The Journal of Korean Institute of Communications and Information Sciences (한국통신학회논문지)

The Korean Institute of Commucations and Information Sciences (한국통신학회)
권호 표지
DOI QR코드

DOI QR Code

Cookie-Based Identification of the Public Keys of TLS/SSL Certificates

쿠키 기반의 TLS/SSL 인증서 공개키의 확인

  • Received : 2015.10.16
  • Accepted : 2016.01.15
  • Published : 2016.01.31
Download PDF
⟨ Previous Next ⟩

Abstract

We propose a HTTP cookie-based identification of the public keys of Web sites for the case of failure to validate certificates. The proposed scheme effectively protects users from the phishing attacks of inducing them to access bogus sites. It incurs little performance overhead on the browser and the server of Web sites. It requires to implement the input processing of user credentials and the encryption and verification of cookie values, though.

HTTP 쿠키(cookie)를 활용하여, 웹 사이트의 인증서 검증이 실패하였을 때 해당 사이트의 공개키를 확인하는 방법을 제시한다. 제안 방식은 속임수에 의해 가짜 사이트로 접속하도록 유도하는 피슁(phishing) 공격에 대해 효과적인 방어 수단이 된다. 제안 방식은 간단한 사용자 인증정보의 입력 처리와 쿠키의 암호화 및 검증 과정의 구현을 요구하나, 정상 동작 상황에서 브라우저 및 웹 사이트 운용 서버 어느 쪽에도 성능상의 추가 부담을 거의 지우지 않는다.

Keywords

References

  1. D. Akhawe and A. Felt, "Alice in warningland: a large scale field study of browser security warning effectiveness," in Proc. USENIX Security, pp. 257-272, 2013.
  2. C. Meyer and J. Schwenk, "SoK: lessons learned from SSL/TLS attacks," in Proc. WISA, pp. 189-209, Aug. 2014.
  3. Y. Chen and Z. Su, "Guided differential testing of certificate validation in SSL/TLS implementations," in Proc. ESEC/FSE 2015, pp. 793-804, Aug.-Sept. 2015.
  4. P. Szalachowski, S. Matsumoto, and A. Perrig, "PoliCert: secure and flexible TLS certificate management," in Proc. ACM CCS 2014, pp. 406-417, Nov. 2014.
  5. S. Kim, J. Kang, and Y. Kim, "Countermeasures against phishing/pharming via portal site for general users," J. KICS, vol. 40, no. 6, pp. 1107-1113, Jun. 2015. https://doi.org/10.7840/kics.2015.40.6.1107