키인슐레이션 기반 RFID 상호인증 프로토콜 KIMAP

초록

KIMAP은 공유키 환경에서 RFID 태그의 비밀키가 노출되더라도 전방 보안과 제한된 후방 보안을 유지하도록 설계된 키인슐레이션 기반 상호인증 프로토콜이다. 비밀키 업데이트에 필요한 트랜스크립트를 공격자가 놓치게 함으로써 ‘제한된 후방 보안’을 제공한다. 형식적인 보안 모델과 효율적인 연산량을 통해 기존 연구보다 실용성이 높다.

상세 분석

본 논문은 RFID 시스템에서 공유키 기반 인증이 직면한 두 가지 핵심 보안 요구, 즉 전방 보안(forward security)과 후방 보안(backward security)을 동시에 만족시키는 설계가 거의 불가능하다는 Vaudenay의 결과를 출발점으로 삼는다. 저자들은 완전한 후방 보안이 공개키 기반이 아니면 달성될 수 없다는 기존 인식을 받아들이면서도, 실제 RFID 태그가 이동성이 높고 짧은 세션을 반복한다는 점을 활용해 ‘제한된 후방 보안(restricted backward security)’이라는 새로운 개념을 도입한다. 이는 공격자가 특정 인증 세션에서 비밀키를 탈취하더라도, 그 세션에서 사용된 키 업데이트 트랜스크립트를 확보하지 못하면 이후 세션의 비밀키를 추론할 수 없다는 의미이다.

KIMAP은 키인슐레이션(key‑insulated) 메커니즘을 적용한다. 태그는 매 세션마다 서버로부터 일시적인 ‘인슐레이션 키’를 받아 현재 비밀키와 결합해 새로운 세션 키를 생성한다. 이때 인슐레이션 키는 서버가 안전하게 보관하고, 태그는 매 세션마다 일회성으로 사용한다. 비밀키가 노출되더라도 인슐레이션 키가 외부에 유출되지 않으면 과거 세션 키는 복구 불가능하고, 미래 세션 키는 인슐레이션 키와 새로 생성된 난수에 의존하므로 보호된다.

프로토콜 흐름은 크게 네 단계로 구성된다. ① 초기화 단계에서 태그와 서버는 장기 비밀키 K와 초기 인슐레이션 키 I0을 공유한다. ② 인증 요청 단계에서 서버는 난수 r_s와 최신 인슐레이션 키 I_t를 전송하고, 태그는 자체 난수 r_t와 I_t를 이용해 인증값 α와 β를 계산한다. ③ 태그는 α, β, r_t를 서버에 전송하고, 서버는 이를 검증한 뒤 새로운 인슐레이션 키 I_{t+1}와 세션 키 SK_t를 생성한다. ④ 서버는 SK_t를 이용해 응답 메시지를 암호화해 태그에 전송하고, 태그는 이를 복호화해 인증을 완료한다.

보안 분석에서는 공격자가 (i) 비밀키 K를 탈취, (ii) 인증 세션 트랜스크립트를 모두 수집, (iii) 인슐레이션 키 I_t를 탈취하는 세 가지 경우를 고려한다. 경우 (i)와 (ii)만 존재할 경우, 인슐레이션 키가 매 세션마다 새롭게 제공되므로 미래 키는 안전하게 유지된다. 경우 (iii)와 결합될 경우에만 제한된 후방 보안이 깨질 수 있는데, 이는 실제 환경에서 인슐레이션 키가 물리적으로 서버에만 존재하고 태그와의 통신 채널이 암호화되어 있기 때문에 현실적인 위협은 낮다.

성능 평가에서는 기존 공유키 기반 RFID 인증 프로토콜(예: LMAP, RAIN)과 비교해 태그 측 연산이 XOR, 해시, 그리고 단일 블록 암호화 정도에 불과함을 보여준다. 태그는 메모리 요구량도 128비트 수준으로 제한되어, 저전력 초소형 RFID에 적용 가능하다.

결론적으로 KIMAP은 완전한 후방 보안을 제공하지는 않지만, 실용적인 제한된 후방 보안과 강력한 전방 보안을 동시에 달성함으로써 RFID 시스템의 프라이버시와 무결성을 크게 향상시킨다.