유연한 그룹 키 교환의 내부자 공격 취약점과 간단한 방어 전략

초록

본 논문은 Abdalla 등이 제안한 mBD+P와 mBD+S 그룹 키 교환 프로토콜이 두 명의 악의적인 내부자에 의해 동일한 그룹 세션 키를 공유하지 못하도록 조작될 수 있음을 밝힌다. 이를 방지하기 위해 키 확인 라운드를 추가하는 간단한 보완책을 제시한다.

상세 분석

mBD+P와 mBD+S는 기존 Burmester‑Desmedt(BD) 프로토콜에 병렬 Diffie‑Hellman(PDH) 방식을 도입해 그룹 전체와 서브그룹의 키를 온‑디맨드로 계산하도록 설계되었다. 프로토콜은 두 단계로 구성된다. 첫 번째 라운드에서 각 사용자는 임의의 비밀 지수 x_i 로 y_i = g^{x_i} 를 생성하고 브로드캐스트한다. 두 번째 라운드에서는 인접 사용자와의 공유 비밀 k’{i‑1,i}=y_i^{x{i‑1}} 와 k’{i,i+1}=y_i^{x{i+1}} 를 이용해 해시값 z’{i‑1,i}, z’{i,i+1} 를 만든 뒤, 이들을 XOR하여 z_i 를 얻고 서명 σ_i 로 인증한다. 모든 사용자는 z_1⊕…⊕z_n = 0 과 서명 검증을 통과하면, 순차적으로 z’{j,j+1}=z’{j‑1,j}⊕z_j 을 계산하고 최종 그룹 키 k = H_g(z’_1,…,z’_n, sid) 를 도출한다. 서브그룹 단계는 동일한 구조를 갖지만, 참여 사용자 집합만 축소한다.

공격자는 두 명의 내부자 U_{i‑1} 과 U_{i+1} 이 협력해 피해자 U_i 에게 조작된 z_i 값을 전송한다. 구체적으로, 두 내부자는 임의의 값 r_M 을 선택하고 각각 z_{i‑1}=z’{i‑2,i‑1}⊕z’{i‑1,i}⊕r_M, z_{i+1}=z’{i,i+1}⊕z’{i+1,i+2}⊕r_M 을 브로드캐스트한다. 정상 사용자는 z_1⊕…⊕z_n=0 검사를 통과하지만, U_i 는 자신의 z’_j 계산 과정에 r_M 이 삽입된 형태로 키를 도출하게 된다. 결과적으로 U_i 가 얻는 k_i 는 다른 사용자가 도출한 k 와 달라져, 그룹 전체가 동일한 세션 키를 공유하지 못한다. 이 공격은 랜덤 오라클 모델 하에서도 성공하며, 서브그룹 단계에서도 동일하게 적용될 수 있다.

제안된 방어책은 기존 두 라운드에 추가로 키 확인 라운드(세 번째 라운드)를 도입한다. 첫 두 라운드에서 기존과 동일하게 z_i 와 서명을 교환한 뒤, 각 사용자는 (k_i, k_{kc,i})=H’g(z’1,…,z’n, sid) 을 계산한다. 여기서 k{kc,i} 는 키 확인용 값이며, M_i=H{kc}(k{kc,i}, sid) 를 만든 뒤 서명 σ_{kc,i}와 함께 브로드캐스트한다. 모든 사용자는 다른 사용자의 M_j 와 서명을 검증하고, 일치하지 않을 경우 프로토콜을 중단한다. 이 절차는 k_{kc,i} 가 동일해야만 M_i 가 일치하므로, 내부자가 삽입한 r_M 으로 인해 발생하는 키 불일치를 즉시 탐지한다. 따라서 악의적인 내부자 협력 공격을 효과적으로 차단하면서도 프로토콜 구조를 크게 변경하지 않는다.

이 연구는 그룹 키 교환 프로토콜 설계 시 내부자 공격을 고려해야 함을 강조하고, 간단한 키 확인 메커니즘이 실용적인 방어 수단이 될 수 있음을 입증한다.