게이트웨이 기반 비밀번호 인증 키 교환 프로토콜의 취약점 분석 및 개선

본 논문은 최근 Abdalla 등이 발표한 게이트웨이 지향 비밀번호 기반 인증 키 교환(GPAKE) 프로토콜을 재검토하고, 그 보안성에 존재하는 두 가지 주요 결함을 지적한다. 첫 번째는 악의적인 클라이언트가 수행할 수 있는 탐지 불가능한 온라인 비밀번호 추측(undetectable on‑line guessing) 공격이며, 두 번째는 프로토콜이 암시적 키 확인만 제공하고 명시적 키 확인(explicit key confirmation)을 제공하지 못한다는 점이다. 1. **배경 및 기존 연구** - GPAKE는 클라이언트 C가 인간이 기억할 수 있는 짧은 비밀번호 pw를 신뢰할 수 있는 인증 서버 S와 공유하고, 이를 이용해 게이트웨이 G와 안전하게 세션키를 협상하도록 설계되었다. - 2005년 Abdalla 등이 최초로 제안한 GPAKE는 이후 Byun 등과 Wu 등에 의해 여러 차례 공격과 개선이 이루어졌다. 특히 Byun 등은 게이트웨이가 비밀번호를 추측할 수 있는 온라인 공격을 발견했으며, Wu 등은 그 개선안 역시 완전하지 않다고 지적했다. - 최신 버전인 Abdalla 등