TLS 안전성 연구

변진욱(Byun Jin Wook) 한국정보보호학회 2013 情報保護學會誌 Vol.23 No.5

TLS 프로토콜은 인터넷 보안에서 가장 널리 사용되는 핵심 기술로서, 핸드쉐이크(handshake) 프로토콜과 레코드 레이어(record layer) 프로토콜로 구성된다. 핸드쉐이크에서 형성된 키를 이용하여 레코드 레이어 프로토콜에서 데이터들에 대해 인증, 무결성, 기밀성과 같은 정보보호 서비스를 제공한다. 이와 같이, TLS 프로토콜은 키 공유라고 하는 고전적인 암호학 문제를 포함하고 있기 때문에, 암호학 연구자들에게 접근성이 매우 뛰어난 연구 주제가 되어왔다. 이를 반영하듯, 최근에 암호학 분야의 최고 권위 있는 Crypto학회에 TLS 이론 연구에 관한 논문이 연속적인 주제로 게재되었다. 본 논문에서는 최근 Crypto학회 및 eprint에 올라온 TLS와 관련된 최신 연구 동향 및 결과를 분석하여, TLS 프로토콜의 안전성을 연구하였다.

PUF 기반 RFID 인증 프로토콜의 효율적 설계에 관한 연구

변진욱(Jin Wook Byun) 한국정보보호학회 2014 정보보호학회논문지 Vol.24 No.5

PUF(physically unclonable function)는 태그 혹은 디바이스 내에 삽입되어 구현되며, 해당 디바이스의 고유한 물리적인 성질을 이용해서, 입력 값 x에 대해 노이지 y값을 출력한다. 비록 x가 동일하게 입력되더라도 매번 다른 출력 값(y₁,...yn)을 출력하며, 탬퍼 방지 (tamper-resistance) 성질로 인해, 암호 프로토콜에 활용도가 매우 높다. 본 논문에서는 이러한 PUF를 이용하여 RFID 인증 프로토콜을 안전하고 효율적으로 설계하는 방법에 대해 연구한다. 본 논문에서 제안된 방법은, 기존의 방법과 비교했을 시, 공격자가 메모리 노출 공격을 통해 비휘발성 메모리에 존재하는 롱텀(long-term) 키 값을 알게 되더라도, 그 세션 전후에 사용된 태그(tag)의 안전성 및 프라이버시가 보장되도록 설계하였다. 또한, PUF에 사용된 키 값을 복원하는 알고리즘이 태그 측이 아닌 RFID 리더에서 수행하도록 설계함으로써, 태그 구현 비용 및 전체 프로토콜 실행시간을 최소화할 수 있도록 하였다. A PUF is embedded and implemented into a tag or a device, and outputs a noise y with an input of x, based on its own unique physical characteristics. Although x is used multiple times as inputs of PUF, the PUF outputs slightly different noises, (y₁,...yn), and also the PUF has tamper-resistance property, hence it has been widely used in cryptographic protocol. In this paper, we study how to design a PUF-based RFID authentication protocol in a secure and an efficient way. Compared with recent schemes, the proposed scheme guarantees both authentication and privacy of backword/forward under the compromise of long-term secrets stored in tag. And also, the most cost and time-consumming procedure, key recovery algorithm used with PUF, has been desgined in the side of RFID reader, not in the tag, and, consequently, gives possibility to minimize costs for implementation and running time.

Pointcheval-Zimmer 다중 인증 요소 기반 인증된 키 교환 프로토콜의 안전성 연구

변진욱(Jin Wook Byun) 한국정보보호학회 2013 정보보호학회논문지 Vol.23 No.3

Pointcheval과 Zimmer는 2008년에, 사용자의 비밀 키, 패스워드, 생체정보를 모두 이용한 다중 인증 요소 기반 키 교환 프로토콜을 제안하였다. 하지만, Hao와 Clarke는, 공격자가 한 개의 인증요소 (패스워드) 를 알고 있다고 가정 했을 때 이를 이용해서 나머지 두 개의 인증요소인 사용자의 비밀 키와 생체정보를 모두 알 수 있는 안전성 결함이 있음을 보였다. 하지만, Hao와 Clarke은 프로토콜 설계의 구조적인 결함 및 복잡성을 이유로 그에 대한 해결책을 제안하지 못하고 남겨 두었다. 본 논문에서는 Hao와 Clarke이 제시한 공격을 효율적으로 방어할 수 있는 대응방안을 제시하고 안전성을 논의한다. In 2008, Pointcheval and Zimmer have presented multi-factor authenticated key exchange protocol with client"s secret key, password, biometrics. However, it has been found to be flawed by Hao and Clarke if an attacker has single authentication factor (password), then the attacker can deduce other authentication factors. Interestingly, its countermeasure has not been presented due to the difficulty of design and structural problem. In this paper, an efficient countermeasure is briefly presented and its security is discussed as well.

암호화 문서상에서 효율적인 키워드 검색 프로토콜 설계

변진욱(Jin Wook Byun) 대한전자공학회 2009 電子工學會論文誌-CI (Computer and Information) Vol.46 No.1

본 논문에서는 공통의 키워드들을 포함하는 암호화 문서들을 검색하는 프로토콜에 대해서 연구한다. 공통의 키워드 검색 프로토콜은 자료 공급자 (data supplier), 자료 저장소 (database) 그리고 사용자 (user of database) 로 이루어진다. 자료 공급자는 암호화된 문서를 자료 저장소에 저장하게 되고 정당한 사용자는 원하는 키워드들을 질의하여 해당 키워드들이 공통으로 포함된 암호화 문서들을 얻을 수 있다. 최근, 많은 공통의 키워드 검색 프로토콜들이 다양한 환경에서 제안되었다. 하지만, 제안된 프로토콜들은 자료 공급자 및 자료 저장소 관점에서 많은 계산적 비용을 필요로 한다. 더욱이 지금까지 제안된 프로토콜들의 안전성은 랜덤 오라클 (random oracle) 모델에서만 증명되었다. 본 논문에서는 암호화 문서상에서 효율적인 공통의 키워드 검색 프로토콜을 랜덤 오라클 가정 없이 설계한다. 또한 사용자의 자료 저장량 그리고 자료 저장소의 계산량, 통신량 비용이 상수양의 비용을 가진다. 제안된 프로토콜의 안전성은 DBDH (Decisional Bilinear Diffie-Hellman) 문제의 어려움에 기반 한다. We study the problem of searching documents containing each of several keywords (conjunctive keyword search) over encrypted documents. A conjunctive keyword search protocol consists of three entities: a data supplier, a storage system such as database, and a user of storage system. A data supplier uploads encrypted documents on a storage system, and then a user of the storage system searches documents containing each of several keywords. Recently, many schemes on conjunctive keyword search have been suggested in various settings. However, the schemes require high computation cost for the data supplier or user storage. Moreover, up to now, their securities have been proved in the random oracle model. In this paper, we propose efficient conjunctive keyword search schemes over encrypted documents, for which security is proved without using random oracles. The storage of a user and the computational and communication costs of a data supplier in the proposed schemes are constant. The security of the scheme relies only on the hardness of the Decisional Bilinear Diffie-Hellman (DBDH) problem.

서로 다른 패스워드를 가진 사용자간의 패스워드 인증 키 교환 프로토콜

변진욱(Jin Wook Byun),정익래(Ik Rae Jeong),이동훈(Dong Hoon Lee) 한국정보보호학회 2003 정보보호학회논문지 Vol.13 No.1

새로운 C2C-PAKA 프로토콜의 안전성 연구

변진욱(Jin Wook Byun) 한국정보보호학회 2012 정보보호학회논문지 Vol.22 No.3

단말 간 사용자의 안전성 확보를 위해, 동일한 패스워드를 가정하여 두 사용자를 인증하는 환경은 실용적이지 않다. 왜냐하면, 사용자들은 각자 고유의 다른 패스워드를 암기하고 있기 때문이다. 이를 해결하기 위해 서로 다른 패스워드를 이용한 단말간의 키 교환(EC2C-PAKA) 프로토콜이 서로 다른 영역의 환경 (cross-realm setting)에서 제안되었다. 최근에, 이러한 EC2C-PAKA 프로토콜에 대한 취약점이 Feng과 Xu에 의해서 주장되었다. 그들은 EC2C-PAKA 프로토콜이 패스워드 가장공격에 취약함을 주장하였다. 그들은 또한 패스워드 가장공격에 강인한 프로토콜을 제안했다. 본 논문에서는 Feng과 Xu가 제안한 공격이 옳지 않음과 EC2C-PAKA 프로토콜이 여전히 패스워드가 가장 공격에 강인함을 보인다. 반대로 Feng과 Xu가 향상 시킨 프로토콜이 A영역에서 Alice의 패스워드를 알고 있는 서버가 B 영역에 있는 Bob을 가장할 수 있는 공격에 취약함을 보인다. 이에 대한 대처방안도 논의한다. To achieve an entire end-to-end security, the classical authentication setting such that all participants have a same password is not practical since a password is not a common secret but a personal secret depending on an individual. Thus, an efficient client to client different password-based authenticated key agreement protocol (for short, EC2C-PAKA) has been suggested in the cross-realm setting. Very recently, however, a security weakness of the EC2C-PAKA protocol has been analyzed by Feng and Xu. They have claimed that the EC2C-PAKA protocol is insecure against a password impersonation attack. They also have presented an improved version of the EC2C-PAKA protocol. In this paper, we demonstrate that their claim on the insecurity of EC2C-PAKA protocol against a password impersonation attack is not valid. We show that EC2C-PAKA protocol is still secure against the password impersonation attack. In addition, ironically, we show that the improved protocol by Feng and Xu is insecure against an impersonation attack such that a server holding password of Alice in realm A can impersonate Bob in realm B. We also discuss a countermeasure to prevent the attack.

강화된 키 교환 프로토콜의 안전성 모델에 관한 연구

변진욱(Byun Jin Wook) 한국정보보호학회 2010 情報保護學會誌 Vol.20 No.2

키 교환 프로토콜은 대표적인 암호화 프로토콜로서 그 안전성 모델에 관한 연구가 꾸준히 진행되어 왔다. 최근에는 기존의 안전성 모델을 강화시키고 강화된 모델을 바탕으로 키 교환 프로토콜 설계가 이루어졌다. 본 논문에서는 강화된 새로운 안전성 모델 결과들을 정리해서 살펴보고 향후 연구 방향에 대해서 논한다.

그룹 환경의 사용자 인증 및 키 교환 서비스 프로토콜 연구

변진욱(Jin-Wook Byun),이수미(Su-Mi Lee),이동훈(Dong-Hoon Lee) 한국IT서비스학회 2009 한국IT서비스학회지 Vol.8 No.2

Over the years a password has been used as a popular authentication method between a client and a server because of its easy-to-memorize property. But, most password-based authentication services have focused on a same password authentication scheme which provides an authentication and key exchange between a client and a server with the same password. With rapid change of communication environments in the fields such as mobile networks, home net-working, etc., the end-to-end security allowing users to hold different password is considered as one of main concerns. In this paper, we consider a new authentication service of how each client with different own password is able to authenticate each other, which is a quite new service paradigm among the existing services. This new service can be used in the current or next generation network environment where a mobile user in cell A wants to establish a secure end-to-end channel with users in cell B, C, and D using only their memorable passwords. This end-to-end security service minimizes the interferences from the operator controlled by network components. To achieve this end-to-end security, we propose an authentication and key exchange service for group users in different realm, and analyze its security in a formal way. We also discuss a generic construction with the existing authentication schemes.

효율적이고 안전한 스마트카드 기반 사용자 인증 시스템 연구

변진욱(Jin Wook Byun) 大韓電子工學會 2011 電子工學會論文誌-TC (Telecommunications) Vol.48 No.2

사용자 인증은 정보보안 시스템 구축 시 반드시 필수적인 핵심 기술이다. 사용자들은 인증과정을 통해 데이터베이스에 있는 자원에 접근하고 안전하게 사용할 수 있다. 사용자가 소지하는 스마트카드는 그 사용의 편리성과 대중성으로 인해 현재 중요한 인증 수단으로 각광받고 있다. 더욱이 스마트카드는 계산을 위한 저장 공간과 연산력을 확보하고 있기 때문에 효율적이고 안전한 사용자에 널리 사용될 수 있는 장점을 지니고 있다. 1981년, 램포트는 처음으로 사용자의 스마트카드를 이용해서 인증통신 프로토콜을 설계했다. 하지만, 암호학적으로 안전한 해시함수가 체인으로 여러 번 적용됨으로 인해 높은 비용을 초래한다는 점과 이러한 해쉬 정보들이 서버에 저장되어야하므로 이와 관련한 공격 가능성들이 비판의 대상이 되었다. 이후 안전하고 효율적인 인증 통신 프로토콜 설계에 대한 연구가 활발히 진행되고 있다. 아주 최근에, Xu, Zhu, Feng 등은 증명가능하고 안전한 스마트카드 인증 프로토콜을 제안했다. 본 논문에서는 스마트카드 기반 인증 프로토콜에서 발생할 수 있는 가능한 취약점 및 공격들을 정의한다. 이를 통해, Xu, Zhu, Feng이 제안한 프로토콜이 서버의 비밀 값들을 획득한 공격자가 사용자의 비밀 값과 패스워드를 모르고도 해당 사용자를 가장 할 수 있다는 측면에서 안전하지 않다는 것을 보인다. 이에 대해 효율적이고 안전한 프로토콜을 설계하고 설계된 프로토콜의 안전성을 새롭게 분석한다. User authentication service is an absolutely necessary condition while securely implementing an IT service system. It allows for valid users to securely log-in the system and even to access valid resources from database. For efficiently and securely authenticating users, smart-card has been used as a popular tool because of its convenience and popularity. Furthermore the smart-card can maintain its own power for computation and storage, which makes it easier to be used in all types of authenticating environment that usually needs temporary storage and additional computation for authenticating users and server. First, in 1981, Lamport has designed an authentication service protocol based on user's smart-card. However it has been criticized in aspects of efficiency and security because it uses hash chains and the revealment of server's secret values are not considered. Over the years, many smart-card based authentication service protocol have been designed. Very recently, Xu, Zhu, Feng have suggested a provable and secure smart-card based authentication protocol. In this paper, first, we define all types of attacks in the smart-card based authentication service. According to the defined attacks, however, the protocol by Xu, Zhu, Feng is weak against an attack that an attacker with secret values of server is able to impersonate a valid user without knowing password and secret values of user. An efficient and secure countermeasure is suggested, then the security is analyzed.

해시 기반 인증자 안전성 고찰

변진욱(Jin Wook Byun) 한국정보보호학회 2016 정보보호학회논문지 Vol.26 No.3

인증된 키 교환 프로토콜에서 두 참여자는 주고받은 공통된 값과 공통의 세션 키를 이용하여 해시 기반 인증자(hash-based authenticator)를 만들고 이를 통해 참여자들의 인증을 유도한다. 본 짧은 논문에서는 이러한 해시 기반 인증자의 입력을 부주의하게 설계하면 전체적인 프로토콜의 안전성을 보장하지 않을 수 있음을, Tsai 기타 등등이 2013년에 제안한 프로토콜을 통해, 보인다. Authenticated key exchange protocol achieves its authentication by using hash-based authenticator with input of common message and session key that agrees between participants. In the letter, we show that this approach cannot satisfy the entire security, through a recent example protocol that is proposed by Tsai et al, 2014, if the input of authenticator has been insecurely designed.