DOI QR코드

DOI QR Code

Dictionary attack of remote user authentication scheme using side channel analysis

부채널 분석을 이용한 원거리 사용자 인증 기법의 사전공격

  • 김용훈 (고려대학교 정보경영공학전문대학원) ;
  • 윤택영 (고려대학교 정보경영공학전문대학원) ;
  • 박영호 (세종사이버대학교) ;
  • 홍석희 (고려대학교 정보경영공학전문대학원)
  • Published : 2008.01.30

Abstract

Remote user authentication scheme is a cryptographic tool which permits a server to identify a remote user. In 2007, Wang et al. pointed out that Ku's remote user authentication scheme is vulnerable to a dictionary attack by obtaining some secret information in a smart card using side channel attacks. They also proposed a remote user authentication scheme which is secure against dictionary attack. In this paper, we analyze the protocol proposed by Wang et al. In the paper, it is claimed that the protocol is secure even though some values, which is stored in a smart card, are revealed to an adversary, However, we show that their protocol is insecure if the values are disclosed to an adversary.

원거리 사용자 인증 기법은 원거리에 존재하는 사용자의 인증을 제공하는 프로토콜이다. 2007년 Wang 등은 2004년 Ku 등의 원거리 사용자 인증 기법이 전력분석과 같은 부채널 공격을 사용해 카드의 비밀값을 알아 낸 후 이 정보를 기반으로 사전 공격이 가능함을 보였다. 또한 Wang 등은 이러한 문제점을 개선해 공격자가 스마트카드에 저장된 정보를 획득하게 되는 경우에도 안전한 원거리 인증 기법을 제안했다. 본 논문에서는 Wang 등의 원거리 사용자 인증 기법을 분석한다. Wang 등이 제안한 기법은 부채널 분석과 같은 방법으로 카드 내에 있는 정보가 공격자에게 유출되더라도 사전 공격에 안전하다고 주장되었으나 그러한 카드 내부의 정보가 공격자에게 유출되는 경우 적용 가능한 사전 공격방법을 제안한다.

Keywords

References

  1. C. C. Chang and W. Y. Liao, 'A remote password authentication scheme based upon ElGamal's signature scheme', Computers and Security, vol. 13, no. 2, pp 137-144, 2002 https://doi.org/10.1016/0167-4048(94)90063-9
  2. C. C. Chang and T. C. Wu, 'Remote password authentication with smart cards', IEE Proceedings-E, 138(3), pp 165-168, 1993
  3. H. Y. Chien, J. K. Jan and Y. M. Tseng, 'An efficient and practical solution to remote authentication: smart card', Computers & Security, vol. 21, no. 4, pp. 372-375, 2002 https://doi.org/10.1016/S0167-4048(02)00415-7
  4. J. J. Hwang and T. C. Yeh, 'Improvement on Peyravian-Zunic's password authentication schemes', IEICE Transactions on Communications, E85-B(4), pp 823-825, 2002
  5. P. Kocher, J. Jaffe and B. Jun, 'Differential power analysis', Proc. Advances in Cryptology (CRYPTO '99), pp.388-397, 1999
  6. W. C. Ku and S. M. Chen, 'Weaknesses and improvements of an efficient password based remote user authentication scheme using smart cards', IEEE Transactions on Consumer Electronics 50 (1), pp.204-207, 2004 https://doi.org/10.1109/TCE.2004.1277863
  7. L. Lamport 'Password Authentication with Insecure Communication', Communications of the ACM, vol. 24, no. 11, pp 770-772, 1981 https://doi.org/10.1145/358790.358797
  8. C. C. Lee, L. H. Li and M. S. Hwang, 'A remote user authentication scheme using hash functions', ACM Operating systems Review, vol. 36, Issue 4, pp 23-29, 2002 https://doi.org/10.1145/583800.583803
  9. M. Peyravian and N. Zunic, 'Method for protecting password transmission', Computers and Security, vol. 19, no. 5, pp 466-469, 2000 https://doi.org/10.1016/S0167-4048(00)05032-X
  10. A. Shimizu, T. Horioka and H. Inagaki, 'A password authentication methods for contents communication on the Internet', IEICE Transactions on Communication, E81-B(8), pp 1666-1673, 1998
  11. X. M. Wang, W. F. Zhang, J. S. Zhang and M. K. Khan, 'Cryptanalysis and improvement on two efficient remote user authentication scheme using smart cards', Computer Standards & Interfaces, vol. 29, no. 5, pp.507-512, 2007 https://doi.org/10.1016/j.csi.2006.11.005
  12. E. K. Yoon and K. Y. Ryu, 'Further improvement of an efficient password based remote user authentication scheme using smart card', IEEE Transactions on Consumer Electronics 50 (2), pp.612-614, 2004 https://doi.org/10.1109/TCE.2004.1309437