中間者攻撃に対する

(1)

中間者攻撃に対する SPAIC の安全性検討宮崎雄介^＊，鈴木秀和，渡邊晃(名城大学)

Studies on the safetiress of SPAIC agoliust the man-in-the-middle attack for SPAIC Yusuke Miyazaki, Hidekazu Suzuki, Akira Watanabe (Meijo University)

１．はじめに

クライアント/サーバ間通信において重要な情報を交換する場合，確実な認証と暗号化が要求される．このような要求を満たす方式として，IC カードを用いた方式が注目されており，その一技術として， SPAIC （Secure Protocol for Authentication with IC card）[1]がある．しかし，クライアント/サーバ間での中間者攻撃に対する確認が十分に検証されていなかった．そこで，本稿では SPAIC に対する中間者攻撃の検討を行い，その安全性に問題がないことを示す．

２．SPAIC 概要

SPAIC は非接触 IC カードを利用して，秘密情報を一切持た

ないクライアントに対して重要情報を配送することを可能するプロトコルである．認証に必要となる初期情報はすべて IC カードに格納しているため，秘密情報が漏洩する心配がなく，

特定の端末を使用する必要もない．

Fig.1. SPAIC sequence between a Client and a Sever

SPAIC でのサーバ/クライアント間のみを抜粋した動作を

Fig.1 に示す．（1）クライアントは通信を開始することをサー

バに知らせる．（2）サーバは乱数 R を生成しクライアントに送信する． (3) 乱数 R をサーバの公開鍵 PuS で暗号化（E

PuS

[R]）

する． Diffie-Hellman 鍵交換の交換値（DH１）を生成する．

（4）クライアントは，IC カード経由で IC カードの秘密鍵を用いてディジタル署名した DH1 と E

PuS

[R]を，ユーザの ID と一緒にサーバへ送信する．（5）サーバはユーザの ID に対応する IC カードの公開鍵を用いて，ディジタル署名を検証する．

サーバの秘密鍵を用いて E

PuS

[R]を復号し， R を検証する． DH2 を生成し，サーバの秘密鍵を用いてディジタル署名 S

S

（DH2）

を作成する．DH1 と DH2 を利用して共通暗号鍵 K を生成する．最後に，クライアントに S

S

（DH2）を送信する．（6）クライアントは，あらかじめ IC カードから取得していたサーバの公開鍵 PuS を用いて，ディジタル署名を検証した後，DH1 と DH2 を利用して共通暗号鍵 K を生成する．以後，クライア

ント/サーバ間は共通暗号鍵 K を用いて暗号化通信を行う．

SPAIC では，非接触 IC カード/クライアント間は，近距離

であるため中間者攻撃ができないという前提をおいている．

本稿では，クライアント/サーバ間に攻撃者が存在すると仮定した場合の検討を行う．

３．中間者攻撃の検討

Fig.2. A man-in-the-middle attack in SPAIC sequence

Fig.2 に中間者攻撃が行われた場合のシーケンスを示す．始

めに，攻撃者はクライアントが送信した UserID と DH1 を攻撃者の UserID’と DH1’に書き換える．さらに，新たに E

PuS

[R]

を含むディジタル署名を作成し直す．これらの情報をサーバに送る．サーバは攻撃者の ID’に対応する IC カード公開鍵を用いて，ディジタル署名を検証する．ここで，攻撃者の ID’

が存在しディジタル署名の検証にも成功したとすると，DH1’

と DH2 を利用して共通暗号鍵 K’が生成される．共通暗号鍵 K’

にサーバの秘密鍵を用いてディジタル署名を行い，クライアントに送信する．この際に，攻撃者は DH2 を盗聴することはできるが，改竄することはできない．なぜなら，サーバの秘密鍵を用いてディジタル署名されているからである．最後にクライアントはディジタル署名を検証した後，DH1 と DH2 を利用して共通暗号鍵 K を生成する．

以上により，クライアント，攻撃者，サーバそれぞれの共通暗号鍵の生成が完了したとする．クライアントは共通暗号鍵 K を生成しており，攻撃者とサーバは K’を生成している。

従って，クライアント/攻撃者間において鍵共有を行うことが出来ておらず，中間者攻撃は成立しないため SPAIC は安全であると言える。

４．むすび

SPAIC における中間者攻撃は成立しないことを証明した．

今後は，SPAIC の実装と性能評価を行う．

文献

[1] 束, 他：Proposal of an authentication Method “SPAIC” using a non-contact type IC card, ISCIT2007, pp.1470-147, 2007

User Client Server

(1)

UserID, S

I

(DH1, E

PuS

[R]) K

(2) (5) (3)

(6)

S

(DH2) R (4)

User Client Server

UserID, S

I

(DH1, E

PuS

[R])

K’

S

(DH2)

Attacker

UserID’, SI’(DH1’, EPuS

[R])

K

S

(DH2)

(2)

中間者攻撃に対する SPAIC の安全性検討

名城大学理工学部

宮崎雄介，鈴木秀和，渡邊晃

(3)

研究背景

異なるクライアントからサーバへアクセス

クライアント / サーバ間通信の安全確保

重要情報の漏洩を防ぐ

カード内で認証や暗号化などの処理が可能

⇒演算能力

外部からの不正読み取りを防ぐことができる

⇒耐タンパ性

一人一人が持って移動できる

⇒携帯性

ICカードを利用した認証方式に注目

1

確実な認証と暗号化が必要

Client

Server

Client Client Bob

認証・暗号化

Bob Bob

(4)

IC カードの分類

接触型 IC カード

数年前まで主流

IC

カードとクライアントを一体と見なせる

一般的に、

IC

カード

/

クライアント間は暗号化を行わない

非接触型 IC カード

近年普及しつつある

IC

カード

/

クライアント間は無線通信

IC

カード

/

クライアント間で暗号化が必要

IC

カードをリーダライタに挿入

IC

カードを挿入する必要がない

2

(5)

既存技術と課題

IC カード / クライアント間の暗号化技術

事前共有鍵方式

→JICSAP

で定義

事前に共有鍵を全ての

IC Card

と

Client

で共有する

共有鍵を用いて暗号化キーを生成する

クライアントから共有鍵が漏洩

影響が全体に及ぶ

共有鍵を定期的に更新が必要となる

鍵の管理が煩雑解決

SPAIC

課題

JICSAP:

日本

IC

カードシステム利用促進協議会

³

(6)

SPAIC について

非接触

IC

カードを利用し、

Server

から

Client

へ重要情報を安全に配送するための通信路を確立する

SPAIC:Secure Protocol for Authentication with IC Card

クライアントに初期情報を一切所持しない

情報漏えい防止

IC

カード

/

クライアント間の認証には

ICカードの公開鍵を利用

クライアント

/

サーバ間の重要情報の配送には

Diffie‐Hellman鍵交換によって生成した暗号鍵を利用

Diffie ‐ Hellman

鍵交換：公開鍵暗号方式の

1

種

目的

概要

Client Server

非接触ICカード

4

(7)

SPAIC の認証システム

IC Card/Client/Server

を独立したものとして環状の認証

前提条件

IC Card/Client

は近距離なため、中間者攻撃は成立しない

※クライアントは間接的に認証 Server

非接触

IC

カード

ユーザ認証

ICカード認証

サーバ認証

近距離遠隔地

重要情報

対象

＝

Attacker

Client User

5

(8)

IC カードクライアントサーバ

ユーザ

ID

パスワード

サーバ公開鍵

IC

カード秘密鍵

IC

カード公開鍵

なしユーザ

ID

サーバ秘密鍵

IC

カード公開鍵

初期情報は事前にオフラインで設定する

クライアントには初期情報が必要ない

各端末の初期情報

6

(9)

SPAIC の動作 1 ＜ユーザ認証＞

ICカード秘密鍵で復号

7 Client Server

ユーザ認証

IC

カード公開鍵で暗号化

DH1

生成

カードをかざす

User

パスワードの入力

•DH1：Diffie-Hellman交換値1

パスワード

取得

DH1

パスワード

パスワード検証ユーザ

ID

，サーバ公開鍵，

IC

カード公開鍵

(10)

Client Server

SPAIC の動作 2 ＜ IC カード認証＞

DH1

8

ユーザ

ID

↓

IC

カード公開鍵の取得

IC

カード認証

取得

ICカード秘密鍵で

ディジタル署名

DH1

ユーザ

ID DH1 User

署名を検証

(11)

Client Server

SPAIC の動作 3 ＜サーバ認証＞

•DH2：Diffie-Hellman交換値2

9

サーバ認証

サーバ公開鍵で署名検証

取得

サーバ秘密鍵でディジタル署名生成

User

DH2

共通暗号鍵

K

を生成

DH1

と

DH2

から

Kによる暗号通信

(12)

中間者の動作 1 ＜ IC カード認証＞

Client

攻撃者

Server

すりかえる

10

取得

DH1

´ 生成

User

ICカード秘密鍵で

ディジタル署名

DH1´

攻撃者ID´

↓

IC

カード公開鍵の取得

IC

カード認証

取得署名を検証

DH1

「´」：攻撃者が偽造した値である印

ユーザ

ID DH1

攻撃者

ID

´

DH1

´ ユーザ

ID DH1

(13)

Client

攻撃者

Server

中間者の動作 2 ＜サーバ認証＞

DH2

取得

11 User

サーバ秘密鍵でディジタル署名生成

DH2

サーバ認証

サーバ公開鍵で署名検証

取得

DH2

DH1

と

DH2

から

共通暗号鍵K´を生成

DH1

´と

DH2

から

K

´による暗号通信

K

による暗号通信

共通暗号鍵

K

を生成

(14)

中間者攻撃に対する

Studies on the safetiress of SPAIC agoliust the man-in-the-middle attack for SPAIC Yusuke Miyazaki, Hidekazu Suzuki, Akira Watanabe (Meijo University)

SPAIC は非接触 IC カードを利用して，秘密情報を一切持た

ないクライアントに対して重要情報を配送することを可能す るプロトコルである．認証に必要となる初期情報はすべて IC カードに格納しているため，秘密情報が漏洩する心配がなく，

特定の端末を使用する必要もない．

Fig.1. SPAIC sequence between a Client and a Sever

SPAIC でのサーバ/クライアント間のみを抜粋した動作を

Fig.1 に示す． （1）クライアントは通信を開始することをサー

バに知らせる． （2）サーバは乱数 R を生成しクライアントに 送信する． (3) 乱数 R をサーバの公開鍵 PuS で暗号化 （E

[R]）

する． Diffie-Hellman 鍵交換の交換値（DH１）を生成する．

（4）クライアントは，IC カード経由で IC カードの秘密鍵を 用いてディジタル署名した DH1 と E

[R]を，ユーザの ID と 一緒にサーバへ送信する． （5）サーバはユーザの ID に対応す る IC カードの公開鍵を用いて，ディジタル署名を検証する．

サーバの秘密鍵を用いて E

[R]を復号し， R を検証する． DH2 を生成し，サーバの秘密鍵を用いてディジタル署名 S

（DH2）

を作成する．DH1 と DH2 を利用して共通暗号鍵 K を生成す る．最後に，クライアントに S

（DH2）を送信する． （6）ク ライアントは，あらかじめ IC カードから取得していたサーバ の公開鍵 PuS を用いて，ディジタル署名を検証した後，DH1 と DH2 を利用して共通暗号鍵 K を生成する．以後，クライア

ント/サーバ間は共通暗号鍵 K を用いて暗号化通信を行う．

SPAIC では，非接触 IC カード/クライアント間は，近距離

であるため中間者攻撃ができないという前提をおいている．

本稿では，クライアント/サーバ間に攻撃者が存在すると仮定 した場合の検討を行う．

Fig.2. A man-in-the-middle attack in SPAIC sequence

Fig.2 に中間者攻撃が行われた場合のシーケンスを示す．始

めに，攻撃者はクライアントが送信した UserID と DH1 を攻 撃者の UserID’と DH1’に書き換える．さらに，新たに E

[R]

を含むディジタル署名を作成し直す．これらの情報をサーバ に送る．サーバは攻撃者の ID’に対応する IC カード公開鍵を 用いて，ディジタル署名を検証する．ここで，攻撃者の ID’

が存在しディジタル署名の検証にも成功したとすると，DH1’

と DH2 を利用して共通暗号鍵 K’が生成される． 共通暗号鍵 K’

以上により，クライアント，攻撃者，サーバそれぞれの共 通暗号鍵の生成が完了したとする．クライアントは共通暗号 鍵 K を生成しており，攻撃者とサーバは K’を生成している。

従って，クライアント/攻撃者間において鍵共有を行うことが 出来ておらず，中間者攻撃は成立しないため SPAIC は安全で あると言える。

SPAIC における中間者攻撃は成立しないことを証明した．

今後は，SPAIC の実装と性能評価を行う．

(1)

UserID, S

(DH1, E

[R]) K

(2) (5) (3)

(6)

S

(DH2) R (4)

User Client Server

UserID, S

(DH1, E

[R])

S

(DH2)

[R])

K

S

(DH2)

中間者攻撃に対する SPAIC の安全性検討

名城大学理工学部

宮崎 雄介，鈴木 秀和，渡邊 晃

研究背景

 異なるクライアントからサーバへアクセス

 クライアント / サーバ間通信の安全確保

⇒演算能力

⇒耐タンパ性

⇒携帯性

ICカードを利用した認証方式に注目

1

Client

Server

Client Client Bob

Bob Bob

IC カードの分類

 接触型 IC カード

IC

IC

/

 非接触型 IC カード

IC

/

IC

/

IC

IC

2

既存技術と課題

ないクライアントに対して重要情報を配送することを可能するプロトコルである．認証に必要となる初期情報はすべて IC カードに格納しているため，秘密情報が漏洩する心配がなく，

Fig.1 に示す．（1）クライアントは通信を開始することをサー

バに知らせる．（2）サーバは乱数 R を生成しクライアントに送信する． (3) 乱数 R をサーバの公開鍵 PuS で暗号化（E

（4）クライアントは，IC カード経由で IC カードの秘密鍵を用いてディジタル署名した DH1 と E

[R]を，ユーザの ID と一緒にサーバへ送信する．（5）サーバはユーザの ID に対応する IC カードの公開鍵を用いて，ディジタル署名を検証する．

を作成する．DH1 と DH2 を利用して共通暗号鍵 K を生成する．最後に，クライアントに S

（DH2）を送信する．（6）クライアントは，あらかじめ IC カードから取得していたサーバの公開鍵 PuS を用いて，ディジタル署名を検証した後，DH1 と DH2 を利用して共通暗号鍵 K を生成する．以後，クライア

本稿では，クライアント/サーバ間に攻撃者が存在すると仮定した場合の検討を行う．

めに，攻撃者はクライアントが送信した UserID と DH1 を攻撃者の UserID’と DH1’に書き換える．さらに，新たに E

を含むディジタル署名を作成し直す．これらの情報をサーバに送る．サーバは攻撃者の ID’に対応する IC カード公開鍵を用いて，ディジタル署名を検証する．ここで，攻撃者の ID’

と DH2 を利用して共通暗号鍵 K’が生成される．共通暗号鍵 K’

以上により，クライアント，攻撃者，サーバそれぞれの共通暗号鍵の生成が完了したとする．クライアントは共通暗号鍵 K を生成しており，攻撃者とサーバは K’を生成している。

従って，クライアント/攻撃者間において鍵共有を行うことが出来ておらず，中間者攻撃は成立しないため SPAIC は安全であると言える。

宮崎雄介，鈴木秀和，渡邊晃

異なるクライアントからサーバへアクセス

クライアント / サーバ間通信の安全確保

接触型 IC カード

非接触型 IC カード

IC カード / クライアント間の暗号化技術

³

SPAIC:Secure Protocol for Authentication with IC Card

IC

IC Card/Client/Server

IC カードクライアントサーバ

初期情報は事前にオフラインで設定する

クライアントには初期情報が必要ない