이 있으나, 안전한 HTTP 트랜잭션을 위한 많은 요구사항을 만족하진 못하며 현재 그다지 사용되고 있지 않다.

다이제스트 인증의 원리

다이제스트 인증에서의 클라이언트는 비밀번호를 평문으로 보내는 대신, 이를 비가역적으로 뒤섞은 ‘지문’ 혹은 ‘요약(digest)’을 보낸다.

서버는 클라이언트가 보낸 요약이 비밀번호에 알맞게 대응하는지 검사하고, 일치 여부가 확인되면 클라이언트에 문서를 제공한다.

다이제스트 인증의 요약

요약은 정보 본문의 압축이며, 단방향 함수로 동작하고, 입력값들을 유한한 범위의 압축으로 변환한다.

인기 있는 요약 함수 중 하나인 MD5는 임의의 바이트 배열을 원래 길이와 상관없이 128비트 요약으로 변환한다.

→ 요약 값을 통해 비밀번호를 추측하는 것을 어렵게 한다.

요약 함수는 보통 암호 체크섬으로 불리며, 단방향 해시 함수이거나 지문 함수이다.

재전송 방지를 위한 난스 사용

악당이 비밀번호를 모른다고 해도 요약을 가로채서 서버로 요청을 재전송할 수 있다. ⇒ 요약은 비밀번호 자체와 다름없음.