Skip to main content
QUICK REVIEW

[논문 리뷰] Password Cracking: The Effect of Bias on the Average Guesswork of Hash Functions.

Yair Yona, Suhas Diggavi|arXiv (Cornell University)|2016. 08. 06.
Advanced Malware Detection Techniques참고 문헌 26인용 수 1
한 줄 요약

이 논문은 암호문 편향과 해시 함수 설계가 암호문 크래킹에서 평균 추측 횟수에 미치는 영향을 분석하며, 편향된 암호문과 적응형 해시 함수가 추측 횟수를 크게 증가시킨다는 것을 보여준다. 오프라인 및 온라인 공격 하에서 추측 횟수 증가율에 대한 날카운 경계를 유도하며, 사용자 수가 암호문 편향보다 훨씬 더 악영향을 미친다는 것을 드러내고, 추측 횟수를 증가시키지 않으면서도 보안을 강화할 수 있는 백도어 메커니즘을 제안한다.

ABSTRACT

In this work we analyze the average guesswork for the problem of hashed passwords cracking (i.e., finding a password that has the same hash value as the actual password). We focus on the following two cases: Averaging over all strategies of guessing passwords one by one for any hash function that has effective distribution (i.e., the fraction of mappings to any bin) which is i.i.d. Bernoulli(p), and averaging over all hash functions whose effective distribution is i.i.d. Bernoulli(p) for any strategy of guessing passwords one by one. For the case where the hash function is adaptively modified based on the passwords of the users we first find the average guesswork across users when the number of bins is 2 and the number of users equals ⌊2H(s)·m−1⌋, where 1/2 ≤ s ≤ 1 and m ≫ 1. It turns out that the average guesswork increases (as a function of m) at rate that is equal to H (s)+D (s||p) when (1− p) ≤ s ≤ 1, and 2 ·H (p)+D (1− p||p)−H (s) when 1/2 ≤ s ≤ (1− p). We then show that the average guesswork of guessing a password that is mapped to any of the assigned bins (an offline attack) grows like 2. We also analyze the effect of choosing biased passwords on the average guesswork and characterize the region in which the average guesswork is dominated by the guesswork of a password as well as the region in which the average guesswork is dominated by the above results. Moreover, we provide a concentration result that shows that the probability mass function of the guesswork is concentrated around its mean value. We also analyze the more prevalent case in which hash functions can not be modified based on the passwords of the users (i.e., users are mapped to bins randomly). We derive a lower and an upper bounds for the average guesswork both under offline and online attacks and show that the rate at which it increases under offline attacks is upper bounded by D (s||p), and lower bounded by D (1− s||p) when 1− p ≤ s ≤ 1 as well as 0 for 1/2 ≤ s ≤ 1− p, whereas under an online attack the rate is upper bounded by H (s) + D (s||p) when (1− p) ≤ s ≤ 1, and 2 · H (p) + D (1− p||p) − H (s) when 1/2 ≤ s ≤ (1− p), and lower bounded by H (s) + D (1− s||p). In addition, we show that the most likely average guesswork when passwords are drawn uniformly increases at rate H (p) − H (s) under an offline attack and at rate H (p) when cracking the password of any user. These results give quantifiable bounds for the effect of bias as well as the number of users on the average guesswork of a hash function, and show that increasing the number of users has a far worse effect than bias in terms of the average guesswork. Furthermore, we show that under online attacks the average guesswork is upper bounded by H (s) +D (s||p) when (1− p) ≤ s ≤ 1, and 2 · H (p) + D (1− p||p) − H (s) when 1/2 ≤ s ≤ (1− p), and lower bounded by H (s) +D (1− s||p) For keyed hash functions (i.e., strongly universal sets of hash functions) we show that when the number of users is ⌊2m−1⌋ and the hash function is adaptively modified based on the passwords of the users, the size of a uniform key required to achieve an average guesswork 2, α > 1, is α times larger than the size of a key that is drawn Bernoulli(p0) that achieves the same average guesswork, where p0 satisfies the equality 1+D (1/2||p0) = α. Finally, we present a “backdoor” procedure that enables to modify a hash function efficiently without compromising the average guesswork. This work relies on the observation that when the mappings (or the key) of a hash function are biased, and the passwords of the users are mapped to the least likely bins, the average guesswork increases significantly.

연구 동기 및 목표

  • 암호문 편향과 해시 함수 설계가 암호문 크래킹에서 평균 추측 횟수에 미치는 영향을 정량화하는 것.
  • 사용자 암호문에 따라 수정되는 적응형 해시 함수가 사용자 수가 다양할 때 추측 횟수에 미치는 영향을 모델링하는 것.
  • 오프라인 및 온라인 공격에 대해 평균 추측 횟수의 이론적 경계를 수립하며, 균일한 분포와 편향된 분포를 구분하는 것.
  • 키가 부여된 해시 함수(강력한 유니버설 집합)가 추측 횟수를 제어하는 데 미치는 역할을 분석하고, 원하는 보안 수준을 달성하기 위한 키 크기 요구 조건을 유도하는 것.
  • 키 크기를 늘리거나 보안을 해치지 않으면서도 추측 횟수를 증가시킬 수 있는 백도어 메커니즘을 개발하는 것, 편향된 매핑을 통해 가장 덜 가능성 있는 버킷으로 암호문을 매핑하는 방식으로 구현한다.

제안 방법

  • 효율적 해시 함수 행동을 모델링하기 위해 동일한 분포를 가진 i.i.d. 베르누이(p) 분포를 사용하고, 다양한 전략에 따른 평균 추측 획수를 분석한다.
  • 상대 엔트로피 D(·||·)와 엔트로피 H(·)를 포함한 정보이론적 도구를 적용하여 추측 획수 증가율에 대한 경계를 도출한다.
  • 두 가지 공격 모델을 분석한다: 오프라인 공격(공격자가 해시 값에 완전한 액세스를 가짐)과 온라인 공격(공격자가 한 번에 하나의 암호문을 질의함).
  • 추측 획수의 확률 밀도 함수가 평균 주변에 밀도 있게 집중되어 있음을 보여주는 농도 결과를 유도한다.
  • 암호문을 가장 덜 가능성 있는 버킷으로 매핑함으로써 해시 함수를 효율적으로 수정하는 '백도어' 절차를 도입하며, 키 크기를 변경하지 않고도 추측 획수를 증가시킨다.
  • 목표 추측 획수 수준을 달성하기 위해 필요한 키 크기를 비교하기 위해 균일한 분포와 편향된 분포를 사용하며, 원하는 보안 수준을 위해 곱셈 계수 α를 도출한다.

실험 결과

연구 질문

  • RQ1오프라인 및 온라인 공격 모델 하에서 암호문 편향은 평균 추측 횟수에 어떤 영향을 미치는가?
  • RQ2사용자 수가 증가할 때 평균 추측 횟수의 증가율은 얼마이며, 암호문 편향의 영향과 비교해보면 어떠한가?
  • RQ3사용자 암호문에 따라 수정되는 적응형 해시 함수는 평균 추측 횟수에 어떤 영향을 미치며, 특히 사용자가 가장 덜 가능성 있는 버킷으로 매핑될 경우 어떻게 되는가?
  • RQ4다양한 공격 모델 하에서 키가 부여된 해시 함수에 대해 평균 추측 획수의 날카운 상한 및 하한 경계는 무엇인가?
  • RQ5키 크기를 늘리거나 보안을 해치지 않으면서도 추측 획수를 증가시킬 수 있는 백도어 메커니즘을 설계할 수 있는가?

주요 결과

  • 오프라인 공격 하에서 평균 추측 획수는 1−p ≤ s ≤ 1 인 경우 상한 경계로 D(s||p)를 가지며, 1/2 ≤ s ≤ 1−p 인 경우 하한 경계로 0을 가지며, 1−p ≤ s ≤ 1 인 경우 상한 경계로 D(s||p)를 가진다.
  • 온라인 공격 하에서 평균 추측 획수는 1−p ≤ s ≤ 1 인 경우 상한 경계로 H(s) + D(s||p)를 가지며, 1/2 ≤ s ≤ 1−p 인 경우 상한 경계로 2·H(p) + D(1−p||p) − H(s)를 가진다.
  • 균일하게 선택된 암호문의 가장 가능성이 높은 평균 추측 획수는 오프라인 공격 하에서 H(p) − H(s) 의 속도로 증가하며, 어떤 사용자 암호문을 크래킹할 경우 H(p) 의 속도로 증가한다.
  • 사용자 수가 ⌊2H(s)·m−1⌋ 인 경우, 1−p ≤ s ≤ 1 인 경우 평균 추측 획수는 H(s) + D(s||p) 의 속도로 증가하며, 1/2 ≤ s ≤ 1−p 인 경우 2·H(p) + D(1−p||p) − H(s) 의 속도로 증가한다.
  • ⌊2m−1⌋명의 사용자가 있는 키가 부여된 해시 함수에서, 1 + D(1/2||p₀) = α 를 만족하는 Bernoulli(p₀)에서 추출된 키는 크기가 α 배 더 큰 균일한 키와 동일한 평균 추측 획수를 달성한다.
  • 백도어 절차는 가장 덜 가능성 있는 버킷으로 암호문을 매핑함으로써 효율적으로 추측 획수를 증가시키며, 키나 추측 획수를 변경하지 않고도 해시 매핑의 편향을 활용한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.