Skip to main content
QUICK REVIEW

[論文レビュー] Comment on A dynamic ID-based Remote User Authentication Scheme

Amit K. Awasthi|ArXiv.org|Oct 5, 2004
Advanced Authentication Protocols Security参考文献 9被引用数 48
ひとこと要約

本論文は、Dasらの動的IDベースのリモートユーザ認証方式を批判し、それが完全に非セキュアであることを示している。著者は、この方式がなりすまし攻撃およびリプレイ攻撃に対して保護を提供できず、パスワード保護のないオープンなシステムと同等であることを示しており、元の著者らが行ったセキュリティ主張を無効にしている。

ABSTRACT

Since 1981, when Lamport introduced the remote user authentication scheme using table, a plenty of schemes had been proposed with tables or without table using. Recently Das et al. proposed a dynamic id-based remote user authentication scheme. They claimed that their scheme is secure against ID-theft, and can resist the reply attacks, forgery attacks, insider attacks an so on. In this paper we show that Das et al's scheme is completly insecure and using of this scheme is like an open server access without password.

研究の動機と目的

  • Dasらがその動的IDベースのリモートユーザ認証方式に関して行ったセキュリティ主張を評価すること。
  • この方式の設計に内在する根本的な脆弱性を特定し、それがセキュリティを損なうことを示すこと。
  • この方式がなりすまし攻撃およびリプレイ攻撃に対して脆弱であることを証明し、そのコアとなるセキュリティ保証を根底から覆すこと。
  • この方式がID盗難や内部者攻撃に対して保護を提供しないこと、著者らの主張と矛盾することを示すこと。
  • 深刻なセキュリティ欠陥があるため、研究コミュニティにこの方式の導入を警告すること。

提案手法

  • Dasらの方式のプロトコルフローを分析し、論理的および暗号的弱みを特定すること。
  • 攻撃者がパスワードや秘密情報を事前に知らずとも、正当なユーザとしてなりすますことができる実用的攻撃モデルを構築すること。
  • 攻撃者が認証メッセージをリプレイ可能であり、不正アクセスを可能にしていることを実証すること。
  • 適切な相互認証および鍵導出メカニズムの欠如を強調すること。
  • 形式的暗号解析を用いて、この方式が前向き機密性を達成せず、リプレイ攻撃に対しても耐性がないことを示すこと。
  • この方式の振る舞いをパスワード保護のないサーバーと比較し、その非セキュア性を明確にすること。

実験結果

リサーチクエスチョン

  • RQ1Dasらの動的IDベースのリモート認証方式は、なりすまし攻撃に対して真に安全なのか?
  • RQ2攻撃者がメッセージをリプレイすることで、システムへの不正アクセスを可能にするのか?
  • RQ3この方式は、ID盗難や内部者攻撃に対して十分な保護を提供するのか?
  • RQ4偽造やリプレイ攻撃に対する耐性といった、主張されるセキュリティ特性が暗号的に妥当なものなのか?
  • RQ5この方式の設計が、自身のセキュリティ保証をどの程度損なっているのか?

主な発見

  • 攻撃者がユーザの資格情報を事前に知らずとも、なりすまし攻撃を成功させられるため、この方式は完全に非セキュアである。
  • 攻撃者が認証メッセージをリプレイ可能であり、リプレイ攻撃に対する耐性がないことが実証された。
  • 相互認証が提供されていないため、攻撃者が正当なユーザとしてすり替え可能である。
  • 適切な暗号的プリミティブが欠如しているため、この方式はパスワード保護のないオープンサーバーよりも安全ではない。
  • Dasらが主張するセキュリティ的主張は根本的に誤っており、プロトコル設計によって裏付けられていない。
  • 内部者攻撃に対して脆弱である。攻撃を防ぐための必要なメカニズムが欠落している。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。