스마트카드 기반 양‑왕‑창 인증 스킴의 취약점 분석

초록

본 논문은 2005년 제안된 양‑왕‑창 타임스탬프 기반 비밀번호 인증 스킴을 상세히 검토하고, 네 가지 유형의 위조 공격을 제시한다. 기존 연구가 지적한 Sun·Ye의 공격을 포함해 새로운 사칭 및 위조 방법을 설계함으로써, 해당 스킴이 주장하는 ‘내재적 보안성’이 사실과 다름을 증명한다.

상세 분석

양‑왕‑창 스킴은 크게 등록, 로그인, 인증의 세 단계로 구성된다. 등록 단계에서 KIC는 두 큰 소수 p, q를 선택하고 n=p·q, 공개 지수 e, 비밀 지수 d, 그리고 원시 원소 g를 생성한다. 사용자는 ID와 비밀번호 PW를 입력하고, 스마트카드에는 (ID, CID, S, h, f(·)) 등 여러 값이 저장된다. 로그인 시 스마트카드는 임의의 r을 선택해 X = g^{PW}·r mod n, Y = S·h^{r}·T mod n을 계산하고, (ID, CID, X, Y, n, e, g, T)를 서버에 전송한다. 서버는 (T′‑T)≤ΔT와 Y·e≡ID·CID·X·T (mod n) 를 검증한다.

이 구조의 핵심 약점은 인증 방정식이 선형 결합 형태이며, e와 n이 공개된 상태에서 확장된 유클리드 알고리즘을 이용해 e·u – T·v = 1 (또는 일반적인 gcd(e,T)=k) 를 구할 수 있다는 점이다. 이를 이용하면 공격자는 X와 Y를 조작한 위조 메시지를 생성할 수 있다. 구체적으로, u와 v를 구한 뒤 X_f = ID·CID·v mod n, Y_f = ID·CID·u mod n 로 설정하면 Y_f·e ≡ ID·CID·X_f·T_a (mod n) 가 성립한다. 따라서 서버는 위조된 로그인 요청을 정상 사용자로 오인한다.

두 번째 공격은 Sun·Ye가 제시한 공격을 변형한 것으로, 공격자는 가로채는 로그인 메시지의 T 값을 이용해 gcd(e,T)=1인 경우에만 아니라, gcd(e,T)=k (k>1) 인 경우에도 동일한 방식으로 u, v를 구해 위조가 가능함을 보인다.

세 번째는 Yang·et al.이 제안한 공격을 기반으로, 공격자는 T_a 를 선택하고 w·T_a = T (mod n) 인 w를 구해 X_f = X·w 로 변형한다. 이렇게 변형된 X_f와 원본 Y를 사용하면 인증 방정식이 그대로 유지되므로 위조가 가능하다.

네 번째는 논문이 새롭게 제시한 사칭 공격이다. 공격자는 유효한 로그인 메시지를 가로채고, ID_f = ID^{-1} (mod n) 를 계산한 뒤 KIC에 임의의 비밀번호를 제출해 새로운 스마트카드 정보를 얻는다. 이후 S_k = ID_f·CID·d (mod n) 로부터 원래 S_i 를 S_k−1 (mod n) 로 복원하고, 임의의 y와 r을 선택해 X_f = y (mod n), Y_f = S_i·y·T_f (mod n) 로 구성한다. 이때 인증 방정식 Y_f·e ≡ ID·CID·X_f·T_f (mod n) 가 성립하므로 서버는 공격자를 정당 사용자로 인식한다.

위 네 가지 공격 모두 인증 방정식이 공개된 파라미터와 선형 연산에 의존하고, 타임스탬프 T가 단순히 정수 연산에 사용될 뿐 실제 난수성이나 비밀성을 제공하지 않음에서 비롯된다. 따라서 양‑왕‑창 스킴은 근본적인 설계 결함을 가지고 있으며, 기존의 ‘내재적 보안성’ 주장에 반한다.