Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

Cryptanalysis on the Authentication Mechanism of the NateOn Messenger

네이트온 메신저의 사용자 인증 메커니즘에 대한 취약점 분석

  • Shin, Dong-Hwi (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University) ;
  • Choi, Youn-Sung (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University) ;
  • Park, Sang-Joon (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University) ;
  • Won, Dong-Ho (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University) ;
  • Kim, Seung-Joo (Information Security Group, School of Information and Communication Engineering, Sungkyunkwan University)
  • 신동휘 (성균관대학교 정보통신공학부 정보보호연구소) ;
  • 최윤성 (성균관대학교 정보통신공학부 정보보호연구소) ;
  • 박상준 (성균관대학교 정보통신공학부 정보보호연구소) ;
  • 원동호 (성균관대학교 정보통신공학부 정보보호연구소) ;
  • 김승주 (성균관대학교 정보통신공학부 정보보호연구소)
  • Published : 2007.02.28
Download PDF
⟨ Previous Next ⟩

Abstract

Nateon Messenger, which has the most number of users in Korea, supports many services such as E-mail, note, Cyworld, SMS, etc. In this paper, we will analyse the authentication traffic which is transmitted and received by the Nateon Messenger. Through performing the replay attack with the authentication information, we will show that an attacker can be authenticated illegally. Furthermore, we will show that other domestic messengers have similar security problems.

네이트온 메신저는 국내에서 가장 많은 사용자를 확보하고 있는 메신저이다. 메신저는 메일, 쪽지, 싸이월드 그리고 SMS서비스 등의 많은 기능을 제공하고 있다. 본 논문에서는 네이트온 메신저 프로그램의 인증 트래픽을 분석하여 악의적으로 획득한 개인 인증 정보를 재전송 공격함으로써 이를 통해 공격자가 불법적으로 인증될 수 있다는 것을 설명한다. 또한 네이트온 메신저 이외에 타 국내 메신저들 또한 이와 유사한 방법으로 공격될 수 있음을 보인다.

Keywords

References

  1. Chin-Chen Chang, Tzong-Chen Wu and Chi-Sung Laih, Cryptanalysis of a password authentication scheme using quadradic residues. Computer communications, Vol. 18 No. 1, January 1995, pp 45-47 https://doi.org/10.1016/0140-3664(94)00592-6
  2. C.S. Laih, L. Harn and D. Huang, Password authentication using public-key encryption, Proceeding of 1983 International Carnahan Conference on Security Technology, Zurich, Switzerland, October 1987, pp 35-38
  3. Chin-Chen Chang, Wen-Yuan Liao, Remote password authentication scheme based upon ElGamal's signature schemem, Computers & Security, Vol. 13, No. 2, Apr, 1994, pp 137-144 https://doi.org/10.1016/0167-4048(94)90063-9
  4. Chun-Li Lin, Tzonelih Hwang, A password authentication scheme with secure password updating, Computers and Security, Vol. 22 No. 1, 2003, pp 68-72 https://doi.org/10.1016/S0167-4048(03)00114-7
  5. Lei Fan, Jian-Hua Li, Hong-Wen Zhu, An enhancement of timestamp-based password authentication scheme, Computers and Security, Vol. 21 No. 7, 2002, pp 665-667 https://doi.org/10.1016/S0167-4048(02)01118-5
  6. A. Menezes, P. Van Oorschot, and S. Vanstone. Handbook of Applied Cryptography. Boca Raton, FL: CRC Press, 1997
  7. 원동호, 현대암호학 2004년 3월
  8. 정보보호진흥원 암호인증기술팀, SEED 알고리즘을 이용한 개인키 암호화 기술규격[v1.00], 정보보호진흥원, 2004
  9. The MD5 Message-Digest Algorithm, http://www.ietf.org/rfc/rfc1321.txt
  10. PasswordsPro, Inside Pro, http://www.insidepro.com/eng/passwordspro.shtml
  11. 마이크로소프트의 패스워드 설정 원칙, http://www.microsoft.com/athome/security/privacy/password.mspx
  12. 미국 NIST 전자인증 가이드라인 표준, NIST Special Publication 800-63 - AppendixA http://csrc.nist.gov/publications/nistpubs/800-63/SP800-63V1_0_2.pdf
  13. The SANS Institute, Password Protection Policy Standards Organization, http://www.sans.org/resources/policies/Password_Policy.pd