Vol.7 No.3 2014
48/76

研究論文:漏洩に強いパスワード認証とその応用(古原ほか)−184−Synthesiology Vol.7 No.3(2014)3 研究シナリオの検証と結果本章では、前述のシナリオに沿って研究目標を実現するために選択した研究内容とその選択理由、ならびにそれらの結果について説明する。3.1 問題の解決可能性に関する理論研究結果この段階の研究により前述の問題が解決可能な場合に、その解決策に求められる制約条件が明らかとなった。その代表的な制約条件を以下で紹介する。●[制約条件1:]ユーザーが短いパスワードを一つだけ使う1要素認証においてサーバー側から記録情報が全て漏えいすることを想定した場合、暗号技術をどのように組み合わせたとしてもそのユーザーのパスワードをオフライン全数探索から保護することは不可能である。この条件により、短いパスワードを一つだけ使う1要素認証では前節1.2から1.4までの問題を全て解決することはできないことが分かる。そのため、研究対象を、パスワード以外の情報をクライアント側で保持する2要素認証に限定することにした。しかし、認証方式を2要素にしただけでは、問題の解決には繋がらない。実際、既存の2要素認証方式として現在広く利用されている「PKIサーバー認証+PW+OTP」方式はサーバーからの情報漏えいに弱く、また、別の2要素認証方式である「PKI相互認証」方式はクライアントからの記録情報の漏えいに弱い。短いパスワードとクライアント端末に記録される認証情報と暗号技術をいかに組み合わせれば、問題が解決できるかについては、今まで学会においても産業界においても提案や実例がなく、学術的にもチャレンジングな課題となっていた。一方、2要素認証方式の限界として以下の条件も導くことができる。●[制約条件2:]一つの短いパスワードと記録情報を使う2要素認証においてサーバー側とクライアント側から同時に記録情報が漏れることを想定した場合、暗号技術をどのように組み合わせたとしてもそのユーザーパスワードをオフライン全数探索から保護することは不可能である。ここで、「同時に記録情報が漏れる」とは1回の同じ認証において使われるサーバー側の記録情報とクライアント側の記録情報の両方が漏れることである。しかし、このことは、例えばn回目の認証で使われるサーバー側の記録情報とn+1回目の認証で使われるクライアント側の認証情報が同一の認証で使われない場合においては、問題を解決できる余地を残している。したがって、本制約条件により実現可能性が否定されていない最も高いレベルのセキュリティは、サーバー側とクライアント側の両方から記録情報が漏れたとしても、漏えいが同時に発生したのでなければ、ユーザーのパスワードをオフライン全数探索から保護できるというものである。ちなみに、並列オンラインパスワード全数探索は、クライアント側に記録される認証情報の候補数が十分多い場合に限っては、2要素認証に対しては無力である。なぜなら、2要素認証では各ユーザーのクライアント側に記録されている認証情報を大量に入手できなければ、並列でオンラインパスワード全数探索を適用できないからである。我々は、情報漏えいへの耐性に関して実現可能性が否定されていない最も高いレベルのセキュリティを満たす構成が存在するか否かについて焦点を絞って研究を行い、実際にこれを満たす具体的な構成例を世界に先駆けて提案できた。技術構成上の要点としては、まず、クライアント側にはサーバー毎に独立に選択された秘密情報を置き、各サーバーにはユーザーを認証するための情報としてクライアント側に置かれた秘密情報とそのユーザーが覚える一つのパスワードを組み合わせ加工することにより得られたデータを置いた。これにより、そのサーバーに置かれたデータからパスワードが特定されることを困難にした。また、認証終了後にそれらクライアントとサーバーに記録されている情報を自動更新することで、クライアントとサーバー両方から異なるタイミングで漏えいが起きたとしてもパスワードを特定できないようにした。さらに、それらの情報と通信路を流れたデータが組み合わされたとしてもパスワードの候補を絞ることが数学的に難しくなるように暗号プロトコルを構成した。我々は、その方式を漏えいに耐性のある認証付き鍵共有方式という意味でLR-AKE(Leakage-Resilient Authenticated Key-Establishment)と名付けた[20]。3.2 理論面での改良に関する研究結果この段階の研究において、我々はLR-AKEの計算量削減、より巧妙な攻撃への耐性確保、それらを破ることの困難さの数学的な証明に取り組んだ。また、得られた知見を応用することにより、既存方式の改良にも成功した。計算量に関しては、最初に提案した方式[20]ではクライアント側に重い暗号処理(具体的には、1024 bit以上の多倍長の乗算720回程度)を必要としており、当時の携帯端末等の非力なクライアント端末上での実行は容易ではなかった。そこで、多倍長の乗算を3回にまで削減可能な方式を提案し、また、その方式を破ることが数学的に困難であることを証明した[21]。より巧妙な攻撃への耐性に関しては、攻撃者がクライアント側に記録されている認証情報を書き換えられたとしても利用者のパスワードや分散保存しているデータを取り出せない方式を提案し、それらを破ることが数学的に困難であることを証明した[22]。クライアント側に記録される認証情

元のページ 

page 48

※このページを正しく表示するにはFlashPlayer10.2以上が必要です