A Password Stretching Method with User Specific Salts

WWW2007 논문들이 공개되었습니다.

제가 제출한 논문은 쉬운 패스워드로부터 어려운 패스워드를 만들어내는 방법인 Password Stretching에 관한 것입니다.



기존의 방법들은 모두 레인보우 테이블을 사용한 공격에 약한데요, 이것을 극복하는 방법에 관한 것입니다.

관심있는 분들이 많을 지는 모르겠지만, 필요하신 분들은 참고하십시오.

"웹 구조개혁의 제안"에 부쳐

공인인증서 소프트웨어를 다루고 있는 회사에 몸담고 있는 사람으로써 최근의 ActiveX와 공인인증에 대한 논의는 너무나도 민감한 사안이기 때문에 제 의견은 적지 않습니다. 다만, 김국현님의 웹 구조개혁의 제안에 있어서 바로잡아야할 '사실' 들과 제안의 현실화에 도움이 될 만한 내용들만 적습니다.



구조개혁 1에 대한 의견

• 대안1의 버츄얼 키보드는 안전하지 않습니다.
• 공인인증서의 안전성은 공인인증서와 한쌍을 이루는 개인키(전자서명키)를 보관하는 저장매체의 안정성에 의존합니다. 즉, 공인인증서라는 기술의 문제가 아니고 공인인증서 저장매체가 문제인 것입니다. HSM을 사용한다고 해서 공인인증서 기술을 사용하지 않는 것은 아니며, 개인키 저장방법이 변경되는 것입니다.
  
  
• 은행에서 공인인증서를 HSM에 담아서 제공하지 않았던 것은 비용문제였는데, OTP 하드웨어를 모든 인터넷뱅킹 사용자에게 보급하기 위해서는 마찬가지의 비용문제가 있습니다. 은행들이 안전카드는 공짜로 제공하지만, 암호생성기(OTP)는 유료로 제공하고 있는 이유가 여기에 있습니다.
• 안전한 하드웨어가 모든 전자금융/지불 사용자에게 보급되지 않는다면, 구조개혁 1의 현실성은 없어보입니다.
  
  

구조개혁 2에 대한 의견

• SEED는 2005년에 이미 RFC4009가 되었고, TLS(SSL의 IETF 표준화 버전)에 알고리즘으로 추가하는 방법도 RFC4162가 되었습니다. 그런데도 왜 브라우저 업체들은 구현하지 않았을까요? 진정한 대안이 되려면 오픈웹 운동 같은 곳이 나서서 이 표준들을 브라우저 업체들이 구현하도록 해야합니다.

WWW2007 poster accepted!

지난 번에 정보처리학회에 발표한 패스워드 강화방법을 보강해서 WWW2007에 포스터 논문을 냈는데, 오늘 accept 되었습니다.

Conference proceeding과 ACM Digital Library에 공개된다는군요. 이제 특허와 논문과의 연관도 조금은 알것 같습니다.

논문은 공개되는대로 올리겠습니다.



5월 포스터 발표겸 가족여행으로 WWW2007 다녀와야겠네요...