언어 선택

의사 난수 생성기(PRNG) 기반 안전한 비밀번호 생성기

본 논문은 HMAC, CMAC 또는 KMAC 기반 PRNG를 사용하는 안전한 비밀번호 생성기를 제안하며, NIST SP 800-90B 엔트로피 및 IID 테스트를 통해 검증합니다.
computationalcoin.com | PDF Size: 0.5 MB
평점: 4.5/5
당신의 평점
이미 이 문서를 평가했습니다
PDF 문서 표지 - 의사 난수 생성기(PRNG) 기반 안전한 비밀번호 생성기
PDF 문서 보기 PDF 다운로드 PDF 번역
» 문서 » 의사 난수 생성기(PRNG) 기반 안전한 비밀번호 생성기

목차

1. 서론

최근 몇 년간 웹사이트 계정 및 텍스트 기반 비밀번호 유출 사례가 지속적으로 보고되며, 정보 보안과 비밀번호 보안의 중요성이 부각되고 있습니다. 웹사이트 취약점 외에도 비밀번호 자체의 보안이 최우선 과제입니다. 일반적인 불안전한 비밀번호 관행에는 키워드 기반 비밀번호, 흔한 문구 기반 비밀번호, 사용자 정보 기반 비밀번호, 비밀번호 재사용 등이 있습니다. 인공지능(AI)과 대규모 언어 모델(LLM)의 급속한 발전은 공격자로 하여금 비밀번호를 더 효과적으로 추측할 수 있는 능력을 부여하고 있습니다.

플랫폼들이 일회용 비밀번호(OTP), 다중 인증(MFA), 암호화된 비밀번호 저장과 같은 방어 기법을 사용하고 있지만, 비밀번호 자체의 내재적 보안을 강화하는 것은 여전히 중요합니다. 본 연구는 안전한 의사 난수 생성기(PRNG)를 기반으로 한 안전한 비밀번호 생성기를 제안합니다. PRNG는 해시 기반 메시지 인증 코드(HMAC), 암호 기반 메시지 인증 코드(CMAC) 또는 KECCAK 메시지 인증 코드(KMAC)를 사용하여 구성되어 암호학적으로 안전한 난수를 생성한 후, 이를 이용해 비밀번호를 생성합니다.

주요 기여점은 다음과 같습니다:

2. 관련 연구

2.1. 선형 합동 생성기 기반 의사 난수 생성기

많은 프로그래밍 언어(예: C, Java)는 선형 합동 생성기(LCG)를 기반으로 PRNG를 구현합니다. 시드 $k$가 주어지면, 수열은 다음과 같이 생성됩니다:

$f_0(k) \equiv a \oplus k \ (\text{mod} \ m)$

$f_i(k) \equiv a \times f_{i-1}(k) + c \ (\text{mod} \ m)$ for $i \ge 1$

그러나 LCG는 다음 상태가 이전 상태로부터 선형적으로 도출되기 때문에($f_{i-1}(k) \equiv (f_i(k) - c) \times a^{-1} \ (\text{mod} \ m)$) 안전하지 않으며, 공격자가 시드로 역추적할 수 있습니다.

2.2. 안전한 의사 난수 생성기

2.2.1. 해시 기반 메시지 인증 코드(HMAC) 기반

HMAC의 보안성은 암호학적 해시 함수(예: SHA-2, SHA-3)의 단방향성에 기반합니다. 키 $k$와 메시지 $M$에 대해 HMAC은 다음과 같이 계산됩니다:

$r_{hmac}(k, M) = h((k \oplus opad) \ || \ h((k \oplus ipad) \ || \ M))$

여기서 $ipad$와 $opad$는 고정된 패딩 상수이며, $h$는 해시 함수입니다. 길이 $L$의 난수 비트스트림을 생성하기 위해 카운터 모드가 사용되며, 각 출력 블록에 대해 메시지를 수정합니다: $M_i = i \ || \ \text{KDF} \ || \ 0x00 \ || \ M \ || \ L$, 이는 $r_{hmac,i}(k, M_i)$를 생성합니다.

2.2.2. 암호 기반 메시지 인증 코드(CMAC) 기반

CMAC의 보안성은 고급 암호화 표준(AES)에 기반합니다. 키 $k$와 길이 $l_a$의 블록 $M'_i$로 분할된 메시지 $M$에 대해, 암호 블록 체인(CBC) 모드로 동작합니다:

$c_{i+1} = AES(k, c_i \oplus M'_{i+1})$, with $c_0 = Pad0(0)$.

최종 출력 $r_{cmac}(k, Split(M))$은 특정 패딩(Pad1) 후 마지막 암호문 블록에서 도출됩니다.

2.2.3. KECCAK 메시지 인증 코드(KMAC) 기반

KMAC은 SHA-3(KECCAK) 스펀지 구조에 기반하여 유연성과 보안성을 제공합니다. NIST SP 800-108 Rev. 1에 개요된 바와 같이, PRNG 목적에 적합한 결정론적이고 예측 불가능한 비트스트림을 생성하기 위해 카운터 모드에서 HMAC과 유사하게 사용될 수 있습니다.

2.3. 난수성 검증 방법

본 논문은 난수성 검증을 위해 NIST SP 800-90B 프레임워크를 채택하며, 두 가지 핵심 측면에 중점을 둡니다:

3. 안전한 PRNG 기반 제안된 안전한 비밀번호 생성기

제안된 시스템 아키텍처는 다음을 포함합니다:

  1. 입력: 사용자가 선택적으로 제공하는 "해시 대상 메시지"(TBHM) 및 매개변수(원하는 비밀번호 길이, 문자 집합).
  2. 안전한 PRNG 코어: NIST SP 800-108에 따른 카운터 모드에서 세 가지 MAC 함수(HMAC, CMAC 또는 KMAC) 중 하나를 사용하여 구축된 PRNG입니다. 이 코어는 TBHM(및 내부 키/시드)을 입력받아 암호학적으로 안전한 의사 난수 비트 수열을 생성합니다.
  3. 비밀번호 생성: 난수 비트들은 사용자가 지정한 문자 집합(예: 영숫자 + 기호)에 매핑되어 원하는 길이의 비밀번호를 생성합니다.

보안 분석은 생성된 비밀번호의 유효 키 공간(문자 집합 크기 $C$와 길이 $L$에 기반, $C^L$ 가능성)을 AES-128($2^{128}$) 및 AES-256($2^{256}$)의 무차별 대입 공격 저항성과 비교합니다. 예를 들어, 94자 집합에서 16자 비밀번호는 약 $94^{16} \approx 2^{105}$ 가능성을 제공하며, 이는 AES-128보다는 약하지만 많은 목적에 충분히 강력합니다.

4. 실험 환경 및 결과

4.1. 실험 설정

제안된 HMAC, CMAC 및 KMAC 기반 PRNG를 사용하여 대규모 난수 수열을 생성하는 실험이 수행되었습니다. 이 수열들은 NIST SP 800-90B 테스트 스위트에 적용되었습니다.

4.2. 난수성 검증 결과

핵심 발견점: 실험 결과는 제안된 세 가지 PRNG 방법(HMAC/SHA-256, CMAC/AES-256, KMAC) 모두에 의해 생성된 난수가 NIST SP 800-90B에 명시된 엔트로피 검증 및 IID 검증 테스트를 성공적으로 통과함을 입증했습니다.

함의: 이는 출력 수열이 높은 엔트로피를 가지며 감지 가능한 통계적 의존성이나 편향이 없음을 확인시켜 주며, 비밀번호 생성에서 안전한 난수 소스의 핵심 요구사항을 충족시킵니다.

4.3. 계산 효율성 분석

주요 초점은 아니지만, 본 논문은 트레이드오프를 암시합니다. HMAC/SHA-256과 KMAC은 일반적으로 소프트웨어에서 매우 효율적입니다. CMAC/AES는 특정 플랫폼에서 하드웨어 가속 이점을 가질 수 있습니다. 선택은 배포 환경의 성능 제약에 따라 맞춤화될 수 있습니다.

5. 결론 및 향후 연구

본 연구는 암호학적으로 강력한 PRNG(HMAC, CMAC, KMAC)를 기반으로 한 안전한 비밀번호 생성기 프레임워크를 성공적으로 설계하고 검증했습니다. 생성된 비밀번호의 보안성은 이러한 MAC 함수의 검증된 특성과 기반 비트스트림의 검증된 높은 난수성에서 비롯됩니다.

향후 방향은 다음과 같습니다:

6. 원본 분석 및 전문가 통찰

핵심 통찰: Chen의 연구는 근본적인 보안 문제인 약한 비밀번호 엔트로피에 대한 실용적이고 표준을 준수하는 공학적 해결책입니다. 이 연구는 많은 비밀번호 유출의 근본 원인이 저장 결함뿐만 아니라 예측 가능한 생성임을 올바르게 지적합니다. NIST 승인 구조(HMAC, CMAC, KMAC)와 검증 프레임워크(SP 800-90B)에 해결책을 고정시킴으로써, 연구는 암호학적 신기성을 위한 신기성을 피하고 대신 검증 가능하게 건전한 방법을 제공합니다. 이 접근 방식은 Linux의 /dev/urandom 인터페이스와 같은 확립된 시스템 뒤의 철학을 반영하지만, 여기서 초점은 재현 가능한 비밀번호 생성에 적합한 결정론적이고 시드 가능하며 사용자 영향 가능한 프로세스에 맞춰져 있습니다.

논리적 흐름: 논증은 체계적입니다: 1) 문제 설정(약하고 추측 가능한 비밀번호). 2) 일반적이지만 결함 있는 해결책(LCG 기반 RNG) 배제. 3) 검증된 보안성을 가진 구성 요소 제안(암호학적 MAC). 4) 기존 표준(NIST SP 800-108 카운터 모드)에 따라 조립. 5) 엄격한 벤치마크(NIST SP 800-90B)에 대해 출력 검증. 이 흐름은 강력하며, 여러 도메인과 메트릭에 걸쳐 이미지 변환 품질을 체계적으로 검증한 CycleGAN 논문과 같은 선구적 연구에서 보이는 구조화된 평가와 유사하게 응용 암호학 연구의 모범 사례를 반영합니다.

강점과 결점: 주요 강점은 신뢰성입니다. 전투 테스트를 거친 암호학적 기본 요소와 NIST 지침을 사용함으로써 위험을 최소화합니다. 선택적 사용자 입력(TBHM)은 개인화되면서도 안전한 시드를 허용하는 영리한 기능입니다. 그러나 중요한 결점은 최신 비밀번호 생성기(예: 유사한 맥락에서 키 스트레칭을 위해 Argon2 또는 bcrypt를 사용하는 생성기)에 대한 직접적이고 비교적인 보안 분석의 부재입니다. AES 무차별 대입 강도와의 비교는 유용하지만 단순합니다. 실제 공격 벡터는 종종 해시된 비밀번호의 오프라인 크래킹입니다; 본 논문은 최적화된 규칙 세트를 가진 Hashcat과 같은 도구에 대한 저항성을 모델링함으로써 주장을 강화할 수 있었습니다. 더욱이, NIST 테스트는 권위 있지만 모든 암호학적 속성에 대해 포괄적이지는 않습니다; PRNG 구현에 대한 사이드 채널 공격 저항성에 대한 논의가 가치 있었을 것입니다.

실행 가능한 통찰: 보안 설계자들에게 이 논문은 준비된 청사진을 제공합니다. 권장사항 1: KMAC 기반 변형을 구현하십시오. SHA-3 파생물로서, 이론적으로 특정 시나리오에서 SHA-2 기반 HMAC에 영향을 미칠 수 있는 길이 확장 공격에 대해 탄력적으로 설계되었으며, 더 미래 지향적인 선택을 나타냅니다. 권장사항 2: 이 생성기를 정책 기반 비밀번호 생성이 필요한 기업용 비밀번호 금고 또는 SSO 시스템의 핵심 엔진으로 통합하십시오. 그 결정론적 특성(동일한 TBHM + 매개변수 = 동일한 비밀번호)은 복구 시나리오에서 기능이 될 수 있습니다. 권장사항 3: 이 기술적 해결책을 사용자 교육으로 보완하십시오. 생성기는 20자 무작위 문자열을 생성할 수 있지만, 사용자가 짧고 기억하기 쉬운 TBHM과 8자 길이를 선택하면 보안이 급락합니다. 인터페이스는 합리적인 기본값(예: 최소 12자, 전체 문자 집합)을 강제하고 NCC Group과 같은 조직의 연구에서 알려진 비밀번호 강도 측정기처럼 엔트로피 강도를 시각적으로 전달해야 합니다.

7. 기술적 세부사항 및 수학적 공식

핵심 보안은 MAC의 의사 난수 함수(PRF) 특성에 의존합니다. 카운터 모드의 PRNG는 다음과 같이 추상화될 수 있습니다:

$R_i = PRF(K, \text{Counter} \ || \ \text{Label} \ || \ 0x00 \ || \ \text{Input} \ || \ L)$

여기서 $PRF$는 $HMAC$, $CMAC$ 또는 $KMAC$이고, $K$는 비밀 키이며, $R_i$는 최종 비트스트림을 형성하기 위해 연결된 출력 블록입니다.

비밀번호 매핑: 비트스트림에서 도출된 난수 정수 값 $v$와 크기 $C$의 문자 집합이 주어지면, 문자 인덱스는 다음과 같이 선택됩니다: $index = v \mod C$. 이는 $L$번 반복됩니다.

8. 분석 프레임워크 및 개념적 예시

시나리오: 웹 서비스가 신규 사용자를 위한 고강도 무작위 초기 비밀번호를 생성해야 합니다.

프레임워크 적용:

  1. 매개변수 선택: 서비스는 PRF로 KMAC256을 선택하고, 안전하게 저장된 시스템 도출 암호 키 $K_{sys}$, 그리고 사용자의 고유하고 불변의 UserID와 타임스탬프로 구성된 TBHM을 선택합니다.
  2. 과정:
    • 입력: TBHM = "USER12345@2023-10-27T10:30:00Z", 길이 $L$ = 16, 문자 집합 = 94개의 출력 가능한 ASCII.
    • PRNG 코어는 이를 $K_{sys}$와 함께 카운터 모드로 처리하여 128 난수 비트를 생성합니다(16자 * log2(94) ≈ 105 비트, 따라서 128 비트는 충분한 엔트로피 제공).
    • 비트는 다음과 같은 문자열로 변환됩니다: s9*!Lq9@Pz%2m#X&
  3. 보안 속성:
    • 예측 불가능성: $K_{sys}$ 없이는 TBHM이 알려져 있어도 출력은 예측 불가능합니다.
    • 결정론: 정확히 그 순간의 동일한 사용자는 동일한 비밀번호를 얻어 디버깅에 도움이 됩니다.
    • 높은 엔트로피: 비밀번호는 약 105비트의 엔트로피를 가져 무차별 대입 공격을 불가능하게 합니다.

9. 미래 응용 및 발전 방향

10. 참고문헌

  1. M. Bellare, R. Canetti, and H. Krawczyk, "Keying Hash Functions for Message Authentication," CRYPTO 1996.
  2. NIST, "Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication," SP 800-38B.
  3. NIST, "SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions," FIPS PUB 202.
  4. NIST, "Recommendation for the Entropy Sources Used for Random Bit Generation," SP 800-90B.
  5. NIST, "Recommendation for Key Derivation Using Pseudorandom Functions," SP 800-108 Rev. 1.
  6. J. Kelsey, B. Schneier, and N. Ferguson, "Yarrow-160: Notes on the Design and Analysis of the Yarrow Cryptographic Pseudorandom Number Generator," SAC 1999.
  7. J. Zhu, T. Park, P. Isola, A.A. Efros, "Unpaired Image-to-Image Translation using Cycle-Consistent Adversarial Networks," ICCV 2017. (엄격한 방법론적 평가의 예시로 인용).
  8. NCC Group, "Password Storage Cheat Sheet," OWASP Foundation. (실용적 비밀번호 정책 지침의 출처로 인용).