От Ильича до Ильича
by sonnet 2006 이글루스 TOP 100 2007 이글루스 TOP 100 2008 이글루스 TOP 100 2009 이글루스 TOP 100 2010 이글루스 TOP 100 2011 이글루스 TOP 100
rss

skin by 이글루스
우리 업계의 원칙
일 관계로 뭐 좀 읽다가 돈 럼스펠드가 생각나 피식 웃고 만 구절

The standard approach to security evaluation is to look for attacks on a candidate MAC construction. When practical attacks can be found, their effect is certainly conclusive: the construction must be dropped. The difficulty is when attacks are not yet found. Should one adopt the construction? Not clear, because attacks might be found in the future.

The maxim that guided the HMAC construction was that an absence of attacks today does not imply security for the future. A better way must be found to justify the security of a construction before adopting it.

번역

보안성 평가를 위한 표준적인 접근법은 제안된 MAC설계(알고리즘)에 대한 공격을 살펴보는 것이다. 실질적인 공격법을 찾아낼 수 있을 경우, 그 효과는 확실히 결정적이다. 즉 그 제안은 버려야 한다. 진짜 어려운 것은 공격을 아직 찾아내지 못했을 경우다. 우리는 그 제안을 채택해야 하나? 분명치 않다. 왜냐면 공격은 미래에 발견될 수도 있기 때문이다.

(우리가) HMAC설계를 할 때 지침으로 삼은 원칙은 오늘까지 공격법을 찾아내지 못했다는 것이 미래에도 안전하다는 것을 함축하지는 않는다라는 것이다. 그 설계를 적용하기 전에 설계의 안전성을 정당화할 더 나은 방법을 반드시 찾아내야만 한다.


M. Bellare, R. Canetti, H. Krawczyk, Message Authentication using Hash Functions: The HMAC Construction, CryptoBytes, Vol. 2 No.1, Spring 1996

이것은 사실 이쪽 일을 할 때는 너무 당연한 이야기인데, 전에 많이 논의되었듯이 입증의 책임은 제안자에게 있다. 그런데 중요한 것은 내가 아직 모르는(영원히 모를 수도 있는) 미지의 어떤 것에 대한 입증을 어떤 기법으로 하느냐이다.

기술적 분석

MAC은 인기가 없는 분야여서 연구자가 적고, 연구나 공격 모두 성과가 부족하다. (그러면 연구가 적으니 실용화가 안되고 실용화가 안되니 인기가 없고 인기가 없으니 연구가 위축되는 악순환이 시작된다) 그런데 MAC의 사촌 격인 MDC는 그보다는 훨씬 연구가 많이 되는 장르여서 사람들은 둘이 거의 비슷하니까 MDC를 조금 고쳐서 MAC를 만들어 쓰자는 생각을 많이 했다. 그러나 알고리즘이란 원래 미묘한 것이라 아주 사소한 수정 혹은 설계자가 의도하지 않은 방식으로 사용할 경우 보안성이 완전히 망가질 수 있다.

따라서 MDC를 갖고 만든 MAC는 전용 MAC을 새로 만든 것과 마찬가지로 공격기법 분석을 처음부터 새로 해야 되는 문제를 안고 있다. 원래 MDC를 이용해 MAC을 만들자는 발상은 MDC연구의 성과를 그대로 이용하면 좋지 않느냐는 것인데 이러면 그 의미가 사라져 버리게 된다.

위에 인용한 설계자들은 자신들이 (MDC를 두번 겹쳐서) 만든 MAC을 공격하는데 성공하려면 (그 전에) 하부에 사용된 MDC의 보안성을 파괴하는 결과가 될 가능성이 높음을 증명하였다. 따라서 이들의 증명을 깨지 못한다면 MAC이 깨지기 전에 하부의 MDC를 깼다는 사람이 먼저 나오게 될 테고, 따라서 보안성 증명의 모든 책임을 MAC 대신 하부의 MDC로 떠넘길 수 있게 된다.
즉 MAC연구자들은 사실 내 것이 더 안전해 진 것은 아니지만 온갖 잡다한 증명으로부터 해방될 수 있는 것이다.

이들의 페이퍼는 96년에 발표되었으나 10여 년이 흐른 지금도 깨지지 않은 채 잘 버티고 있고, 실용화되어 MAC을 필요로 하는 많은 분야에 이용되고 있다. 이들이 만든 MAC은 하부의 MDC를 아무거나 바꿔 끼울 수 있도록 만들었기 때문에, 언제든지 최신의 가장 강력한 MDC를 갖다 꽂으면 업그레이드가 된다. 따라서 이들의 증명을 깨지 못하는 이상 MAC 자체에 대한 연구는 별 의미가 없어져 버린 셈이다.
결국 이들 덕분에 MAC에 대한 연구는 더더욱 침체로 빠져든 셈이다.

몇 년 전 ISO 일을 할 때 지나가면서 의례적으로 9797(MAC에 대한 국제표준이 ISO/IEC 9797임)은 좀 어떻습니까라고 물으니 해당 문서 follow-up을 맡은 사람이 "9797에 무슨 새로운게 있겠습니까!!"라고 나에게 분노의 표정을 지어 보이던 기억이 아직도 난다. ISO 표준은 매 5년마다 갱신 검토를 한다. 5년이 지나도 할게 wording밖에 없다면 짜증도 나긴 하겠지.


이들은 자신들이 말했듯이 설계의 안전성을 정당화할 더 좋은 방법을 찾아냈다.

그렇다면 WWE(Washington Wres...) 태그팀 챔피언 Unnatural Disasters라면 어떨까?
by sonnet | 2007/03/20 15:53 | 과학기술 | 트랙백 | 핑백(1) | 덧글(3)
트랙백 주소 : http://sonnet.egloos.com/tb/3049866
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
Linked at a quarantine sta.. at 2009/03/20 22:33

... 하던 암호가 깨졌다는 소식이 들리면 수많은 다른 암호 알고리즘 중 적당한 것으로 교체만 하면 되니까 안전성에 대한 책임 문제에서 거의 해방될 수 있습니다. 사실 이런 방식은 HMAC에서 아주 성공적으로 사용되고 있습니다. 암호 알고리즘 전/후의 선형변환이 아무리 tricky하고 case by case로 구성된다 하더라도, 단언하건대 새 암호 알고 ... more

Commented by 행인1 at 2007/03/20 23:31
저런 꼼수가.....
Commented by 하얀까마귀 at 2007/03/21 01:54
덕분에 MAC와 MDC의 차이를 배울 기회가 됐습니다. (웃음)

역시 거인의 어깨 위에 올라타는게 가장 속 편한 거군요. :)
Commented by sonnet at 2007/03/21 13:31
행인1/ 사실 모르는 것을 정공법으로 증명한다는 것은 거의 불가능하지 않겠습니까?

하얀까마귀/ 하하. 별 말씀을 다.
MDC가 뭐의 약자인지도 안 썼는데 이해를 하셨다면 이미 머 다 아시는 이야기 아니겠습니까 ^^

:         :

:

비공개 덧글

<< 이전 다음 >>