The Journal of the Korea Contents Association (한국콘텐츠학회논문지)

The Korea Contents Association (한국콘텐츠학회)
권호 표지
DOI QR코드

DOI QR Code

Secure Management Method for Private Key using Smartphon's Information

스마트폰 고유정보를 이용한 안전한 개인키 관리 방안

  • Received : 2016.05.09
  • Accepted : 2016.05.30
  • Published : 2016.08.28
Download PDF
⟨ Previous Next ⟩

Abstract

The 3390 million people, around 83% of the adult population in Korea use smartphone. Although the safety problem of the certificate has been occurred continuously, most of these users use the certificate. These safety issues as a solution to 'The owner of a mobile phone using SMS authentication technology', 'Biometric authentication', etc are being proposed. but, a secure and reliable authentication scheme has not been proposed for replace the certificate yet. and there are many attacks to steal the certificate and private key. For these reasons, security experts recommend to store the certificate and private key on usb flash drive, security tokens, smartphone. but smartphones are easily infected malware, an attacker can steal certificate and private key by malicious code. If an attacker snatchs the certificate, the private key file, and the password for the private key password, he can always act as valid user. In this paper, we proposed a safe way to keep the private key on smartphone using smartphone's unique information and user password. If an attacker knows the user password, the certificate and the private key, he can not know the smart phone's unique information, so it is impossible to use the encrypted private key. Therefore smartphone user use IT service safely.

우리나라는 스마트폰 보급률이 83%로 성인인구 4,000만명 중 3,390만 명이 사용하고 있으며, 이러한 사용자 대부분이 공인인증서에 대한 안전성 문제가 지속적으로 제기됨에도 불구하고 공인인증서를 사용하고 있다. 이러한 안전성의 문제로 인해 SMS를 이용한 휴대폰 소유자 인증기술, 생체인증을 통한 본인 인증기술 등 다양한 인증기술들이 제안되고 있다. 그러나 아직까지도 공인인증서를 대체할 만한 안전하고 믿을 만한 인증체계가 제시되지 않고 있다. 또한 사용자가 제일 많은 공인인증서와 개인키에 대한 탈취 시도가 지속적으로 발생하고 있다. 이러한 이유로 인해 보안전문가들은 공인인증서와 개인키를 USB 플래시 드라이브, 보안토큰, 스마트폰에 저장하도록 권고한다. 하지만 보안전문가가 추천하는 외부 저장매체 중 스마트폰은 앱을 통해 악성코드가 쉽게 전파되고, 악성코드에 의한 인증서나 개인키 파일을 외부로 유출이 가능하다. 해커가 유출한 인증서와 개인키 파일과 함께 개인키 암호용 패스워드만 알아내면 언제든지 정당한 사용자로 위장할 수 있다. 이에 본 논문에서는 스마트폰의 고유정보와 사용자 패스워드를 조합하여 스마트폰에 저장된 개인키 파일의 안전한 관리 방안을 제안한다. 제안 방안을 활용하게 되면 스마트폰에 저장된 개인키와 인증서 파일이 공격자에게 탈취되더라도 스마트폰의 고유 정보를 획득할 수 없으므로 암호화된 개인키의 재사용이 불가능하다. 따라서 제안 방안을 공인인증 체계에 활용한다면 스마트폰 사용자에게 현재보다 훨씬 향상된 보안 서비스를 제공할 수 있을 것으로 예상한다.

Keywords

References

  1. "2015년 상반기 모바일 트랜드," KT경제경영연구소 DIGIECO, 2015.7.6.
  2. http://rcps.egovgo.kr:8081/jsp/stat/ppl_stat_jf.jsp
  3. http://www.boannews.com/media/view.asp?idx=45468
  4. http://www.boannews.com/media/view.asp?idx=44245
  5. 소프트포럼, "보안토큰(HSM) 활성화 방안," 2007(4).
  6. 김선주, 조인준, "OTP를 이용한 PKI 기반의 개인키 파일의 안전한 관리방안," 한국콘텐츠학회논문지, 제14권, 제12호, pp.565-573, 2014. https://doi.org/10.5392/JKCA.2014.14.12.565
  7. http://word.tta.or.kr
  8. B. Kaliski, PKCS #8: Private-Key Information Syntax Standard V1.2, RSA Laboratories, 2008.
  9. B. Kaliski, PKCS #5, Password Based Cryptography Standard V2.1, RSA Laboratories, 2000.
  10. TTAE.3G-22.016, "IMT2000 3GPP-국제이동통신장비식별(IMEI)," TTA, 2000.07.13.
  11. B. Kaliski, PKCS #10: Certification Request Syntax Standard V1.7, RSA Laboratories, 2008.
  12. 김선주, 조인준, "USB 메모리의 컨테이너ID를 이용한 PKI 기반의 개인키 파일의 안전한 관리방안," 한국콘텐츠학회논문지, 제15권, 제10호, pp.607-615, 2015. https://doi.org/10.5392/JKCA.2015.15.10.607
  13. https://msdn.microsoft.com/en-us/library/windows/hardware/ff540024(v=vs.85).aspx