Proceedings of the Korea Information Processing Society Conference (한국정보처리학회:학술대회논문집)

  • 2024.05a
  • /
  • Pages.258-261
  • /
  • 2024
  • /
  • 2005-0011(pISSN)
  • /
  • 2671-7298(eISSN)
Korea Information Processing Society (한국정보처리학회)
권호 표지

Research on Countermeasures for Credential Stuffing Attacks Using Updateable Private Set Intersection in Dynamic Environments

동적 환경에서 Updatable Private Set Intersection 을 이용한 크리덴셜 스터핑 공격 대응방안 연구

  • Gee-Hee Yun (Dept. of Future Convergence Technology Engineering, Sungshin Women's University) ;
  • Kyoung-jin Kim (Dept. of Convergence Security Engineering, Sungshin Women's University)
  • 윤지희 (성신여자대학교 미래융합기술공학과 ) ;
  • 김경진 (성신여자대학교 융합보안공학과)
  • Published : 2024.05.23
Download PDF
⟨ Previous Next ⟩

Abstract

크리덴셜 스터핑 공격에 대응하기 위해 일부 기업에서는 C3(Compromised Credential Checking) 서비스를 제공한다. 인증 정보 대상 공격이 고도화됨에 따라 유출 계정의 양은 매우 방대한 것으로 드러나고 있으며, C3 서비스 서버의 데이터의 양 또한 지속해서 증가할 것이다. 그러나 C3 서비스의 PSI(Private set intersection) 프로토콜은 정적인 환경에서의 데이터 연산을 전제로 적용되고 있어 이용자가 반복연산을 요청했을 때의 연산 복잡도를 상쇄할 수단이 없다. 본 연구에서는 반복연산에 적용할 수 있는 updatable PSI 를 제안하였으며, static PSI 대비 x2~x4.3 의 전처리 시간과 x1.8~ x3.3 의 데이터 전송량이 효율적으로 개선되었음을 보인다.

Keywords

Acknowledgement

본 논문은 2024 년도 산업통상자원부 및 한국산업기술진흥원의 산업혁신인재성장지원사업 (RS-2024-00415520)과 과학기술정보통신부 및 정보통신기획평가원의 ICT 혁신인재 4.0 사업의 연구결과로 수행되었음 (No. IITP-2022-RS-2022-00156310)

References

  1. Dong, C., Chen, L., & Wen, Z. (2013, November). When private set intersection meets big data: an efficient and scalable protocol. In Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security (pp. 789-800).
  2. Rindal, P., & Rosulek, M. (2017, April). Improved private set intersection against malicious adversaries. In Annual International Conference on the Theory and Applications of Cryptographic Techniques (pp. 235-259). Cham: Springer International Publishing.
  3. Benny Pinkas, Thomas Schneider, Gil Segev, and Michael Zohner. Phasing: Private set intersection using permutation-based hashing. In Jaeyeon Jung and Thorsten Holz, editors, 24th USENIX Security Symposium, USENIX Security 15, pages 515-530, 2015.
  4. Benny Pinkas, Thomas Schneider, and Michael Zohner. Scalable private set intersection based on ot extension. Cryptology ePrint Archive, Report 2016/930, 2016. http://eprint.iacr.org/2016/930.
  5. Pinkas, B., Schneider, T., Segev, G., & Zohner, M. (2015). Phasing: Private set intersection using permutation-based hashing. In 24th USENIX Security Symposium (USENIX Security 15) (pp. 515-530).
  6. Kolesnikov, V., Kumaresan, R., Rosulek, M., & Trieu, N. (2016, October). Efficient batched oblivious PRF with applications to private set intersection. In Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security (pp. 818-829).
  7. Li, L., Pal, B., Ali, J., Sullivan, N., Chatterjee, R., & Ristenpart, T. (2019, November). Protocols for checking compromised credentials. In Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security (pp. 1387-1403).
  8. Chen, H., Laine, K., & Rindal, P. (2017, October). Fast private set intersection from homomorphic encryption. In Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security (pp. 1243-1255).
  9. Chen, H., Huang, Z., Laine, K., & Rindal, P. (2018, October). Labeled PSI from fully homomorphic encryption with malicious security. In Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security (pp. 1223-1237).
  10. Badrinarayanan, S., Miao, P., & Xie, T. (2022). Updatable private set intersection. Proceedings on Privacy Enhancing Technologies, 2022(2).
  11. https://cybernews.com/security/billions-passwords-credentials-leaked-mother-of-all-breaches/
  12. https://github.com/microsoft/APSI