보안공학연구논문지 Journal of Security Engineering Vol.13, No.6 (2016), pp.451-466 http://dx.doi.org/10.14257/jse.2016.12.07 페어링연산이없는무인증서기반의인증키일치프로토콜 박준성 하재철 요약 공개키암호시스템에서는통신상대방의공개키를인증하기위해공개키기반구조 를사용하지만인증기관 의신뢰성확보와대형화된공개키디렉토리관리등과같은문제점들이지적되어왔다 최근에는인증서없이두통신자간의암호화용세션키를분배하기위한무인증서기반의인증키일치 프로토콜들이제안되었다 본논문에서는기존의인증키일치프로토콜들이임시키노출및공개키대체를이용한조합공격에취약함을밝히고자한다 또한 세션키분배에필요한보안요구사항을만족하면서조합공격에강인한프로토콜을제안하고이를소프트웨어로구현하였다 제안프로토콜은페어링연산을사용하지않으면서기존프로토콜에비해전체연산량을 이상줄일수있어연산능력이제한된무인증서기반암호시스템에적절히활용할수있다 핵심어 무인증서기반암호시스템 인증키일치프로토콜 세션키분배 Abstract In public key cryptosystem, an entity uses a public key infrastructure(pki) to authenticate the other's public key. However, there are some problems such as reliability maintenance on certificate authority(ca) and management of large public key directory. Recently, certificateless-based authenticated key agreement(aka) protocols have been presented to share a session key between two entities without certificates of public key. In this paper, we point out that some previous AKA protocols are vulnerable to the combined attack, which is accomplished under the assumption that an attacker has ability to know the ephemeral key and replace the public key. We propose a novel AKA protocol which is designed to satisfy existing security requirements and resist against the combined attack. The proposed protocol without pairings can reduce the computational load more than 20%. Therefore, the proposed protocol is well suited to implementing a fast certificateless AKA cryptosystem in low-resource embedded devices. Keywords : Certificateless-based cryptosystem, Authenticated Key Agreement(AKA) protocol, Session key Received(November 04, 2016), Review request(november 05, 2016), Review Result(1st: November 20, 2016) Accepted(December 02, 2016), Published(December 31, 2016) 1 Dept. of Information Security, Hoseo University, Asan-si, Chungnam-do, 31499, Korea email: pjs25563@gmail.com 2 (Corresponding Author) Dept. of Information Security, Hoseo University, Asan-si, Chungnam-do, 31499, Korea email: jcha@hoseo.edu ISSN: 1738-7531 JSE Copyright 2016 SERSC 451
서론 공개키암호시스템 은대칭키암호시스템의키관리문제를 해결할수있는방안으로개인키와공개키쌍을이용하여주로데이터를암호화하거나디지털 서명을수행하는데사용된다 그러나공개키에대한인증이없으면중간자공격 과같은공격이가능하므로공개키에대한신뢰가전제되어야한다 현 재국내외에서는사용자들의공개키에대한신뢰성을지원하기위해서제 자의인증기관 에의해서명된공개키인증서를사용하는공개키인프라 가구축되어사용되고있다 그럼에도 시스템은공인인증서의생성 분 배 저장 폐기에이르기까지관리절차가복잡하며확인서검증단계에서추가비용이필요한단 점으로인해일부보안서비스영역에서제한적으로사용하고있다 는기존의 인증서관리문제를해결하기위해 기반의암호시스템 을처음으로제안하였다 기반의공개키암호시스템에서는공개키를 기존의공인인증서가아닌이미알려진개인식별정보 를사용함으로써키분배문 제를해결하고자하였다 이때키생성센터 혹은개인키생성자 라고불리는신뢰받는제 자는각사용자의 에대응되는개인키 를생성하여발급하게된다 하지만 기반의공개키암호시스템은 가개인키를생성한다 는특성으로인해 가사용자의모든암호문을해독할수있으며서명을위조할수있다는키 에스크로 문제가지속적으로제기되어왔다 그후 년 공개키인증문제와키에스크로문제를동시에해결하기위해 등은 무인증서기반의공개키암호시스템 을제안하 였다 이암호시스템에서는 가사용자의개인키및공개키일부만을생성하고나머지는 사용자가직접생성하도록하는메커니즘을사용하고있다 즉 에서는 가개인키의 일부만알고전체를알지못하게함으로써키에스크로문제를자연스럽게해결하고자하였다 암호시스템은데이터암호 디지털서명 그리고인 증키일치 기법을구축하는데주로활용되고있다 이중에 서인증키일치 기법은두명의사용자가네트워크를통해공통의세션키를협상하는대 화형프로토콜의일종이다 무인증서기반의인증키일치기법은 등이처음으로 시스템을제안하는과정에서기본개념이제시되었다 하지만처음제안된방식은페어 링 연산에기반하고있어계산효율이낮다는단점이있다 그이후 연산효율을높이기 위해페어링연산이없는무인증서기반의인증키일치프로토콜들이 등 과 등 에 의해제안되었다 하지만이방식들은 등에의해임시키노출및공개키대체공격을결합 한조합공격에의해프로토콜이안전하지않음이밝혀졌다 결국 지금까지제시된인증키프 452 Copyright 2016 SERSC
보안공학연구논문지 Journal of Security Engineering Vol.13, No.6 (2016) 로토콜들은안전성면에서보안요구사항을모두만족하지못하거나혹은안전성이증명된프로토콜은키일치과정에서계산량이많아효율성이저하되는문제점을가지고있었다 본논문에서는지금까지제안된페어링을사용하지않는 암호시스템중에서인증키일치방식을안전성과구현효율성측면에서분석하였다 특히 안전성분석을위해 시스템의보안요구사항을분석하였으며공격형태및침해위협을정리하였다 이러한분석을바탕으로인증키일치기법에대한보안요구사항을만족하면서기존의방식보다계산효율을약 이상향상시킬수있는새로운인증키일치프로토콜을제안하고이를소프트웨어로구현하여그정확성을검증하고자한다 무인증서기반의키일치프로토콜 인증키일치프로토콜은두통신자가대화형기법을사용하여암호화나인증에사용될세션키를설정하는통신규약을의미한다 본장에서는페어링과관련된연산없이무인증서기반의인증키일치프로토콜을구축하는단계를소개하고안전한키일치를위한보안요구사항을분석한다 두통신자의세션키일치를위해 에서는각사용자들에게필요한부분개인키및부분공개키를생성해주어야하며 각사용자는자신의개인키및공개키를생성한다고가정한다 그리고사용자는자신의개인키는비밀로간직하고공개키는공개키디렉토리에저장하거나키일치를위한통신과정에서전송한다고가정한다 무인증서기반의인증키일치단계 일반적으로무인증서기반의인증키일치기법은다음과같은 단계로구성되어있다 아래의 단계중 단계와 단계는 에서수행하며 단계 단계그리고 단계는비밀키및공개키쌍을소유하는사용 자에의해수행된다 마지막으로 단계는두사용자 와 가메시지교환을통해 암호화에필요한공통의세션키를생성하는단계이다 는보안매개변수 입력으로공개파라미터 와마스터비밀키 를생성한다 는공개파라미터 마스터비밀키그리고사용자의개인식별정보 를이용하여사용자 의부분개인키 와부분공개키 를생성하여사용자에게전달한다 사용자는공개파라미터와사용자식별정보를입력으로자신의비밀정보 를생성한다 Copyright 2016 SERSC 453
사용자는공개파라미터와자신의부분개인키 비밀정보 를입력으로개인키를설정한 다 사용자는공개파라미터와자신의부분공개키 비밀정보 를입력으로공개키를설정한 다 사용자 와 는각각자신의식별정보 공개키그리고임시키를이용하여메시지를생성한 다 이메시지를교환한후에자신의비밀정보를이용하여공통의세션키 와 를생성한 다 프로토콜이성공적으로수행되면두통신자가생성한세션키는동일한값을가지게된다 인증키일치기법의보안요구사항및수학적난제 최근까지연구된두통신자간의안전한세션키를공유하기위한인증키일치프로토콜들은 다음과같은보안요구사항을충족할수있도록설계되어왔다 프로토콜이이보안요구 사항들을모두만족하는경우에는이미알려진중간자공격 키복제공 격 그리고공개키대체공격 과같은위협 으로부터시스템을보호할수있다 예를들어인증키일치프로토콜이 보안요구사항을만족하도록설계되었다면공개키대체공격에대응할수있게 된다 또한 보안요구사항을만족한다면키복제공격이불가능하게된다 한번세션키가노출되어도이전에사용되었거나이후에사용될세션키가노출되지않아야한 다 일반적으로키일치프로토콜수행시임시키 를사용함으로써이보안요구 사항을만족하게된다 세션키를공유하고자하는두통신자 와 의개인키가노출되어도세션키는노출되지않아 야한다 의마스터개인키 가노출되어도이전의세션키가노출되지않아야한다 공격자가마 스터개인키를이용하여사용자의부분개인키를만들수있더라도사용자의임시키와개인키 를알지못하면세션키를계산할수없어야한다 공격자가사용자 의공개키를대체하여 에게 라고속이는위장공격이불가능해야한다 이러한공격은공격자가 의공개키를대체하는능력이있다고하더라도사용자 의개인키를 454 Copyright 2016 SERSC
보안공학연구논문지 Journal of Security Engineering Vol.13, No.6 (2016) 알수없도록한다면이보안요구사항을만족하게된다 공격자는 에게는 와세션키를공유하고있다고믿게만들고 에게는공격자자신과키를 공유하고있다고믿게만드는공격에대응할수있는보안요구사항이다 하지만두통신자의개 인식별정보를세션키설정에사용한다면이러한공격은불가능하다 두통신자중한사용자가세션키를결정하지않도록한다 키복제공격이키제어 보안속성을위협하는중간자공격의일종이다 공격자에게사용자들의임시키가노출되더라도공유하는세션키가노출되지않아야한다 두통신자 와 가생성하는임시키가다르므로전달되는메시지는서로독립적이어야한다 일반적으로암호시스템들은수학적난제 에기반으로그안전성을증명하고있 다 본논문에서서술하는대부분의페어링연산이없는무인증서기반의키일치프로토콜들도 형태의난제를기반으로하여그안전성을확보하고있다 이난제를정의하기 위해먼저두소수 와 를생성하는데두소수는 의관계를가지고있으며 상에서 위수 를가지는생성자 를선택한다고가정한다 정의 내의원소 가있고 가주어졌을때 를계산하는문제 정의 내의원소 가있고 가주어졌을때 를계산하는문제 정의 내의원소 가있고 가주어졌을때 가성립하는지 성립하지 않는지결정하는문제 정의 내의원소 가있고 가주어지고 를풀수있는오라클 이주어졌을때 를계산하는문제 등의키일치프로토콜및취약점 등에의해무인증서기반의인증키일치기법이처음으로제안되었지만이방식은 페어링연산에기반하고있어계산효율이낮은단점이있다 그후페어링연산을사용하지않는 Copyright 2016 SERSC 455
무인증서기반의인증키일치프로토콜들이 등에의해제안되었다 본절에서는대표적인무인증서기반의인증키일치프로토콜인 등의방식을살펴보고상기한보안요구사항을만족하는지에대해보안취약성을분석해본다 등의인증키일치프로토콜도다른프로토콜과유사하게다음과같은 단계과정을거쳐두통신자간의세션키를생성하게된다 는보안매개변수 를입력으로 의관계를가지는두소수 와 를생성하고 상에서위수 를가지는생성자 를선택한다 또한 를선택하고 mod 를계산하여각각 의마스터비밀키와마스터공개키로삼는다 그리고두개의해시함수 와 를정의한다 는공개파 라미터 를설정하여네트워크의사용자들에게공개하고비밀키 는자신이보관한다 는 그리고사용자의식별정보 를입력으로부분키를계산한다 부분 키추출을위해먼저 을선택한후 mod 와 를계산한 다 그후 는사용자의부분개인키 와부분공개키 를안전한채널을통해 전송한다 각사용자는 로부터수신한정보를바탕으로 함으로써개인키에대한유효성을검증할수있다 이성립함을확인 사용자는공개파라미터 와자신의식별정보 를입력으로 비밀값 를설정한다 값을선택하고 사용자는공개파라미터 부분개인키 와비밀값 를입력으로개인키 를생성한다 사용자는공개파라미터 부분공개키 와비밀값 를입력으로 mod 를계산하고공개키 를만든다 개인키 와공개키 를가진사용자 그리고개인키 와공개키 를가진사용자 는대화형으로공통의세션키를공유하기위해메시지교환을수행한다 이를상세하게나타낸것이 그림 이다 사용자 는임시키 을선택한후 를계산하여공개키 식별정보 와함께사용자 456 Copyright 2016 SERSC
보안공학연구논문지 Journal of Security Engineering Vol.13, No.6 (2016) 에게전송한다 사용자 는임시키 를선택하고 를계산하여공개키 식별정보 와함께사용자 에게전송한다 메시지교환후각사용자는세션키를조합하기위한중간값들을 그림 과같이계산하고이값들에대한해시연산을수행하여세션키 및 를생성한다 그림 등의인증키일치프로토콜 등이제안한프로토콜을안전성측면에서살펴보면공격자에의한조합공격 이가능한것으로분석된다 여기서조합공격은하나의공격을수행하는것이아닌두가 지이상의기법을사용하여공격을수행하는것을말한다 조합공격에서는공격자가임시키값 노출공격을통해임시키값을알고있으며공개키대체공격을수행하여공개키값들을대체 할수있는능력이있다고가정한다 즉 공격자가임시키값 와 값을알고공개키대체 공격을수행하여 또는 로대체하였다고가정한다 공격자는임시키 값을 알고있으므로사용자 가계산하고자하는 값을계산할수있다 또한 공격자는임시키 값을알고있으므로 연산을통해사용자 가계산하고자하는 를계산할수있다 이외에도임시키 값을알고있는공격자는 값을계산할수있다 따라서일차적으로세션키생성에필요한 값을얻을수있게된다 Copyright 2016 SERSC 457
또한 세션키설정에필요한 값은공개키대체공격을수행하여얻을수있다 공격자는 자신이 로위장한후새로생성한 값을이용해 값을 값으로대체한후 를이용하여계산할수있다 마지막으로 값도노출된임시키와대체된공개키를이용하여 와같이계산할수있다 따라서공격자는 값을계산할수있으므로 와공통의세션키를생성할수있고 결국 로위장한상태에서 와암호통신을수행할수있게된다 연산효율을고려한무인증서기반의인증키일치프로토콜제안 상기한바와같이지금까지제안된인증키프로토콜들중에서보안요구사항을모두만족하지못하거나혹은안전성이증명된프로토콜일지라도계산량이많아효율성이저하되는문제점들을가지고있었다 본장에서는기존에제시된키일치프로토콜을안전성과효율성면에서분석한결과를바탕으로상기한보안요구사항을만족하면서계산효율이우수한무인증서기반의인증키일치프로토콜을제안하고자한다 먼저새로운키일치프로토콜이수행되는과정을설명하고보안취약점에대한분석을수행한다 또한 이전연구들과보안요구사항및연산량을비교함으로서새롭게제안하는프로토콜이높은안전성을가지며연산량측면에서효율적임을검증한다 제안하는무인증서기반의인증키일치프로토콜 제안하는무인증서기반의인증키프로토콜은이전프로토콜들과유사하게다음과같은 단 계로수행된다 는 의관계를가지는두소수 와 를생성하고 상에서위수 를가지는생 성자 를선택한다 또한 마스터비밀키 를선택하고마스터공개키 mod 를계산한다 그리고두개의해시함수 와 를정의한다 는공개파라미터 를 설정하여사용자들에게공개한다 는 그리고사용자의식별정보 를입력으로부분키를만드는데이를 위해 을선택한후 mod 및 를계산한다 는사용 자의부분개인키 와부분공개키 를안전한채널을통해전송하게되며 이를 수신한사용자는 식을확인함으로써개인키에대한유효성을검증할수있다 458 Copyright 2016 SERSC
보안공학연구논문지 Journal of Security Engineering Vol.13, No.6 (2016) 사용자는공개파라미터 와자신의식별정보 를입력으로 비밀값 를설정한다 값을선택하고 사용자는공개파라미터 부분개인키 와비밀값 를입력으로개인키 를만든다 사용자는공개파라미터 부분공개키 와비밀값 를입력으로 mod 를계산하고공개키 를만든다 는자신의개인키 와공개키 를가지고개인키 와공개키 를가진사용자 와공통의세션키를공유하기위해메 시지교환을수행한다 이를상세하게나타낸것이 그림 이다 그림 제안하는프로토콜키일치프로토콜 메시지교환단계에서 는임시키 을선택한후 를계산하여공개키 식별정보 와함께사용자 에게전송한다 사용자 도임시키 을선택한후 를계산하여공개키 식별정보 와함께 에게전송한다 메시지교환후각 사용자는중간값들을다음과같이계산한후이를해시연산을수행하여세션키 및 를 생성한다 사용자 계산 Copyright 2016 SERSC 459
사용자 계산 사용자 와 는동일한세션키 와 를나눠가지게된다 아래의검증식을통해두세션 키가정확히일치함을확인할수있다 인증키일치프로토콜을설계함에있어가장중요한것은안전성과계산효율성이다 특히 제 안프로토콜에서는키일치과정에서발생하는계산량을최소화할수있도록설계하였다 제안프 로토콜에서세션키설정에필요한중간값 이나 을계산하는데멱승연산의밑수 는 상대방의공개정보를사용하고지수 는자신의비밀정보를사용하게된다 이경우지 수부분중에서임시키가 가노출되더라도중간값을계산할수없도록지수를 mod 나 mod 처럼임시키와개인의비밀정보가더해지는구조로설계하였 다 또한 멱승연산에대한계산량을최소화하기위해두개이상의상대방공개정보를밑수 로사용할경우에는밑수는곱셈으로처리하고 지수는위수 에대한모듈라덧셈연산후사용되도록설계하였다 460 Copyright 2016 SERSC
보안공학연구논문지 Journal of Security Engineering Vol.13, No.6 (2016) 제안프로토콜에대한보안취약성분석 제안하는프로토콜에대한안전성을위협하는공격들로는임시키나개인키와같이비밀정보가노출되었을때의공격과공개키를대체할수있는공격을가정하였다 그리고위에서언급한바와같이이두공격을조합하여임시키가노출되고공개키가대체되었을경우를가정한조합공격에대해서도분석하였다 본장에서는지금까지인증키일치프로토콜을공격하는모델들을가정하고이공격들에대한취약성을분석한다 임시키노출이방법은공격자에게임시키 와 가노출되었을때를가정하고임시키를이용하여세션키를찾아내는공격방법이다 사용자 는 을계산하게되는데공격자가 를알더라도개인키 값을알수없기에 값을계산할수없다 즉 공격자는 문제에의해공통의세션키를구할수없다 비슷한가정으로 를계산하게되는데여기에서공격자는 를알수없기때문에 값을계산할수없다 결국공격자에게임시키 와 가노출되어도세션키를유추할수없다 개인키노출만약 공격자에게 가노출될경우이개인키들을이용하여공격자가세션키를 찾아내는공격방법이다 사용자 는 를계산하는데 공격자가임시키 와 값을모르기때문에 문제에기반하여 를계산할수없고결 국 값을알수없다 마찬가지로 를구하는과정이 와같으므로공격자가임시키 와 값을모르면 값을계산할수없어세션키를유추할수가없다 공개키대체공격이공격에서공격자는사용자 의공개키를대체할수있는능력이있다고가정한다 의공개키는 인데 값을 로대체하거나 값을 로대체할수있다 여기서 값과 값은공격자가랜덤으로선택하여사용한다고가정한다 공격자는사용자 로위장하여사용자 와인증키일치과정을진행할수있다 사용자 는 값을선택하여 값을 에게전송하고공격자는 값을선택하여 값을 에게전송하여메시지교환이이루어진다 이경우 값을 로대체하였으므로공격자는 가계산하는 값을알수있다 하지만 Copyright 2016 SERSC 461
에서는공격자가 값을알지못해 값을계 산할수가없어결국세션키를유추할수가없다 비슷한가정으로 값을 로대체하는경우에도 값은계산할수있지만 다 임시키노출과공개키대체공격 조합공격 을계산할수없기때문에세션키가노출되지않는 공격자가임시키 와 값을알고 의공개키 에서 값을 로대체하거나 값을 로대체할수있는능력을가지고있다고가정한 다 공격방법 에서설명된바와같이 값을 로대체하는경우 값은노출되지만 값을모르는공격자는 값은알수없고 결국세션키를계산할수없다 또한 값을 로대체하는경우에도 값은노출되지만 값을모르는공격자는 을알수없고 결국세션키는노출되지않는다 보안요구사항및연산량비교 본절에서는제안하는무인증서키일치프로토콜을구현함에있어서필요한보안요구사항을만족하는지분석해본다 그리고이러한분석을통해기존프로토콜과의안전성을비교하여제시한것이 표 이다 표 에서보는바와같이 와 그리고 는임시키노출에관련된요구사항이다 기존의프로토콜과새롭게제안한프로토콜은임시키를사용하여도세션키가노출되지않으며매번새롭게임시키를선택하여사용함에따라매번세션키가다르며전달되는메시지또한독립성을가진다 등의프로토콜에선임시키노출로인해세션키가계산될수있다는취약성을가진다 다만 프로토콜수정을통해이공격을방어할수는있으나추가적으로 번의멱승연산과 번의곱셈연산이필요하다 또한 등의프로토콜이나 등의프로토콜은임시키노출이나공개키대체에따른보안요구사항을만족하지만이두조건을조합한공격에는취약한특성을보이고있다 와 는개인키노출에관련된요구사항이다 제안하는키일치프로토콜에서개인키가노출되더라도세션키를생성할때마다새로운임시키들을랜덤으로선택하여사용하기때문에공격자는임시키를알수없고따라서세션키를계산할수없다 은공개키대체공격에관련된요구사항이다 즉 공개키를대체할수있는능력을가진공격자가사용자 에게 로위장하여공격을수행할수있다 제안하는프로토콜에서는공격자가 의공개키를대체한다하여도그에대응하는개인키를만들수 462 Copyright 2016 SERSC
없어세션키를계산할수없다 보안공학연구논문지 Journal of Security Engineering Vol.13, No.6 (2016) 요구사항과관련하여제안프로토콜에서는사용자의 를이용 하여키일치프로토콜을수행하므로그요구사항을만족한다고할수있다 즉 와같 이 를입력값으로사용하는과정에서모르는사람과키를공유하는것을방지할수있다 마지 막으로제안프로토콜에서사용자 와 는각각자신만의키의중간값을계산한후세션키를 생성하기때문에 요구사항도만족하고있다 표 키일치프로토콜에대한보안요구사항비교 인증키일치프로토콜을수행하기위해서는해시연산이나멱승 연산과같은공개키기반의연산과정이필요하다 특히 세션키일치는두통신자가메시지를교환하면서진행하는대화형통신이므로이부분에서의계산효율성은실시간시스템구현에있어매우중요한요소이다 다음 표 는제안프로토콜을비롯하여기존프로토콜과의연산량을비교한것이다 여기에서가장많은수행시간이필요한연산은멱승연산이다 실제로소수 가 비트정도 가 비트정도라고가정하면멱승연산은평균 번의곱셈 연산이필요하므로한번의멱승은약 번정도의곱셈계산량이된다 해시연산은멱승연산에비해무시할수있는연산량이므로논문에서는주로멱승연산을비교한다 등의프로토콜은 번의멱승이요구되어비교적계산량이많다 이에비해 등의프로토콜은계산량은비교적적은편이지만보안상임시키노출공격이나조합공격에취약한보안특성을가지고있다 등의방식은아직까지보안취약점이발견되고있지않지만계산량이많다는것이단점이다 이에반해제안프로토콜은 번의멱승연산만으로키일치과정을수행할수있으므로매우효율적인방식이라고할수있다 즉 현재까지가장빠른프로토콜인 등의 Copyright 2016 SERSC 463
프로토콜에비해약 이상연산시간을줄일수있다 표 키일치프로토콜에대한계산량비교 구현결과 본논문에서는제안하는인증키일치시스템을컴퓨터로구현하여프로토콜의정확성을검증하고수행시간을측정해보았다 제안프로토콜에서소수 는 비트그리고 는 비트를사용하였다 그림 은 가시스템파라미터및자신의마스터비밀키그리고마스터공개키를생성한화면을나타낸것이다 또한 그림 는 가사용자 의부분개인키및부분공개키를생성한화면이다 그림 의시스템파라미터 그림 사용자부분키생성 로부터부분개인키와부분공개키를받은사용자는자신의개인키및공개키를생성하게되는데이를나타낸것이 그림 이다 464 Copyright 2016 SERSC
보안공학연구논문지 Journal of Security Engineering Vol.13, No.6 (2016) 그림 사용자의개인키및공개키 마지막으로자신의개인키와공개키를생성한 와 이대화형으로세션키를설정하는 단계를구현한것이 그림 이다 그림의맨하단에보면 가계산한세션키와 이계산한 세션키가서로동일함을알수있다 그림 사용자 와 간의세션키일치 제안하는키일치프로토콜은 개인용컴퓨터에서구현하 였다 본논문에서는별도의암호용라이브러리는사용하지않고전과정을 언어로작성하였다 주요연산에소요된시간을측정하기위해각함수를 번씩반복한후수행시간을평균하였 다 구현에사용된해시함수는 해시함수 를사용하였는데이함수를수행하는데평균 가소요되었다 또한 프로토콜의핵심연산인멱승을한번수행한경우에는약 가소요되었으며두통신자가세션키를설정하는데걸리는시간은약 가소요되었다 Copyright 2016 SERSC 465
결론 본논문에서는무인증서기반의인증된세션키를생성하기위한키일치프로토콜의개념과보안요구사항을분석하였다 기존의제안되었던프로토콜들은대체로보안요구사항을만족지만일부프로토콜에서는공개키대체공격및조합공격을통해세션키가노출될수있음을확인하였다 따라서본논문에서는지금까지의프로토콜공격모델에따른보안요구사항을만족하면서계산효율이향상된프로토콜을제안하였다 제안프로토콜은세션키생성과정에서발생하는중간값을계산할때사용하는지수를임시키와개인정보를더하는방식을사용하여멱승연산이최소화되도록설계하였다 따라서제안하는인증키일치프로토콜은메모리나컴퓨팅환경이제한된환경에서도공인인증서가없어도암호화에사용될세션키를안전하고효과적으로생성할수있다 References [1] C. Adams and S. Lloyd, Understanding Public-Key Infrastructure Concepts, Standards, and Deployment Considerations, Macmillan, Indianapolis, USA (1999). [2] P. Gutmann, PKI: It s not dead, just resting, IEEE Computer, (2002), Vol. 35, No. 8, pp. 41-49. [3] A. Shamir, Identity-based cryptosystems and signature schemes, Proceedings of CRYPTO '84, (1984), August 19-22; Santa Barbara, California, USA. [4] S. S. Al-Riyami and K. G. Paterson, Certificateless Public Key Cryptography, Cryptology eprint Archive (2003), Report 2003/126. [5] M. Geng and F. Zhang, Provably secure certificateless two-party authenticated key agreement protocol without pairing, Proceedings of International Conference on Computational Intelligence and Security, (2009), December 11-14; Beijing, China. [6] M. Hou and Q. Xu, A two-party certificateless authenticated key agreement protocol without pairing, Proceedings of 2nd IEEE International Conference on Computer Science and Information Technology, (2009), August 8-12; Beijing, China. [7] G. Yang, C. Tan, Strongly secure certificateless key exchange without pairing, Proceedings of the 6th ACM Symposium on Information, Computer and Communications Security, (2011), March 22-24; Hong Kong, China. [8] S. Blake-Wilson, D. Johnson and A. Menezes, Key agreement protocols and their security analysis, Proceedings of the 6th IMA International Conference on Cryptography and Coding, (1997), December 17-19; Cirencester, UK. [9] Z. H. Cheng, M. Nistazakis, R. Comley and L. V. Asiu, On the indistinguishability-based security model of key agreement protocols-simple cases, Cryptology eprint Archive (2005), Report 2005/129. [10] Secure Hash Standard, Federal Information Processing Standards Publication FIPS PUB 180, National Institute of Standards and Technology, May (1993). 466 Copyright 2016 SERSC