[CRYPTO] UserAuthentication

1. 정보보안: 사용자 인증 개요

• 보안 목표:
  • 기밀성(Confidentiality)
  • 무결성(Integrity)
  • 부인 방지(Non-repudiation)
  • 인증(Authentication)
• 인증의 정의:
  • 사용자의 신원을 확인하거나 데이터의 진위 여부를 검증.

---

2. 인증 요소(Authentciation Factors):

 

• 1. 소유 기반(Ownership Factor)- something the user has:
     • 사용자가 소유한 물건(예: 보안 토큰, ID 카드).
  2. 지식 기반(Knowledge Factor)- something the user know:
     • 사용자가 알고 있는 정보(예: 비밀번호, PIN).
  3. 고유성 기반(Inherence Factor)- Something the user is (or does):
     • 사용자의 생체 정보(예: 지문, 홍채, 얼굴).

각 인증 요소는 액세스 권한을 부여받기 전에 개인의 신원을 인증하거나 확인하고, 거래 요청을 승인하고, 문서 또는 기타 업무용 제품에 서명하고, 다른 사람에게 권한을 부여하고, 권한 체인을 구축하는 데 사용되는 다양한 요소를 다룬다.

---

Graphical Password (그래픽 기반 비밀번호)

 

Recognition-based Techniques (인식 기반 기술):

• 사용자가 여러 이미지 중 몇 개를 선택하고, 인증 시 동일한 이미지를 다시 식별하는 방식.
• 이 기술은 비밀번호 대신 이미지를 선택하고 기억하는 것을 기반으로 함.

Password Space (비밀번호 공간):

• 비밀번호 공간은 조합 계산식을 사용해 측정:

• • N: 전체 이미지 수.
  • K: 사용자가 비밀번호로 선택한 이미지 수.
• 선택 가능한 이미지가 많을수록 비밀번호 공간이 커져 보안성이 증가.

---

Pattern Lock: Rules & Key Space

 

1. Rules (규칙):

• 패턴 잠금을 구성하는 기본 규칙:
  1. 최소 4개의 점을 선택해야 함.
  2. 동일한 점을 두 번 사용할 수 없음.
  3. 직선으로만 연결 가능.
  4. 방문하지 않은 점을 건너뛰는 것은 불가능.

2. Number of Pattern Locks (패턴 잠금의 개수)

• 각 그리드 크기별 가능한 패턴의 총 개수:
  • 3 × 3: 389,112가지.
  • 4 × 4: 4,350,069,823,024가지.
  • 5 × 5: 값이 명시되지 않았음(?).

Pattern Lock: Smudge Attack(2010)

---

Biometrics: Security

---

Biometrics: issues and Concerns(생체 인증: 문제점 및 우려사항)

1. 프라이버시와 차별 (Privacy and Discrimination):

• 우려:
  • 생체 인증 등록 과정에서 수집된 데이터가 사용자 동의 없이 악용될 가능성.
  • 개인 정보가 기업 또는 정부 기관에 의해 비윤리적으로 사용되거나, 차별의 근거로 활용될 위험성.

2. 보안 항목 소유자의 위험 (Danger to Owners of Secured Items):

• 사례:
  • 2005년, 말레이시아에서 차량을 탈취하려는 범죄자가 고급차(Mercedes-Benz S-Class)의 주인의 손가락을 절단하여 지문 인식을 우회.
  • 이는 생체 인증이 물리적 공격으로 이어질 수 있음을 경고하는 사례.

---

Two-Factor Authentication (2단계 인증)

1. Multi-factor Authentication (MFA)

• 정의:
  • 다중 인증은 세 가지 인증 요소 중 두 개 이상을 조합해 사용자 인증을 수행하는 방식.
  • 각 인증 요소는 독립적으로 검증되어야 함.
• 세 가지 인증 요소:
  1. 소유 기반 (Ownership Factor): 사용자가 가진 물건(예: 카드, 보안 토큰).
  2. 지식 기반 (Knowledge Factor): 사용자가 아는 정보(예: 비밀번호, PIN).
  3. 고유성 기반 (Inherence Factor): 사용자가 무엇인가(예: 생체 정보).

2. Example: ATM (현금자동입출금기)

• ATM에서의 2단계 인증:
  • 소유 요소: ATM 카드.
  • 지식 요소: PIN(개인 식별 번호).
• 보안 효과:
  • 카드가 분실되더라도 PIN을 알지 못하면 자금을 인출할 수 없음.
  • 반대로, PIN만 알아도 카드가 없으면 인출 불가능.

---

Turing Test(튜링 테스트)

1. Background (배경):

• 정의:
  • 튜링 테스트는 기계가 인간과 구별할 수 없을 정도로 지능적인 행동을 보이는지를 테스트하는 방법.
  • 인간과 기계 간의 자연어 대화를 통해 판단.
• 원리:
  • 인간 심사위원(예: C)이 두 개의 대화 상대(A: 기계, B: 인간)와 대화를 나누고, 누가 기계인지 판단하지 못하면, 기계는 테스트를 통과한 것으로 간주.
• 역사:
  • 1950년, Alan Turing이 "Computing Machinery and Intelligence"라는 논문에서 제안.
  • 튜링 테스트는 인공지능 철학과 기술 발전에 중요한 개념으로 간주됨.

---

Human Authentication

CAPTCHA 정의:

• CAPTCHA:
  • "Completely Automated Public Turing test to tell Computers and Humans Apart"의 약자.
  • 챌린지-응답 테스트의 한 유형으로, 응답이 인간에 의해 생성되었는지 확인하는 방식.

2. 작동 원리:

• 컴퓨터가 생성하기는 쉽지만, 컴퓨터가 풀기에는 어려운 문제를 제시.
• 사용자가 올바른 답을 제출하면, 해당 응답이 인간에 의해 입력된 것으로 간주.

3. 예시:

• 이미지를 통한 텍스트 입력(Gmail 예시와 같이 왜곡된 텍스트를 입력).
•  No CAPTCHA
• reCAPTCHA