• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제4권6호
• /
• pp.205-212
• /
• 2015

SSH 서비스는 공개키를 이용하여 두 시스템 사이의 안전하고 암호화된 통신 채널을 제공한다. 그러나 이 서비스를 악용한 SSH 무작위 공격(SSH brute force attack)과 같은 해킹 시도가 지속적으로 발생하고 있다. SSH 무작위 공격은 사용자의 계정과 패스워드 조합을 추측하여 SSH 서버에 지속적으로 로그인을 시도한다. 본 논문에서는 2014년 국가 슈퍼컴퓨터를 대상(Target)으로 발생한 SSH 무작위 공격을 분석하고 이와 같이 공격을 탐지하고 대응하기 위한 실패로그 기반의 방법을 기술한다.

• 한국항행학회논문지
• /
• 제13권6호
• /
• pp.876-883
• /
• 2009

2008년에 Kim-Jun은 도청, 스푸핑, 재전송 공격 등에 강한 일회성 난수를 이용한 RFID 상호인증 프로토콜을 제안하였지만 2009년 Yoon-Yoo는 재전송 공격에 취약한 것을 증명하고 재전송 공격을 막을 수 있는 프로토콜을 제안하였다. 그러나 Yoon-Yoo의 프로토콜은 통신상의 효율성과 전사적 공격(brute-force attack)에 취약한 문제가 있다. 본 논문에서는 Yoon-Yoo의 프로토콜의 취약점을 보이고, 안정성과 성능을 개선한 RFID 상호인증 프로토콜을 제안한다.

• 정보과학회 논문지
• /
• 제44권6호
• /
• pp.637-642
• /
• 2017

허니암호(HE:Honey Encryption)는 기존의 패스워드 기반 암호(PBE:Password Based Encryption)의 무차별 대입 공격(Brute Force Attack)에 대한 취약점을 극복하기 위한 기술이다. 잘못된 키를 입력해도 그럴듯한 평문을 출력함으로써 공격자가 엔트로피가 작은 비밀키를 대상으로 무차별 대입공격을 시도하더라도 충분히 견딜 수 있는 메시지 복구 보안성을 제공한다. 하지만 HE에 암호화 패딩(Padding)이 필요한 암호(Cipher)를 적용하면 기존의 PBE방식보다 큰 문제점이 나타나게 된다. 본 논문에서는 대표적인 블록암호(AES-128) 및 스트림암호(A5/1)를 적용하여 복호문 빈도분석 실험을 통해 패딩의 문제점을 확인하고, HE의 안전한 운용 방안을 제시하였다.

• 한국컴퓨터정보학회논문지
• /
• 제16권5호
• /
• pp.73-78
• /
• 2011

정보 보안을 위해 사용되는 DES 암호화 알고리즘은 강력한 쇄도효과를 갖고 있으며, 그 처리 속도 또한 매우 빠른 알고리즘이다. 하지만 H/W의 발달로 인해 DES의 비밀키의 길이가 56bits로 너무 짧기 때문에 전수키 조사 공격에 쉽게 노출되어 있다. 본 논문에서는 전수키 조사 공격에 취약한 DES 알고리즘의 비밀키 길이 문제 해결을 위하여 디지털 홀로그래피와 DES 알고리즘을 결합하여 DES의 비밀키 길이를 크게 증가시키는 새로운 방법론을 제시한다. 또한 제안한 DES 알고리즘의 암호성능을 테스트하기 위하여 쇄도효과를 측정하여 가능성을 검증한다.

• 대한전자공학회논문지TC
• /
• 제46권1호
• /
• pp.121-132
• /
• 2009

운영체제는 사용자 암호의 유출을 막고 안전한 로그온 과정을 보장하기 위해 다양한 보안 기법을 적용하고 있다. 그러나 공격자가 서버에 물리적인 접근을 하거나 관리자 권한을 가지고 있다면 공격자는 암호에 관한 정보를(예를 들어, 유닉스의 Shadow file, 또는 윈도우의 SAM 파일) 얻을 수 있다. 그리고 Brute Force Attack과 Dictionary Attack을 통하여 암호 정보들로부터 사용자의 암호를 분석해 낼 수 있다. 따라서 이러한 공격을 방지하려면 사용자에게 복잡한 암호를 사용하도록 강제해야 한다. 하지만 그것은 한계가 있으며 알아내기 쉬운 간단한 암호를 사용하는 사용자들은 항상 존재하기 마련이다. 따라서 보다 근본적인 보안 대책이 요구된다. 본 논문에서는 사용자 암호의 복잡도와 상관없이 Brute Force Attack과 Dictionary Attack으로부터 안전한 전자서명(Digital Signature) 및 TPM(Trusted Platform Module) 암호 전용칩 기반의 인증 기법을 제시하고 그 성능을 분석한다.

• 한국컴퓨터정보학회논문지
• /
• 제20권5호
• /
• pp.41-51
• /
• 2015

인터넷을 통해 악의적으로 접근하는 공격자들은 자신의 노출을 최대한 감추기 위해 중간 호스트(소위, stepping stone으로 불림)를 경유한다. 본 논문에서는 텔넷, SSH, 그리고 rlogin 등 인터렉티브 서비스를 이용하여 리눅스 서버에 접근하여 다시 이러한 인터렉티브 서비스를 이용하여 다른 컴퓨터로 원격 접속을 시도하는 행위를 brute-force한 방법으로 검출하는 기법을 제안한다. 제안된 기법은 인터렉티브 서비스 데몬(Daemon) 프로세스의 시스템 콜(system call)을 감시하여 stepping stone 여부를 진단하기 때문에 ssh 접속과 같은 암호화 연결에서 대해서도 완벽한 검출 결과를 제공할 수 있다. 본 논문에서는 ptrace 시스템 콜과 간단한 쉘 스크립트를 작성하여 제안된 기법을 CentOS 6.5 64비트 환경에서 실질적으로 구현하였다. 마지막으로 몇몇 실험 시나리오를 대상으로 실시한 현장 운영을 통해 제안된 brute-force 기법을 검증하였다.

• 정보보호학회논문지
• /
• 제31권6호
• /
• pp.1149-1156
• /
• 2021

Brute force 공격을 가속화 시키는 Grover 알고리즘은 대칭키 암호의 키 복구에 적용 가능하며, NIST에서는 대칭키 암호에 대한 Grover 공격 비용을 양자 후 보안 강도 추정에 활용하고 있다. 본 논문에서는 DES를 양자 회로로 최적화 구현하여 Grover 알고리즘 공격 비용을 추정한다. NIST에서는 128, 192, 256-bit 키를 사용하는 대칭키 암호에 대해 AES의 공격 비용을 기준으로 양자 후 보안 강도를 추정하고 있다. DES에 대해 추정한 공격 비용은 DES가 양자 컴퓨터의 공격으로부터 어느 정도의 내성을 가지고 있는지 분석해볼 수 있다. 현재 64-bit 키를 사용하는 대칭키 암호들에 대한 양자 후 보안 지표가 아직 존재하지 않기 때문에 본 논문에서 추정한 64-bit 키를 사용하는 DES에 대한 Grover 공격 비용이 기준으로 활용될 수 있다. 제안하는 DES의 양자 회로 구현 적합성 및 공격 비용 분석에는 양자 프로그래밍 툴인 ProjectQ가 사용되었다.

• 정보처리학회논문지:컴퓨터 및 통신 시스템
• /
• 제7권3호
• /
• pp.73-80
• /
• 2018

스마트폰의 대중화와 금융서비스의 간편화에 따라 모바일 금융 서비스를 이용하는 비중이 늘어나고 있다. 하지만 기존의 금융 서비스를 위해 개발된 보안 키패드는 확률 분석 공격이 가능하며 보안 취약성을 지니고 있다. 이에 따라 본 논문에서는 이중 터치를 기반으로 한 보안 키패드 제안하며 이를 구현하였다. 이에 앞서 국내 모바일 금융 서비스의 모바일뱅킹과 모바일 간편 결제 서비스에서 사용되는 기존 보안키패드의 종류를 알아보고 취약점을 분석하였다. 더불어 본 연구에서 제안한 이중터치보안키패드와 기존의 보안키패드의 안전성을 기존의 키패드 공격(Brute Force Attack, Smudge Attack, 키로깅 공격, 어깨너머공격, Joseph Bonneau)의 인증 프레임워크를 활용하여 비교하였다. 분석된 결과에 따라 본 논문에서 제안하는 이중 터치를 통한 보안 키패드가 높은 안전성을 보여줌을 확인할 수 있다. 이중 터치를 통한 보안 키패드를 활용하면 보다 안전한 금융서비스를 이용할 수 있으며 그 외 모바일 환경에서 이뤄지는 서비스에 적용하여 안전성을 높일 수 있다.

• 한국IT서비스학회지
• /
• 제19권1호
• /
• pp.145-158
• /
• 2020

With the development and widespread application of online shopping, the number of online consumers has increased. With one click of a mouse, people can buy anything they want without going out and have it sent right to the doors. As consumers benefit from online shopping, people are becoming more concerned about protecting their privacy. In the group buying scenario described in our paper, online shopping was regarded as intra-group communication. To protect the sensitive information of consumers, the polynomial-based encryption key sharing method (Piao et al., 2013; Piao and Kim, 2018) can be applied to online shopping communication. In this paper, we analyze security problems by using a polynomial-based scheme in the following ways : First, in Kamal's attack, they said it does not provide perfect forward and backward secrecy when the members leave or join the group because the secret key can be broken in polynomial time. Second, for simultaneous equations, the leaving node will compute the new secret key if it can be confirmed that the updated new polynomial is recomputed. Third, using Newton's method, attackers can successively find better approximations to the roots of a function. Fourth, the Berlekamp Algorithm can factor polynomials over finite fields and solve the root of the polynomial. Fifth, for a brute-force attack, if the key size is small, brute force can be used to find the root of the polynomial, we need to make a key with appropriately large size to prevent brute force attacks. According to these analyses, we finally recommend the use of a relatively reasonable hash-based mechanism that solves all of the possible security problems and is the most suitable mechanism for our application. The study of adequate and suitable protective methods of consumer security will have academic significance and provide the practical implications.

• 정보보호학회논문지
• /
• 제20권3호
• /
• pp.3-8
• /
• 2010

인수분해에 관한 여러 가지 전수공격이 알려져 있다. 페르마의 인수분해 방법은 여러 가지 공격 중에 두 인수가 비슷한 크기인 경우에 가장 잘 동작한다고 알려져 있다. 본 논문에서는 페르마의 방법이 위와 같은 상황에서 잘 동작하는지 보이고, 그 해가 유일함을 증명한다. 이러한 증명을 이용하여 임의의 심작점에서 페르마의 정리를 시작 할 수 있다. 또한 본 증명은 "인수분해하다"는 명제와 "제곱수를 찾다"라는 명제가 동일함을 의미한다.