$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

스마트폰뱅킹을 위한 공인인증서 복사 프로토콜의 취약점 분석
On the Security of Public-Key-Certificate-Relay Protocol for Smart-Phone Banking Services 원문보기

한국통신학회논문지. The Journal of Korea Information and Communications Society. 통신이론 및 시스템, v.37C no.9, 2012년, pp.841 - 850  

신동오 (인하대학교 컴퓨터정보공학과 정보보호연구실) ,  강전일 (인하대학교 컴퓨터정보공학과 정보보호연구실) ,  양대헌 (인하대학교 컴퓨터정보공학과 정보보호연구실) ,  이경희 (수원대학교 전기공학과)

초록
AI-Helper 아이콘AI-Helper

최근 대다수의 국내 은행들은 스마트폰뱅킹 서비스를 제공한다. 스마트폰뱅킹을 이용하기 위해서는 PC에 보관된 공인인증서와 개인키를 스마트폰으로 복사해야 한다. 하지만 사용자가 USB 케이블을 이용해 PC에서 스마트폰으로 직접 복사하는 방법은 편의성이 떨어지기 때문에 이를 해결하기 위해 다수의 보안 솔루션 기업은 중개서버를 두어 공인인증서를 복사해주는 방법을 택하고 있다. 이 논문에서는 공인인증서 복사 프로토콜의 보안성을 분석하고 이를 토대로 한 공격을 보인다. 우리는 네트워크 도청을 통해 사용자의 공인인증서와 개인키를 추출할 수 있었다. 또한, 공인인증서를 안전하게 복사하기 위한 방법을 모색한다.

Abstract AI-Helper 아이콘AI-Helper

Most of banks in Korea provide smartphone banking services. To use the banking service, public key certificates with private keys, which are stored in personal computers, should be installed in smartphones. Many banks provides intermediate servers that relay certificates to smartphones over the Inte...

주제어

#Public-key-certificate-relay   #Financial security   #Smart-phone banking   #Network sniffing   #Decompilation  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 이 논문에서는 스마트폰에서 인터넷뱅킹을 이용하기 위해 공인인증서와 개인키를 복사하는 프로토콜에 대해 분석하고 취약점과 대응방안에 대해 논하였다. 스마트폰의 보급률이 높아짐에 따라 PC에서 이용하던 전자금융서비스를 스마트폰, 태블릿에서 이용하는 비율도 점차 늘어나는 추세이기 때문에 앞으로도 공격자는 스마트폰에서 제공되는 서비스에 관심을 보이며 취약점을 찾아내려 노력할 것이다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
공인인증서를 복사하는 방법은 어떻게 나뉘는가? 공인인증서를 복사하는 방법은 주민등록번호 입력을 요구하는 방법(이하 구버전)과 주민등록번호 없이 복사하는 방법 (이하 신버전)으로 나뉜다. 구버전의 경우 우선 스마트폰뱅킹 프로그램에서 임의의 인증번호를 생성한다.
공인인증서와 함께 복사되는 개인키는 무엇인가? 공인인증서와 함께 복사되는 개인키는 전자상거래에서 계약서를 작성하거나 신원확인 등에 쓰이는 전자서명 생성에 이용되는 비밀이다. 이 비밀이 노출된다면 공격자는 소유자 대신 전자서명을 만들 수 있는 가능성이 존재하게 되며, 이는 곧 전자문서에 대한 인증기능과 부인방지가 그 효력을 상실하게 되는 문제를 발생시킨다.
개인키가 노출된다면 어떤 문제가 발생하는가? 공인인증서와 함께 복사되는 개인키는 전자상거래에서 계약서를 작성하거나 신원확인 등에 쓰이는 전자서명 생성에 이용되는 비밀이다. 이 비밀이 노출된다면 공격자는 소유자 대신 전자서명을 만들 수 있는 가능성이 존재하게 되며, 이는 곧 전자문서에 대한 인증기능과 부인방지가 그 효력을 상실하게 되는 문제를 발생시킨다. 따라서 공인인증서와 개인키는 외부에 노출되지 않는 안전한 방법으로 복사되어야 하지만, 실험결과 도청한 패킷으로부터 사용자의 공인인증서와 개인키를 추출할 수 있었다.
질의응답 정보가 도움이 되었나요?

참고문헌 (14)

  1. Korea Commun. Commission, "Statistics of subscribers to telecommunications services," Retrieved from http://www.itstat.go.kr/board/boardDetailView. htm?identifier02-008-120529-000003, Apr. 2012. 

  2. Law no. 10008, "Electronic signatures act," Feb. 2010. 

  3. Korea Internet & Security Agency, "Certificate transmission between PC to mobile device," Mar. 2010. 

  4. Java Decompiler-Graphic User Interface, Retrieved from http://java.decompiler.free.fr/, June 2012. 

  5. JAva Decompiler, Retrieved from http://en.wikipedia.org/wiki/JAD_(JAva_Decompiler), June 2012. 

  6. B. Schneier, Applied cryptography, 2nd Ed., John Wiley & Sons. ISBN 0-471-11709-9, pp. 153-154, 1996. 

  7. PKCS#8 v1.2, "Private key information syntax standard," May 2008. 

  8. PKCS#5 v2.0, "Password-based cryptography standard," Mar. 1999. 

  9. C. Ellison, "Cryptographic random numbers," IEEE P1363 Appendix E, Draft v1.0, Retrieved from http://world.std.com/-cme/P1363/ranno.html, Nov. 1995. 

  10. SecureRandom, Retrieved from http://developer.android.com/reference/java/sec urity/SecureRandom.html, June 2012. 

  11. SecRandomCopyBytes, Retrieved from http://developer.apple.com/library/ios/#DOCU MENTATION/Security/Reference/Randomizati onReference/Reference/reference.html, June 2012. 

  12. E. Barker, "Recommendation for key management - Part 1: General rev.3," NIST Special Pub. 800-57, May 2011. 

  13. DaeHun Nyang, "System and method for transmitting certificate to mobile apparatus and system and method for transmitting and certifying data using multi-dimensional code," Pat. no. KR-10-1113446, Dec. 2010. 

  14. A. Kerckhoffs, "La cryptographie militaire," Jour. des sciences militaires, IX, pp. 5-38, Jan. 1883. 

저자의 다른 논문 :

LOADING...

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로