Transcript OTP_구혜정

일회용 패스워드
기술 분석 및 표준화 동향
금오공과대학교 소프트웨어공학전공 20040074 구혜정
1
일회용 비밀번호 내년 대중화
• 금융권 대부분 서비스…
• 연말까지 모든 시중은행서 이용 가능해
• 손쉽고 편리 전자금융거래 활성화 기대
2007/11/12 – 이홍석 기자
2
OPT 기술 분석 및 표준화 동향
2007/06
3
일회용 암호를 이용한 국산 암호 인증 시스템
- 추성호, 제갈명, 박홍성
일회용 패스워드를 기반으로 한
인증 시스템에 대한 고찰
– 김기영 2007/6
4
Contents.
1. OTP 기술의 필요성
2. 국내 OTP동향
3. 인증시스템 구현
4. OTP 표준화 동향
5
OTP기술의 필요성
6
사용자 인증 방법
1. What you know : ID/PASSWD
2. What the user is : 지문, DNA
3. What you have : ID카드, 토큰, OTP
7
현재 상황
해킹 기술의 다변화, 고도화, 대중화
 ID/PassWD 인증방식의 안정성 저하
Ex) 피싱, 서버해킹, 악성코드 이용 해킹
인터넷 뱅킹, 온라인 개임 해킹
8
문제점/대책
ID/PassWD 인증방식 문제점 : 금방 해독
 자리수 제한, 특수 문자 사용,
주기적인 교체 권고
1. 비밀번호를 굉장히 길게 하는 방법
2. 비밀번호를 매번 바꾸게 하는 방법(OTP)
9
OTP기술
1. OTP토큰<->인증서버간 비밀정보 공유
2. 정보-> 해쉬함수 같은 알고리즘
3. 일회용 패스워드를 생성
10
국내 OTP 동향
11
~2006 현황
• 국내 OTP 표준화 활동 : 無
• 2006년 5월 인터넷 해킹사건의 대책
고객이 이용하는 거래 수단을 1등급
보안수준으로 맞출것 지시(OTP, HSM이용)
- ‘전자금융거래종합대책’
• ‘금융보안연구원’ 설립
- OTP통합인증센터 설립 예정
12
2007 현황
• 일회용비밀번호(OTP) 시대 개막
연말까지 대부분의 금융기관 OTP 실시
• OTP통합인증센터 참여 회원사
45/55 곳 이미 서비스중
8개 사가 조만간 서비스에 들어갈 예정
• 연말, OTP통합인증센터가 정상 궤도에
오르고 본격적인 OTP시대의 막이 오를
전망
- 금융보안연구원
13
새로운 과제
1. 보안토큰과의 경쟁
2. 재해복구(DR)센터 구축
3. OTP표준화 추진해야
14
1. 보안토큰과의 경쟁
• OTP vs 보안토큰
서로 다른 방식 보안 매체:경쟁상대 아님
• 인터넷뱅킹 이체거래 1등급을 부여받아
(1회 이체한도 1억원) 자주 비교
- 2005년 전자금융거래 안정성 종합대책
15
1. 보안토큰과의 경쟁
• OTP : 해킹 가능성 존재
지난해 OTP를 적용한 미국 씨티은행
인터넷뱅킹 시스템
• 보안토큰 : 보안성 우수
OTP제품의 다양성, 편리성 감안해도,
• 결정
향후 전자금융거래에서의 사용자선호도
16
2. DR센터구축 과제
• DR센터 : 자연재해나 비상사태가 발생,
주 센터가 제 역할을 하지 못할 때 대비,
주 센터와 원거리에 위치한 곳에
메인 시스템의 정보를 그대로 백업
• DR센터 無
17
2. DR센터구축 과제
• 현황: 현재 OTP통합인증센터에서 자체
데이터 백업을 실시하고 있기는 하지만
말 그대로 백업일 뿐 재해시 대비할 수
있는 시스템은 아니다.
• 계획: "OTP서비스에 참여한 지 얼마 되
지 않은 금융회사들의 여건을 감안, 내후
년쯤 DR센터를 구축할 계획"
18
3. OTP표준화 추진해야
• 관련 기술 발전, 산업 육성의 장애물
업체들간 OTP기기ㆍOTP서버ㆍ키 관리
ㆍ통신 규격 등이 서로 다름
• 운영방법의 표준화를 통한 비용 절감
OTP업체들이 센터 운영을 위한 자원 투
입에 어려움이 있는 것을 감안
• 타 산업 분야로 확산
OTP가 금융권뿐만 아니라 타 산업 분야
로 확산될 수 있는 계기
19
향후 계획
• 연말까지 OTP표준화 아이템 선정
중장기 표준화 로드맵 발표
- 금융보안연구원 & 학계
• 국제 표준화 주도
IETF(Internet Engineering Task Force)에 워킹그룹을 발의,
금융 보안을 위한 표준→일반 표준,
사내 표준→단체 표준→국가 표준→국
제 표준 등에 기여한다는 전략
20
국내 OTP전망
• "전 세계적으로 유례가 없는 OTP통합인
증센터 출범으로 해외 각 국에서는 운영
모델, 사용규격, 알고리듬, 프로토콜 등
국내 표준화 움직임에 관심이 많다”
• "국내에서 국제 표준화 작업을 주도해 전
세계 기술 발전 및 산업 육성을 이끌어
나갈 수 있도록 할 계획”
- OTP연구회 위원장 숙명여대 이광수 교수
21
인증시스템 구현
22
인증시스템 구성요소
1. 보안/암호 알고리즘
2. 암호 동기화 방식
3. 일회용 암호 생성기 (Token)
4. 인증서버
5. 인증 클라이언트
23
System Diagram
24
1. 질의응답 방식
25
1. 질의응답 방식
 대칭키 암호 방식을 이용한 사용자 인증 방식
1. User PIN
client
4. 비밀키를 이용하여 r을
암호화
C = DESs(r)
2. Challenge r
5. C
server
3. PIN을 이용하여 DB에서
비밀키를 찾아 r을 암호화
6. 5에서 받은 값과 3의 값을
비교하여 사용자 인증
[Challenge-Response 방식을 이용한 사용자 인증 과정]
26
2. 시간동기화 방식
27
2. 시간동기화 방식
1
시간, 이용자의 키에
기초하여 6자리
패스워드를 생성한다
2
Log-in:5555123456
123456
이용자는 4자리 숫자
PIN과 6자리 패스워드로
로그 인을 한다
Time-synchronous authentication server
5
5555123456
3
이용자의 PIN은
서버가 꺼낼
비밀키를 알려준다
서버가 6자리 숫자를
비교하여 일치하는 경우
이용자를 인증해 준다
123456
이용자
4
데이터베이스
서버가 현재 시간과 비밀키로 알고리즘을
수행하여 6자리 숫자를 생성한다
28
2. 시간동기화 방식
• 구성
난수 생성 알고리즘 + 64비트 비밀키
왜? 매분 마다 하나씩 난수 생성 위해
• 각각의 사용자에게 특정키 할당
(지능형 토큰과 인증서버의 DB에 저장)
29
2. 시간동기화 방식
1.사용자가 서버에 로그 인을 시도하면, 서버
는 4개의 숫자로 이루어진 PIN(Personal
Identification Number)과 6개의 숫자로 이
루어진 난수를 요구
2.6개의 숫자로 이루어진 난수는 토큰 안에
저장되어 있던 비밀키와 시간을 초기 값으
로 하여 토큰 안의 알고리즘을 통해 생성
3.10개의 숫자를 서버로 전송하면, 서버는
PIN을 인덱스로 하여 데이터 베이스에서
해당 비밀키를 찾음
30
2. 시간동기화 방식
4.서버 측에서도 알고리즘에 시간과 비밀키를
넣어 생성된 6개의 랜덤 숫자들을 수신된 6
개의 랜덤 숫자와 일치하는지를 검사
5.그 두 개의 숫자들이 서로 일치하게 되면
서비스에 대한 이용 권한을 부여
31
3. 이벤트 동기화 방식
32
4. 조합 방식
• Event based Challenge/Response
(Multi Mode)
• 질의/응답 방식의 단점과 이벤트 동기
방식의 단점을 없애기 위해 두 방식을
함께 사용한 방법
• 토큰은 같은 질의값에도 매번 다른 응
답값 을 생성해 내게 된다.
33
OTP 표준화 동향
34
S/Key 일회용 패스워드 시스템
• 공격자의 도청에 대해 안전
• 알고리즘 공개
• 호스트에 어떤 비밀 정보도 저장되지
않음
• 계산량이 적어 스마트카드와 같은
응용에도 적합
• 사용하기에 쉽고 간편
35
S/Key 일회용 패스워드 시스템
• 동일한 pass phrase를 사용하여 여러
시스템에서 사용할 수 있는 서로 다른
패스워드를 생성하기 위해 seed 사용
• 패스워드는 (pass phrase||seed)를 해
쉬 함수에 여러 번 적용하여 계산
- Seed : 각 호스트마다 가지는 유일한 값
으로 사용자에게 평문 형태로 전달
36
S/Key 일회용 패스워드 시스템
해쉬 함수 f()
S = Passphrase || seed
해쉬 함수 f()
Seed
XN+1, N
client
server
Compute
f(S), f(f(S), f(f(f(S))), …
X1, X2, X3, … XN
Store XN+1
[S/key 방식의 초기화 단계]
37
S/Key 일회용 패스워드 시스템
XN+1
1. Login ID
2. N, Seed
client
3. S = Passphrase || seed
Compute fN(S) = XN
4. XN
server
5. Compute f(XN)=XN+1
6. 저장된 값과 비교
7. XN 저장
[S/Key 방식을 이용한 사용자 인증 과정]
38
OATH 진영
39
RSA 진영
40
Thank You !
41