20170825

랜덤오라클 모델과 해시함수에 대한 공격

랜덤 오라클 모델

- Bellare와 Rogaway가 1993 소개한 랜덤오르칼 모델 -> 이상적인 수학적 모델

- 오라클은 0/1로 이루어진 난수 스트림인 고정된 길이의 메시지 다이제스트 생성

- 이미 다이제스트가 존재하는 메세지가 주어지면 ㅓㅈ장되있는 걸 제공

- 새로운 메시지에 대한 다이제스트는 다른 모든 다에제스트와는 독립적으로 선택될 필요

비둘기집 원리

- n+1 마리의 비둘기를 n개의 집에 넣으면 적어도 2마리 이상 있는 집에 1개이상

 -> kn+1마리 n개 비둘기집 한개의 비둘기 집에는 k+1마리의 비둘기

생일공격

- 해기값을 생성하는 메시지를 구하는게 아니라 해시값은 뭐든지 괜찮으면 같은 해시값을 생성하는 2개의 메시지 구함

- 생일 공격은 일방향 해시 함수의 강한 출동내성을 꺠기 위함

- 생일 패러독스

일방향 해시함수 공격

무차별 공격

- 가능하다

- 약한 충돌 내성 예를들어 SHA-1 160bit 이므로 2의160승 만큼 회전하면 가능하다는 생각

기타 해시함수 공격 특성

- 일치 블록 연쇄 공격

 : 메시지를 여러개 만들어 공격하고 하는 메시지에 해시함수를 같은 것을 찾아 공격

- 중간자 공격

 : 전체 해시값이 아닌 중간의 결과에 대한 충돌 쌍을 찾음 특정포인트 공격

- 고정점 연쇄공격

 : 메시지 블록과 연쇄변수 쌍을 얻으면 연쇄변수 발생하는 특정한 점에서 임으의 수의 동등한 블록들 x,를 메시지의 중간에 삽입해도 전체 해시값을 변경

- 차분 연쇄 공격

 : 다중 라운드 블록 암호 공격

  -> 블록암호를 사용하는 해시 함수에서 입력값과 그에 대응하는 출력값 차이의 통계적 특정

일방향 해시함수 해결불가 문제

- 조작과 변경을 검출가능하지만 거짓행세는 불가하다.

- 인증철자가 필요하다 

 -> 메시지 인증코드 / 전자서명

암호학적 해시함수예

SHA-512

- 512다이제스트

- 2의128승과 블록길이가 같거나 넘을 경우 처리못함 -> 대부분의 컴퓨터 용량보다 크기때문에 문제가 되지 않는다.

- 128비트 부호 없는 정수 필드 필요 -> 메시지 길이표시

- 보안요소 필요

SHA-3

- SHA-3은 SHA-2를 모두 호환해야 한다.

- 보안,비용,유연성을 모두 만족해야함.

메시지 인증코드(MAC)

- 무결성 확인 및 메시지 인증

- 전자서명보다 빠르다.

- 키를 이용(메시지 인증코드)

변경감시코드(MDC)

- 메시지의 무결성 보장

HMAC

- 일방향 해시함수를 이용하여 메시지 인증코드 구성

- 강한 일방향 해시함수면 HMAC이 이용가능

- TLS/IPSec에 사용

CMAC

- CBC-MAC이라 부름

- CBC와 유사

카운터 암호 블록 체이닝

- CCM이라 부름

MAC공격

- 재전송 공격(막는 방법 - 순서번호, 타임스템프, 비표, 시도/응답)

 : 순서번호 - 시퀀스 번호를 붙이고 번호를 기억해야 되는 단점

 : 타임스템프 - 현재시간을 넣기로 약속 기이전에 메세지가 들어오면 오류, 시간 동기화가 필요하다.

 : 비표 - 메시지 수신전 일회용 랜덤수 전달, 송신자는 비표포함 MAC계산 비표는 계속 바뀜

 : 시도/응답 - MAC값안에 정확한 난수 요구

MAC 이 불가능한 상황

- 제3자 증명 : 전자서명으로 가능

- 부인방지 : 전자서명으로 가능