The KIPS Transactions:PartC (정보처리학회논문지C)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

CipherSuite Setting Problem of SSL Protocol and It's Solutions

SSL 프로토콜의 CipherSuite 설정 문제점과 해결 방안

  • 이윤영 (성균관대학교 전자전기컴퓨터공학과) ;
  • 허순행 (성균관대학교 전자전기컴퓨터공학과) ;
  • 박상주 (LG전자 연구원) ;
  • 신동휘 (한국정보보호진흥원 암호응용팀) ;
  • 원동호 (성균관대학교 정보통신공학부) ;
  • 김승주 (성균관대학교 정보통신공학부)
  • Published : 2008.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

As the use of Internet and information communication technology is being generalized, the SSL protocol is essential in Internet because the important data should be transferred securely. While the SSL protocol is designed to defend from active attack such as message forgery and message alteration, the cipher suite setting can be easily modified. If the attacker draw on a malfunction of the client system and modify the cipher suite setting to the symmetric key algorithm which has short key length, he should eavesdrop and cryptanalysis the encrypt data. In this paper, we examine the domestic web site whether they generate the security session through the symmetric key algorithm which has short key length and propose the solution of the cipher suite setting problem.

인터넷과 정보통신기술의 사용이 일반화되면서 인터넷 상에서 중요한 데이터를 안전하게 전송해야 함에 따라 SSL 프로토콜의 사용은 필수요소가 되었다. SSL 프로토콜은 메시지 위/변조 공격과 같은 능동적인 공격에 안전하도록 설계가 되었지만 CipherSuite 설정 변경은 별다른 제약 없이 수정이 가능하다. 공격자가 Client의 시스템의 오작동을 유도하여 CipherSuite 설정을 키 길이가 낮은 대칭키 알고리즘으로 변경한다면 도청하여 데이터를 해독할 수 있다. 본 논문은 키 길이가 낮은 대칭키 알고리즘 설정에 대한 국내 웹사이트의 보안세션 생성 조사 및 CipherSuite 설정 문제점에 대한 해결책을 제시한다.

Keywords

References

  1. Dierks, T. and E. Rescorla, “The Transport Layer Security (TLS) Protocol Version 1.1”, RFC 4346, April 2006
  2. “How to Restrict the Use of Certain Cryptographic Algorithms and Protocols in Schannel”, Microsoft, 2004
  3. 백승주, “Windows Vista의 사용자 계정 컨트롤 (User Account Control : UAC)”, http://www.microsoft.com/korea/technet/resources/Technetcolumn/column_uac1.mspx, Microsoft, 2006
  4. “Internet Explorer7 홈페이지”, http://www.microsoft.com/korea/windows/products/winfamily/ie/default.mspx, Microsoft, 2007
  5. Ashraf Elgohary, Tarec S. Sobh, M. Zaki, “Design of an enhancement for SSL/TLS protocols”, Computers & Security, Vol.25, Issue 4, pp.297-306 June 2006 https://doi.org/10.1016/j.cose.2006.02.007
  6. Secure password-based cipher suite for TLS
  7. John Viega, Matt Messier, Pravir “Network security with OpenSSL”, O'REILLY
  8. Eric Rescorla, “SSL and TLS Designing and Building Secure Systems”, Addison-Wesley
  9. David Wagner, Bruce Schneier, “Analysis of the SSL 3.0 protocol”, USENIX Workshop on Electronic Commerce, ACM

Cited by

  1. Design of Improved Authentication Protocol for Sensor Networks in IoT Environment vol.25, pp.2, 2015, https://doi.org/10.13089/JKIISC.2015.25.2.467