The Journal of Society for e-Business Studies (한국전자거래학회지)

Society for e-Business Studies (한국전자거래학회)
권호 표지
DOI QR코드

DOI QR Code

Securing the Private Key in the Digital Certificate Using a Graphic Password

그래픽 비밀번호를 활용한 공인인증서 개인키 보호방법에 관한 연구

  • Received : 2011.10.12
  • Accepted : 2011.11.17
  • Published : 2011.11.30
Download PDF
⟨ Previous Next ⟩

Abstract

A digital certificate mandated by the Electronic Signature Act has become familiar in our daily lives as 95% of the economically active population hold certificates. Due to upgrades to 256 bit level security that have become effective recently, the security and reliability of digital certificates are expected to increase. Digital certificates based on Public Key Infrastructure (PKI) have been known as "no big problem," but the possibility of password exposure in cases of leaked digital certificates still exists. To minimize this vulnerability, various existing studies have introduced alternative password methods, expansion of certificate storage media, and multiple certification methods. These methods perform enhanced functions but also have limitations including the fact that the secureness of passwords is not guaranteed. This study suggests an alternative method for enhancing the level of password secureness as a way to improve password security. This new method improves security management and enhances the convenience of using digital technologies. The results may be used for developing digital certificate related security technologies and research in the future.

전자서명법에 근간을 두고 있는 공인인증서는 경제활동 인구의 95%이상이 사용함에 따라 일상생활과 밀접한 관계가 되었고 최근 보안강도 256bit 수준의 암호체계 고도화로 인해 안전성과 신뢰성에 큰 향상이 기대된다. 공개키 기반구조(PKI)를 바탕으로 하는 공인인증서는 보안성에서 큰 문제가 없는 것으로 알려져 왔지만 공인인증서 유출 시 비밀번호 검출 공격에 대한 위협이 존재한다. 기존 연구에서 이러한 취약점을 보완하기 위하여 비밀번호 대체수단 제공, 공인인증서 저장 매체 확대, 복수 인증방식 등과 같은 다양한 해결방안을 제시하였다. 이러한 방법은 공인인증서의 사용에 대한 보완적 기능을 수행하지만, 비밀번호의 안정성을 보장해주지는 못하는 한계점을 가진다. 따라서 본 연구에서는 비밀번호의 안전성을 높이기 위한 방법으로 비밀번호의 보안강도를 증가시키는 방안을 제시한다. 이에 따라 공인인증서의 관리 보안성과 사용 편리성의 향상이 가능하다. 이 연구는 공인인증서의 보안성 향상과 활용에 관한 기술 개발 및 향후 연구에 활용될 수 있다.

Keywords

References

  1. 강필용, "모바일 혁명시대의 공인인증서 이용 현황 및 정책 방향", 정보보호학회지, 제21권, 제1호, pp. 51-56, 2011.
  2. 김종회, 안지민, 김민재, 주용식, "GPU에서의 SEED암호 알고리즘 수행을 통한 공인인증서 패스워드 공격 위협과 대응", 정보보호학회지, 제20권, 제6호, pp. 43-50, 2010.
  3. 김태형, 이준호, 이동훈, "피싱 방지 및 가용성 개선을 위한 PKI기반의 모바일 OTP (One Time Password) 메커니즘에 관한 연구", 정보보호학회논문지, 제21권, 제1호, pp. 15-26, 2011.
  4. 김현승, 박춘식, "클라우드 컴퓨팅과 개인 인증 서비스", 정보보호학회지, 제20권, 제2호, pp. 11-19, 2010.
  5. 김현철, 이창수, 이경석, 전문석, "인증서를 이용한 보안성이 강화된 일회용 패스워드 검증 시스템의 설계", 한국통신학회논문지, 제34권, 제4호, pp. 435-441, 2009.
  6. 박영훈, 서승우, "피싱 방지를 우한 상대적 위치 기반의 일회용 비밀번호 시스템", 대한전자공학회 2008년 정기총회 및 추계종합학술대회, pp. 297-298, 2008.
  7. 맹영재, 양대헌, 이경희, "모바일 뱅킹에서 비밀퍼즐을 이용한 비밀증명방법과 거래승인방법", 정보보호학회논문지, 제21권, 제1호, pp. 187-199, 2011.
  8. 송유진, 이동혁, "OTP 기반의 웹서비스 인증 메커니즘 설계 및 구현", 한국전자거래학회지, 제10권, 제2호, pp. 89-107, 2005.
  9. 안해순, 윤은준, 우종정, 부기동, "난수를 활용한 금융 IC 카드 기반의 상호인증 메커니즘", 한국정보기술학회논문지, 제9권, 제1호, pp. 127-136, 2011.
  10. 윤은준, 홍유식, 김천식, 유기영, "강력한 패스워드 상호인증 프로토콜", 전자공학회논문지-CI, 제46권, 제1호(통권 제325호), pp. 11-19, 2009.
  11. 이선아, "국감서 해킹 시연 ...'공인인증서까지 통째로 유출' ", YTN, 2011.
  12. 이정호, "전자금융 침해사고 예방 및 대응 강화 방안", 정보보호학회지, 제18권, 제5호, pp. 1-20, 2008.
  13. 장은영, 김형종, 박춘식, 김주영, 이재일, "모바일 클라우드 서비스의 보안위협 대응 방안 연구", 정보보호학회논문지, 제21권, 제1호, pp. 177-186, 2011.
  14. 전자서명법, 법률 제10465호, 2011.
  15. 주승환, 서희석, "멀티터치 환경에서의 다중 입력을 통한 패스워드 기반의 사용자 인증 기법", 한국시뮬레이션학회논문지, 제20권, 제1호, pp. 39-49, 2011.
  16. 준량, 장인주, 유형선, "비밀키를 이용한 토큰 업데이트 보안 인증 기법", 한국전자거래학회지, 제12권, 제1호, pp. 89-97, 2007.
  17. 차병래, 고일석, "지문 특징을 이용한 일회용 암호키 생성기법", 한국전자거래학회지, 제113권, 제1호, pp. 33-43, 2008.
  18. 최동현, 김승주, 원동호, "일회용 패스워드(OTP : One-Time Password) 기술 분석 및 표준화 동향", 정보보호학회지, 제17권, 제3호, pp. 12-17, 2007.
  19. 최윤성, 이영교, 이윤호, 박상준, 양현규, 김승주, 원동호, "삭제된 공인인증서의 복구 및 개인키 암호화 패스워드의 검출", 정보보호학회논문지, 제17권, 제1호, pp. 41-55, 2007.
  20. 한국인터넷진흥원 융합보호 R&D팀, "패스워드 선택 및 이용 안내서", 한국인터넷진흥원, KISA 안내․해설 제2010-22호, 2010.
  21. 한국인터넷진흥원 융합보호R&D팀, "암호 알고리즘 및 키길이 이용 안내서", 한국인터넷진흥원, KISA 안내․해설 제2010- 27호, 2010.
  22. 한국인터넷진흥원 전자인증팀, "암호 알고리즘 규격 v1.21", 한국인터넷진흥원, 2009.
  23. 한국인터넷진흥원 전자인증팀, "공인인증기관 간 상호연동을 위한 사용자 인터페이스 기술규격 v1.82", 한국인터넷진흥원(KISA), 2010.
  24. 한국인터넷진흥원, "2010년 정보보호 실태조사-개인편-", 방송통신위원회, 한국인터넷진흥원, 2011.
  25. 황문영, 고웅, 이동범, 곽진, "모바일 클라우드 컴퓨팅을 이용한 스마트폰 뱅킹 에서 공인인증서 관리 방안", 대한전자공학회 2010년 하계종합학술대회, pp. 1873-1876, 2010.
  26. Haller, N., Metz, C., Nessser P., and Straw M., "A One-Time Password System," RFC 2289, IETF 1998.
  27. Lamport, L., "Password authentication with insecure communication," Communications of the ACM, 24, pp. 770-772, 1981. https://doi.org/10.1145/358790.358797
  28. Lockdown, "Password Recovery Speeds," Lockdown.co.kr, 2009.
  29. L, GONG, MA, LOMAS, RM, NEEDHAM, "PROTECTING POORLY CHOSEN SECRETS FROM GUESSING ATTACKS," IEEE JOURNAL ON SELECTED AREAS IN COMMUNICATIONS, Vol. 11, pp. 648-656, 1993. https://doi.org/10.1109/49.223865
  30. Miller, G. A., "The Magical Number Seven, Plus or Minus Tow : Some Limits on Our Capacity for Processing Information," The Psychological Review, Vol. 63, pp. 81-97, 1956. https://doi.org/10.1037/h0043158
  31. NIST, William E. Burr and Donna F. Dodson and W. Timothy Polk, "Eletronic Authentication Guideline," NIST, 2004.

Cited by

  1. The Secure Key Store to prevent leakage accident of a Private Key and a Certificate vol.24, pp.1, 2014, https://doi.org/10.13089/JKIISC.2014.24.1.31
  2. Secure user authentication based on the trusted platform for mobile devices vol.2016, pp.1, 2016, https://doi.org/10.1186/s13638-016-0729-7