DOI QR코드

DOI QR Code

The Recovery of the Deleted Certificate and the Detection of the Private-Key Encryption Password

삭제된 공인인증서의 복구 및 개인키 암호화 패스워드의 검출

  • Choi, Youn-Sung (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University) ;
  • Lee, Young-Gyo (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University) ;
  • Lee, Yun-Ho (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University) ;
  • Park, Sang-Joon (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University) ;
  • Yang, Hyung-Kyu (Department of Computer & Media Engineering, Kangnam University) ;
  • Kim, Seung-Joo (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University) ;
  • Won, Dong-Ho (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University)
  • 최윤성 (성균관대학교 정보통신공학부 정보보호연구소) ;
  • 이영교 (성균관대학교 정보통신공학부 정보보호연구소) ;
  • 이윤호 (성균관대학교 정보통신공학부 정보보호연구소) ;
  • 박상준 (성균관대학교 정보통신공학부 정보보호연구소) ;
  • 양형규 (강남대학교 컴퓨터미디어공학부) ;
  • 김승주 (성균관대학교 정보통신공학부 정보보호연구소) ;
  • 원동호 (성균관대학교 정보통신공학부 정보보호연구소)
  • Published : 2007.02.28

Abstract

The certificate is used to confirm and prove the user's identity in online finance and stocks business. A user's public key is stored in the certificate(for e.g., SignCert.der) and the private key, corresponding to public key, is stored in the private key file(for e.g., SignPri.key) after encryption using the password that he/she created for security. In this paper, we show that the certificate, deleted by the commercial certificate software, can be recovered without limitation using the commercial forensic tools. In addition, we explain the problem that the private key encryption password can be detected using the SignCert.der and the SignPri.key in off-line and propose the countermeasure about the problem.

공인인증서는 온라인 금융거래와 증권거래 등에서 사용자의 신원 확인을 위해 사용된다. 이때 사용자의 공개키는 공인인증서에 저장되며, 이 공개키에 대응되는 사용자의 개인키는 보안을 위해 사용자가 설정하는 패스워드로 암호화되어 개인키 저장 파일에 저장된다. 본 논문에서는 현재 널리 사용되고 있는 공인인증서 관리 소프트웨어에서 정상적으로 삭제된 공인인증서와 개인키 저장 파일이 포렌식 툴을 이용하면 얼마든지 복구가 가능하다는 점을 밝힌다. 그리고 복구된 공인인증서와 개인키 저장 파일을 이용하여 오프라인에서 개인키 암호화 패스워드를 밝혀낼 수 있다는 문제점을 지적하고 그에 따른 대응책을 제시한다.

Keywords

References

  1. 정보보호진흥원 암호인증기술팀, SEED 알고리즘을 이용한 개인키 암호화 기술규격〔v1.00], 정보보호진흥원, 2004
  2. 정보보호진흥원 암호인증기술팀, 전자서명 인증서 프로파일 기술규격 [V1.10], 정보보호진흥원, 2004
  3. R. Hunt. PKI and digital certification Infrastructure, Ninth IEEE International Conference on Networks (ICON'01), October, 2001
  4. 최희봉, 오수현, 홍순좌, 원동호, PKI 연동 키복구 암호 시스템 설계에 관한 연구, 정보보호학회논문지 12(1), pp. 11-19, 2002
  5. T. Auro and C. Ellison. Privacy and Accountability in certificate Systems, Helsinki University of Technology, 2000
  6. 정보보호진흥원 암호인증기술팀, 공인인증서 표시를 위한 기술규격[V1.00], 정보보호진흥원, 2002
  7. J. S. Park and R. Sandhu. Binding identities and attributes using digitally signed certificates, Annual Computer Security Applications Conference 2000, USA , 2000
  8. 이래, 이동훈, 코드 서명 기술의 국내 PKI 적용 방안 비교 연구, 정보보호학회논문지 14(3), pp.13-27, 2004
  9. 추경균, 김종배, 류성열, 정부의 행정전자서명인증체계(GPKI) 활성화 및 발전방안, 정보보호학회논문지 14(2), pp. 85-100, 2004
  10. 염흥열, 정보보호 법제도 및 기술 표준화 : PKI 표준화 동향과 PKI 영역간 상호 연동 방법, 정보보호학회지, 12(4), pp. 23-46, 2002
  11. Sharon Boyen, Tim Howes and Patrick Richard. Internet X.509 Public Key Certificate Operational Protocols-LDAPv2. RFC2559, IETF Network Working Group, April 1999
  12. William Burr, Donna Dodson, Noel Nazario, W. Timothy Polk. MISPC Minimum Interoperability Specification for PKI Components, Version 1 Computer Science Resource Center, NIST September, 1997
  13. 심주걸, 박택진, 이철원, 원동호, 국내 PKI 시스템 평가 기준 제안, 정보보호학회논문지, 12(3), pp. 45-61, 2002
  14. 정보보호진흥원 암호인증기술팀, 전자서명 인증서 효력정지 및 폐지목록 프로파일 기술규격[V1.10], 정보보호진흥원, 2004
  15. 김영백, 이석래, 이재일, 고승철, 전자서명 키관리 시스템에 대한 고찰, 정보보호학회지, 10(4), pp. 1-8, 2000
  16. Intrusion Detection, Diagnosis, and Recovery with Self-Securing Storage. John D. Strunk, Garth R. Goodson, Adam G. Pennington, Craig A.N. Soules, Gregory R. Ganger. CMU SCS Technical Report CMU-CS-02-140, May 2002
  17. 마이크로소프트의 패스워드 설정 원칙, http://www.microsoft.com/athome/security/privacy/password.mspx
  18. 미국 NIST 전자인증 가이드라인 표준, NIST Special Publication 800-63-Appendix A, http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf
  19. The SANS Institute, Password Protection Policy Standards Organization, http://www.sans.org/resources/policies/Password_Policy.pdf