Elliptic Curve 기반 Signcryption 스킴의 취약점 분석

초록

본 논문은 Han et al.이 제안한 EC 기반 Signcryption 스킴(HYH)의 구조를 상세히 검토하고, 임시 비밀값 r의 노출, 잘못된 곡선 공격, 선택‑암호문 공격, 인증서 검증 부재 등 9가지 주요 취약점을 지적한다. 이러한 결함으로 인해 기밀성, 무결성, 부인방지, 전방 비밀성 등 기본 보안 속성이 모두 무력화된다.

상세 분석

HYH 스킴은 송신자 Alice가 임시 비밀 r을 이용해 점 R = rG를 생성하고, 이를 공개한 뒤 K = x-coordinate(r·B) 를 세션키로 사용한다. 이때 K를 그대로 XOR 암호에 적용하고, 서명값 s = H(M‖R)·r⁻¹·A_d (mod n) 형태로 전송한다. 논문은 첫 번째로 r이 노출될 경우 K가 즉시 복구되고, K를 이용해 Alice의 장기 비밀 A_d = (H(M‖R)·r·s⁻¹) mod n 이 도출된다고 증명한다. 이는 임시 비밀에 대한 복원 저항성이 전혀 없음을 의미한다. 실제 구현에서는 사전 계산된 (r,R) 쌍을 저장하거나, 저품질 난수 생성기로 인해 r가 예측 가능한 경우가 빈번히 발생할 수 있다.

두 번째로, HYB는 단순히 x좌표를 세션키로 채택하고, 점 R에 대한 유효성 검사를 수행하지 않는다. 따라서 공격자는 작은 차수의 무효 곡선 위에 존재하는 점 i_W 를 선택해 R 대신 전송함으로써, Bob이 계산한 K = x(i_W·A) 가 제한된 값 집합에 머무르게 만든다. Bob이 반환하는 MAC 검증값을 이용해 CRT를 적용하면 Bob의 장기 비밀 B_d 를 복구할 수 있다. 이는 전형적인 무효 곡선 공격이며, 공개키 검증 절차가 전혀 구현되지 않은 것이 원인이다.

세 번째로, HYH는 XOR 기반 단순 암호화를 사용함으로써 선택‑암호문 공격(IND‑CCA)에 취약하다. 동일한 r에 대해 여러 메시지를 암호화하면 C₁⊕C₂ = M₁⊕M₂ 가 성립한다. 공격자는 이 선형 관계를 이용해 평문을 추정하거나, 선형 암호분석 기법을 적용해 키를 유추할 수 있다.

네 번째로, 인증서 검증 과정이 부실하다. 논문은 CA가 인증서 서명 검증, 유효기간 확인, 폐기 여부 확인 등을 수행해야 함을 강조하지만, HYH 설계에서는 이러한 절차가 명시되지 않는다. 결과적으로 공격자는 변조된 공개키에 대해 유효한 인증서를 발급받아 MITM 공격을 수행할 수 있다.

다섯 번째로, HYH는 세션키 도출 시 Alice와 Bob의 식별자를 포함하지 않으므로 Unknown Key‑Share(UKS) 공격에 노출된다. Mallory가 중간에 메시지를 변조해 Alice는 자신이 Bob과 키를 공유한다고 믿지만, Bob은 다른 엔티티와 공유했다고 오인한다. 이는 프로토콜이 키와 엔티티를 바인딩하지 않은 전형적인 설계 결함이다.

마지막으로, 도메인 파라미터 선택에 대한 명시적 요구사항이 없으며, 소수 차수 n, q·n⁴ > p 등 안전한 곡선 조건을 충족하지 않을 경우 작은 서브그룹 공격, 특수 곡선 공격 등에 취약해진다. 또한 키 제어 검사가 없으므로 세션키가 0값이 될 가능성도 존재한다.

종합하면, HYH는 임시 비밀 보호, 공개키 검증, 인증서 검증, 키 바인딩, 안전한 도메인 파라미터 선택 등 현대 암호 프로토콜이 기본적으로 요구하는 다섯 가지 보안 원칙을 모두 위반하고 있다. 이러한 설계 결함은 실제 구현 시 심각한 정보 유출 및 인증 위조 위험을 초래한다.