한국정보처리학회:학술대회논문집 (Proceedings of the Korea Information Processing Society Conference)

한국정보처리학회 (Korea Information Processing Society)
권호 표지

동적 환경에서 Updatable Private Set Intersection 을 이용한 크리덴셜 스터핑 공격 대응방안 연구

Research on Countermeasures for Credential Stuffing Attacks Using Updateable Private Set Intersection in Dynamic Environments

  • 윤지희 (성신여자대학교 미래융합기술공학과 ) ;
  • 김경진 (성신여자대학교 융합보안공학과)
  • Gee-Hee Yun (Dept. of Future Convergence Technology Engineering, Sungshin Women's University) ;
  • Kyoung-jin Kim (Dept. of Convergence Security Engineering, Sungshin Women's University)
  • 발행 : 2024.05.23
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

크리덴셜 스터핑 공격에 대응하기 위해 일부 기업에서는 C3(Compromised Credential Checking) 서비스를 제공한다. 인증 정보 대상 공격이 고도화됨에 따라 유출 계정의 양은 매우 방대한 것으로 드러나고 있으며, C3 서비스 서버의 데이터의 양 또한 지속해서 증가할 것이다. 그러나 C3 서비스의 PSI(Private set intersection) 프로토콜은 정적인 환경에서의 데이터 연산을 전제로 적용되고 있어 이용자가 반복연산을 요청했을 때의 연산 복잡도를 상쇄할 수단이 없다. 본 연구에서는 반복연산에 적용할 수 있는 updatable PSI 를 제안하였으며, static PSI 대비 x2~x4.3 의 전처리 시간과 x1.8~ x3.3 의 데이터 전송량이 효율적으로 개선되었음을 보인다.

키워드

과제정보

본 논문은 2024 년도 산업통상자원부 및 한국산업기술진흥원의 산업혁신인재성장지원사업 (RS-2024-00415520)과 과학기술정보통신부 및 정보통신기획평가원의 ICT 혁신인재 4.0 사업의 연구결과로 수행되었음 (No. IITP-2022-RS-2022-00156310)

참고문헌

  1. Dong, C., Chen, L., & Wen, Z. (2013, November). When private set intersection meets big data: an efficient and scalable protocol. In Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security (pp. 789-800).
  2. Rindal, P., & Rosulek, M. (2017, April). Improved private set intersection against malicious adversaries. In Annual International Conference on the Theory and Applications of Cryptographic Techniques (pp. 235-259). Cham: Springer International Publishing.
  3. Benny Pinkas, Thomas Schneider, Gil Segev, and Michael Zohner. Phasing: Private set intersection using permutation-based hashing. In Jaeyeon Jung and Thorsten Holz, editors, 24th USENIX Security Symposium, USENIX Security 15, pages 515-530, 2015.
  4. Benny Pinkas, Thomas Schneider, and Michael Zohner. Scalable private set intersection based on ot extension. Cryptology ePrint Archive, Report 2016/930, 2016. http://eprint.iacr.org/2016/930.
  5. Pinkas, B., Schneider, T., Segev, G., & Zohner, M. (2015). Phasing: Private set intersection using permutation-based hashing. In 24th USENIX Security Symposium (USENIX Security 15) (pp. 515-530).
  6. Kolesnikov, V., Kumaresan, R., Rosulek, M., & Trieu, N. (2016, October). Efficient batched oblivious PRF with applications to private set intersection. In Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security (pp. 818-829).
  7. Li, L., Pal, B., Ali, J., Sullivan, N., Chatterjee, R., & Ristenpart, T. (2019, November). Protocols for checking compromised credentials. In Proceedings of the 2019 ACM SIGSAC Conference on Computer and Communications Security (pp. 1387-1403).
  8. Chen, H., Laine, K., & Rindal, P. (2017, October). Fast private set intersection from homomorphic encryption. In Proceedings of the 2017 ACM SIGSAC Conference on Computer and Communications Security (pp. 1243-1255).
  9. Chen, H., Huang, Z., Laine, K., & Rindal, P. (2018, October). Labeled PSI from fully homomorphic encryption with malicious security. In Proceedings of the 2018 ACM SIGSAC Conference on Computer and Communications Security (pp. 1223-1237).
  10. Badrinarayanan, S., Miao, P., & Xie, T. (2022). Updatable private set intersection. Proceedings on Privacy Enhancing Technologies, 2022(2).
  11. https://cybernews.com/security/billions-passwords-credentials-leaked-mother-of-all-breaches/
  12. https://github.com/microsoft/APSI