Zorro의 연관키 차분특성을 이용한 키 복구 공격 및 PGV-Zorro의 충돌쌍 공격

김기윤(Giyoon Kim),박은후(Eunhu Park),이종혁(Jonghyeok Lee),장성우(Sungwoo Jang),김지훈(Jihun Kim),김한기(Hangi Kim),김종성(Jongsung Kim) 한국정보보호학회 2018 정보보호학회논문지 Vol.28 No.5

블록암호 Zorro는 AES와 비슷한 연산과정을 거치나 S-box 개수를 줄여 부채널 공격에 대비한 마스킹을 구현비용을 줄일 수 있게 설계되었다. 하지만 마스터키를 라운드키로 그대로 사용하기 때문에 연관키 차분공격 관점에서 취약하다. 본 논문에서는 Zorro의 연관키 차분특성을 이용해 키 복구 공격을 보인다. 또한 안전성이 증명된 12가지의 PGV 모델을 Zorro를 기반으로 할 때 블록암호의 연관키 차분 특성이 해시함수 충돌쌍 공격에 어떻게 활용될 수 있는지 설명하고 실제 충돌쌍을 제시한다. The block cipher Zorro is designed to reduce the implementation cost for side-channel countermeasure. It has a structure similar to AES, but the number of S-Boxes used is small. However, since the master key is used as the round key, it can be vulnerable to related key attacks. In this paper, we show key recovery attacks on Zorro using related-key differential characteristics. In addition, the related key differential characteristics are fatal when Zorro is used as the base block cipher of the hash function. In this paper, we describe how these characteristics can be linked to collision attacks in the PGV models.

OBD 스캐너 애플리케이션 INFOCAR 데이터 분석을 통한 차량 포렌식 기법 연구

허욱(Uk Hur),김기윤(Giyoon Kim),김종성(Jongsung Kim) 한국디지털포렌식학회 2021 디지털 포렌식 연구 Vol.15 No.2

macOS 환경에서의 Huawei 및 Apple 스마트폰 암호화 백업 데이터 복호화 및 아티팩트 분석

강수진(Soojin Kang),김기윤(Giyoon Kim),김소람(Soram Kim),김종성(Jongsung Kim) 한국디지털포렌식학회 2021 디지털 포렌식 연구 Vol.15 No.4

사용자와 관련한 다양한 데이터를 저장하는 스마트폰은 디지털 포렌식 관점에서 주요 분석 대상이다. 스마트폰의 보안 문제로 수사를 위한 스마트폰 데이터의 획득이 어려운 경우, 제조사 백업 서비스를 통한 데이터 획득 방식을 활용할 수 있다. 백업 기능은 제조사에서 사용자의 편의를 위해 데이터 보관 및 이동 등이 용이하도록 제공하는 서비스로 스마트폰 내의 주요 데이터를 PC나 다른 스마트폰으로 옮길 수 있다. 제조사에 따라 관리하는 데이터의 종류 및 형태가 다르며, 암호화 기능을 제공하여 한층 강화된 데이터 보안을 제공하기도 한다. 따라서 백업 데이터 활용 시 제조사별 백업 데이터 구조 및 암호화 기능 사용 여부에 따른 획득 가능한 데이터 종류를 파악해야 한다. 만일 암호화 기능이 적용된 경우, 데이터 복호화 방안 연구가 선행되어야 한다. 또한, 기존 연구 결과가 존재하더라도 백업 프로그램 업데이트 시 백업 데이터 구조 및 암호화 과정이 변경될 수 있어 지속적인 연구가 필요하다. 본 논문에서는 최신 macOS 환경에서 스마트폰 제조사인 Huawei와 Apple의 백업 데이터를 분석하였다. 각 제조사가 제공하는 백업 프로그램을 사용하여 백업된 데이터의 분석을 통해 상세한 암호화 과정을 밝혔다. 이를 기반으로 백업된 데이터를 모두 복호화하였으며, 암호화에 사용된 사용자 입력 패스워드의 복구 가능성을 제시하였다. 이후 복호화된 데이터 중 디지털 포렌식 관점에서 유용한 아티팩트를 선별하고 정리하였다. Smartphones that store various data related to users are a major analysis target in a digital forensic investigation. When it is difficult to obtain smartphone data for investigation due to security problems, a data acquisition method through a manufacturer"s backup service can be used. The backup function is a service provided by the manufacturer to facilitate data storage and movement for the convenience of users, and it is possible to move the main data in the smartphone to a PC or another smartphone. The types and forms of managed data differ depending on the manufacturer, and it also provides enhanced data security by providing an encryption function. Therefore, when using backup data, it is necessary to identify the types of data that can be obtained depending on the backup data structure by manufacturer and whether or not the encryption function is used. If an encryption function is applied, a study on data decryption method should be preceded. In addition, even if preceding studies results exist, the backup data structure and encryption process may be changed when updating the backup program, so subsequent studies are required. In this paper, we analyzed the backup data of smartphone manufacturers Huawei and Apple in the latest macOS environment. We revealed the detailed encryption process through the analysis of the backed up data using the backup program provided by Huawei and Apple manufacturers. Based on this, we decrypted all the backed up data, and suggested the possibility of recovering the user input password used for encryption. Then, we selected and organized useful artifacts from a digital forensics perspective among decrypted backed up data.

Vault 앱의 데이터 암호화 알고리즘 및 은닉 알고리즘 분석

최용철(Yongcheol Choi),김기윤(Giyoon Kim),김종성(Jongsung Kim) 한국디지털포렌식학회 2021 디지털 포렌식 연구 Vol.15 No.4

불법촬영 범죄에 있어 용의자의 스마트폰은 주요 분석 대상이다. 다양한 애플리케이션의 발전으로 용의자들은 범죄 데이터를 은닉하거나 암호화하며 이는 디지털포렌식 수사관점에서 안티포렌식으로 작용한다. 실제로 국내·외에서 데이터 은닉 기능을 제공하는 Vault 앱을 활용하여 데이터를 은닉 및 암호화해 수사를 방해한 사례가 존재한다. Vault 앱은 각각의 앱마다 암호화 방식과 은닉 방식이 서로 다르므로, 알고리즘이 분석되어있지 않을 경우 원본 데이터의 획득이 어렵다. 따라서 다양한 Vault 앱에 대한 사전연구는 지속적으로 요구된다. 본 논문은 다운로드 수가 많고 분석된 결과가 없는 Vault 앱 4종 LOCKED Secret Album, Calculator - Photo Vault & Video Vault hide Photos, Folder Lock, 계산기 - 사진보관함 (사진 숨김)에 대해 분석하였다. 각 앱에 대해 암호화 알고리즘 또는 은닉 알고리즘을 분석하여 암호화 또는 은닉된 데이터의 원본 데이터를 획득하는 방법을 제시한다. In illegal filming crimes, the suspect"s smartphone is the main subject of analysis. With the development of various applications, suspects hide or encrypt criminal data, which acts as an anti-forensic from the digital forensic investigation point of view. In fact, there are cases where the Vault app, which provides data hiding function, was used to hide and encrypt data at home and abroad to obstruct the investigation. Since the Vault app has different encryption and hiding methods for each app, it is difficult to obtain the original data if the algorithm is not analyzed. Therefore, prior research on various Vault apps is continuously required. This paper analyzed 4 types of Vault apps, LOCKED Secret Album, Calculator - Photo Vault & Video Vault hide Photos, Folder Lock, and Calculator - Photo Locker (hidden photos), which have many downloads and no analysis results. We present a method to obtain the original data of encrypted or hidden data by analyzing the encryption algorithm or hidden algorithm for each app.

디지털 포렌식 관점에서의 사진 잠금, 사진/비디오 숨기기, Safe Gallery/Camera 애플리케이션 분석

강수진(Soojin Kang),신수민(Sumin Shin),김기윤(Giyoon Kim),김종성(Jongsung Kim) 한국디지털포렌식학회 2020 디지털 포렌식 연구 Vol.14 No.2

개인정보보호에 대한 인식이 높아짐에 따라 사생활 보호를 위한 다양한 애플리케이션이 등장했다. 사생활 보호 애플리케이션은 사용자가 지정한 데이터를 은닉 혹은 암호화하여 권한이 있는 사용자 외에는 데이터 접근을 어렵게 한다. 데이터 수집 저해 기법은 사생활 보호 차원에서 긍정적인 효과를 띄지만, 디지털 포렌식 수사 관점에서는 안티 포렌식 행위로 작용한다. 본 논문에서는 데이터 은닉과 암호화를 제공하는 애플리케이션인 ‘사진 잠금 (스마트 갤러리)’, ‘사진, 비디오 숨기기’, ‘Safe Gallery’ 및 ‘Safe Camera – Photo Encryption’을 분석했다. 각 애플리케이션의 은닉 기법을 분석, 은닉 해제방법을 제시하고, 암호화된 데이터를 복호화한다. 또한, 데이터 은닉 및 암호화에 사용된 사용자 입력 패스워드를 복구한다. As awareness of privacy increases, various applications for privacy have emerged. Privacy applications conceal or encrypt user-specified data, making it difficult to access data except for authorized users. While the data collection inhibition technique has a positive effect on privacy, it is an anti-forensic behavior from the perspective of digital forensic investigation. In this paper, applications that provide data concealment and encryption are analyzed: "Photo Locking (Smart Gallery), "Photo, Video Hide", "Safe Gallery" and "Safe Camera – Photo Encryption". It analyzes the concealment technique of each application, present a method revealing concealment and decrypts the encrypted data. It also recovers user input passwords used for data hiding and encryption.

SNS 애플리케이션의 데이터 복호화 및 아티팩트 연구

신수민(Sumin Shin),강수진(Soojin Kang),김기윤(Giyoon Kim),김종성(Jongsung Kim) 한국정보보호학회 2020 정보보호학회논문지 Vol.30 No.4

스마트폰의 대중화로 현대인의 의사소통 수단으로 Social Networking Service(SNS)가 자리 잡았다. 의사소통 수단의 특성상 SNS는 다양한 보관 증거 및 생성 증거를 생성한다. 따라서 디지털 포렌식 수사관점에서 주요 분석대상이다. SNS를 제공하는 애플리케이션은 데이터를 중앙 서버에 저장하거나 사용자의 편의성을 위해 데이터베이스화하여 스마트폰 내부에 저장한다. 이때 일부 애플리케이션은 개인정보 보호를 위해 암호화 기능을 제공하며 이는 디지털 포렌식 수사관점에서 안티 포렌식으로 작용될 수 있다. 따라서 암호화 방안에 관한 연구는 지속적으로 선행돼야 한다. 본 논문에서는 SQLCipher 모듈을 통해 SQLite 기반의 데이터베이스 암호화 기능을 제공하는 두 종류의 애플리케이션을 분석했다. 각 데이터베이스를 복호화했으며 주요 데이터를 식별했다. With the popularization of smartphones, Social Networking Service (SNS) has become the means of communication for modern people. Due to the nature of the means of communication, SNS generates a variety of archive and preservation evidence. Therefore, it is a major analysis target in terms of digital forensic investigation. An application that provides SNS stores data in a central server or database in a smartphone inside for user convenience. Some applications provide encryption for privacy, which can be anti-forensic in terms of digital forensic investigation. Therefore, the study of the encryption method should be continuously preceded. In this paper, we analyzed two applications that provide SQLite-based database encryption through SQLCipher module. Each database was decrypted and key data was identified.

암호화된 SNS 애플리케이션 데이터 복호화 방안 연구 : 카카오톡 채널 관리자, Purple, TongTong

이세훈(Sehoon Lee),박명서(Myungseo Park),김기윤(Giyoon Kim),허욱(Uk Hur),김종성(Jongsung Kim) 한국디지털포렌식학회 2020 디지털 포렌식 연구 Vol.14 No.1

스마트폰의 보급률이 높아지면서 소셜 네트워크, 온라인 커뮤니티 및 메신저 등 다양한 기능을 제공하는 애플리케이션이 증가했다. 이러한 애플리케이션은 사용자의 행위 및 정보 등 중요 정보를 스마트폰 내에 저장한다. 따라서 해당 정보들은 디지털 포렌식 관점에서 유효하게 다룰 수 있어 주요 분석 대상이 된다. 그러나 서비스 제공업체에서는 개인 정보의 유출을 막기 위해 다양한 정보를 암호화한다. 이는 디지털 포렌식 관점에서 안티 포렌식으로 작용할 수 있으며 디지털 포렌식 수사에 차질을 발생시킨다. 따라서 암호화된 데이터 식별 및 복호화에 관한 선행 연구가 필요하다. 본 논문에서는 카카오톡 채널 관리자, Purple 및 TongTong을 대상으로 스마트폰에 저장된 암호화된 데이터를 식별하고 암호화 과정을 분석하여 복호화한다. 또한, 네트워크 분석을 통해 로그인 시 전송되는 크리덴셜 데이터의 암호화 과정을 분석하고 활용방안을 제시한다. As the penetration rate of smartphones increased, the number of applications offering various features such as social network, online community and instant messenger has increased. These applications store important information in the smartphone, such as user behavior and information, and such information is important in digital forensic investigation. However, service providers often encrypt various pieces of information to prevent the leakage of personal information. It could be applied as an anti forensic from a digital forensic point of view and often disrupts digital forensic investigation. Therefore, prior research on identifying and decrypting encrypted data is necessary. This paper analyzes encryption processes of the conversation history stored through the KakaoTalk Channel, Purple and TongTong and decrypts their encrypted data. In addition, through the network analysis, we analyze encryption processes of the credential data transmitted at the time of login and study its utilization.

샤오미 스마트홈 아티팩트 분석 및 활용방안 연구

강수진(Soojin Kang),신수민(Sumin Shin),김소람(Soram Kim),김기윤(Giyoon Kim),김종성(Jongsung Kim) 한국디지털포렌식학회 2021 디지털 포렌식 연구 Vol.15 No.1

IoT 기술은 스마트 스피커 및 스마트 워치 등 단일 기기만 사용되는 환경에서 점차 스마트홈으로 적용 범위가 확대되고 있다. IoT 기기는 주변 환경 정보를 수집하고 이를 기반으로 다른 기기와 상호작용하거나 사용자 지정 명령을 수행한다. 이와 관련한 다양한 데이터를 수집하는 특징으로 IoT 기기는 범죄의 주요 증거물로 활용되므로 디지털 포렌식 수사 관점에서 중요하다. IoT 기기가 수집한 데이터는 기기 내부에 저장되거나 연결된 허브, 클라우드 또는 스마트폰 앱과 함께 사용하는 경우 각각의 기기에서도 데이터가 기록된다. 이때 IoT 기기별로 저장하는 데이터의 형태 및 추출 방식이 다르므로 사전 연구가 필요하다. 본 논문에서는 IoT 기기가 중요한 디지털 증거로 사용될 수 있음을 보이기 위해, 대표적으로 많이 사용하는 샤오미사의 스마트홈 기기를 분석하였다. 실제 스마트홈과 동일한 환경을 구성하였으며, IoT 기기 통제 및 모니터링은 스마트폰을 통해 수행하였다. 다양한 사용자 행위를 통해 데이터가 수집될 수 있도록 하였으며, 이후 데이터를 추출해 디지털 포렌식 관점에서 의미 있는 데이터를 선별하였다. 또한, 가상의 시나리오를 구성하여 분석한 데이터에 대한 포렌식 활용방안을 제시하였다. IoT technology is gradually expanding its application range to smart homes in environments where only a single device such as a smart speaker and smartwatch is used. IoT devices collect various environmental information and interact with other devices based on this information or perform user commands. Collected various data of IoT devices are important from the aspect of digital forensic investigation since they are used as critical evidence. The data of IoT devices are stored themselves or are also recorded on each device when used with a connected hub, cloud, or smartphone app. However, it is necessary to perform preliminary research due to the difference in the data format and data extraction methods in IoT devices. In this paper, we analyzed the smart home devices of Xiaomi to provide that IoT devices can be used as important digital evidence. The identical environment as the actual smart home was configured, and controlling and monitoring the IoT devices are through a smartphone. Data were collected by user action and were extracted. We classified the meaningful data from raw data for use as digital evidence. In conclusion, we present the importance of this study by suggesting the utilization method of analyzed data using a virtual scenario.