비밀번호의 기술 평가를위한 소프트웨어 출시 상호 실시간 바카라 프로토콜

독립 행정 기관, 국립 선진 산업 과학 및 기술 연구소 [Yoshikawa Hiroyuki의 회장] (이하 "AIST"), 정보 보안 연구 센터 [Imai Hideki의 회장] ( "RCIS") 및 Yahoo! Inc [Inoue Masahiro의 회장] (이하 "야후! 일본")는 지금까지 인터넷입니다피싱 사기"웹 사용에 적합한 뮤추얼 비밀번호 실시간 바카라프로토콜|"를 연구하고 개발했습니다 새로운 실시간 바카라 프로토콜 "HTTPMutual액세스 실시간 바카라 "웹 브라우저에 포함되어 있습니다"MutualTestFox"및아파치웹 서버확장 소프트웨어 "mod_auth_mutual"및 RCIS 웹 사이트 (https : //wwwrcisaistgojp/special/mutualauth/)에 게시됩니다

"MutualTestFox"오픈 소스 웹 브라우저입니다Firefox3소스 코드를 기반으로 새로운 실시간 바카라 프로토콜이 해당 기능에 추가되었으며 일반 웹 브라우저와 동일한 방식으로 사용할 수 있습니다 "mod_auth_mutual"is아파치웹 서버에서 추가 모듈로 구성된 경우 기존 실시간 바카라을 대체 할 수 있습니다 rcis입니다Firefox3Browser modifications and "mod_auth_mutual"모듈은 오픈 소스 라이센스에 따라 제공됩니다

이 소프트웨어 릴리스는 새로운 실시간 바카라 프로토콜의 기술을 평가하기위한 것입니다 웹 애플리케이션 기술자, 보안 연구원 및 웹 브라우저 개발자의 "HTTPMutual9601_9644

이 실시간 바카라 프로토콜이있는 웹 브라우저 "MutualTestFox" (녹색으로 표시된 사용자 이름을 확인하여 공식 사이트임을 확인할 수 있습니다)

인터넷에서 "Phishing"은 유명한 브랜드 이름과 회사 이름을 가진 가짜 웹 사이트에 사람들을 끌어 들이고 암호, 개인 정보, 신용 카드 번호 등을 입력하여 훔치기 위해 (피싱)라는 악의적 인 행위는 만연해져 사회적 문제가되었습니다 미국 본사반 피싱 작업 그룹(APWG)|의 2007 년 발표에 따르면 미국 사례의 90%가 금융 기관을 목표로했으며 2007 년 12 월에만 25,000 개의 피싱 사이트가 보도했다 일본에서는 국가 공공 안전위원회와 다른 사람들이 말했다무단 액세스 조치 상태"에 따르면, 2007 년에 체포 된 1,438 개의 무단 액세스 사례 중 1,157 개는 사기 암호를위한 피싱 방법이었으며 대부분의 경우 인터넷 경매 서비스에 의해 목표를 목표로하고 있습니다

피싱을 방지하기 위해 사용자가 개인 정보를 입력하면 웹 브라우저의 주소 필드에 표시된 주소가 의도 한 사이트와 일치하는지 항상 시각적으로 확인해야합니다 그러나 실제로 숙련 된 사용자는 실수로 확인을 무시하고 실제와 비 전통적인 이름을 가질 수 있습니다도메인 이름와 함께 설치된 경우 시각적 확인으로 말하기 어려운 문제가 있습니다

최근 몇 년 동안 피싱 경고 기능이 장착 된 웹 브라우저도 나타 났으며 알려진 가짜 사이트에 액세스 할 때 "누군가가 가짜 사이트로 의심되는 것"과 같은 것들이 표시됩니다 그러나 이러한 조치는 무차별 이메일 등을 통해 대규모 문의가 이루어지는 경우에 효과적이지만 소수의 사람들 만 유치하는 방법과 관련하여 가짜 사이트가 제 시간에보고되지 않고 경고가 발행되지 않는다는 사실에 제한이 있습니다

이러한 배경으로 인해 금융 기관 등일회성 비밀번호등2 단계 실시간 바카라소개되고 있지만, 2 단계 실시간 바카라은 전통적으로 중간의 공격을 사용하여 피싱 기술에 약하다고 지적했으며, 실제로는 실제로 2006 년 미국의 주요 은행이었다Man-in-the-Middle Attack대책에 의문을 제기하는 방법이 발생했습니다

aist and야후! 일본피싱 사기를 예방하기위한 새로운 보안 기술을 개발하기 위해 2006 년 1 월 협업 연구를 시작했으며, 그 결과 2007 년 3 월까지 웹 사용에 적합한 "HTTPMutual11790_11832

(참조 : AIST 웹 사이트에 게시 된 주요 연구 결과 2007 년 3 월http : //wwwaistgojp/aist_j/new_research/2007/NR20070323/NR20070323html)

그 이후로 프로토콜 사양이 개선되었고 2007 년 11 월에는 프로토콜 사양 초안이 소개되었습니다인터넷 엔지니어링 태스크 포스(IETF)toInternet-Draft, 70th IETF회의에서 시작되었습니다 동시에 제출 된 제안 된 사양을 기반으로 웹 브라우저를 구현하기 위해 열심히 노력해 왔으며 이제는 기술 평가를위한 참조 구현의 예로 웹 브라우저 "MutualTestFox"및아파치웹 서버의 기능 모듈 추가 "mod_auth_mutual"오픈 소스 소프트웨어로 출시되었습니다 (그림 1)

그림 1 : "MutualTestFox"설치 화면

게시 된 "MutualTestFox"및"mod_auth_mutual"IETF에 있습니다Internet-Draft로 제출 된 초안 사양의 두 번째 판을 기반으로 구현되었으며 일부 확장이 구현되지는 않았지만 "httpMutual13400_13447

이 새로운 실시간 바카라 방법은 다음과 같은 기능으로 인해 피싱 대책으로 효과적입니다

그림 2 : HTTPMutual액세스 실시간 바카라으로 로그인 할 수있을 때 발생하는 일

그림 3 : HTTP상호액세스 실시간 바카라으로 로그인 할 때 발생하는 일

HTML 양식 실시간 바카라을 사용하면 암호 입력 필드가 웹 페이지의 콘텐츠 영역에 배치되므로 가짜 사이트에 암호를 입력하면 가짜 사이트 설치 프로그램에 의해 도난 당할 것입니다BASIC실시간 바카라다이제스트실시간 바카라에서는 팝업이 나타나는 대화 상자 창에 비밀번호 입력 필드가 나타나지만 가짜 사이트에서 생성 된 가짜 대화 창과 창을 구별 할 수있는 위험이 있습니다

대조적으로, 브라우저의 주소 표시 줄 영역은 웹 페이지의 컨텐츠에 의해 다시 작성되지 않도록 보장되는 영역이며, 여기서 암호 입력 필드를 제공함으로써 암호 입력 필드가 위장되지 않습니다 입력 된 비밀번호는 서버로 전송되지 않으므로 비밀번호가 도난 당하지 않으므로 주소 표시 줄 영역이 입력되는 한 신뢰도로 비밀번호를 입력 할 수 있습니다

또한 브라우저가 서버를 실시간 바카라하므로 httpMutual로그인이 액세스 실시간 바카라을 통해 성공한 경우 서버는 가짜 사이트가되지 않도록 보장되므로 사용자 이름이 주소 표시 줄 영역에 녹색 배경으로 표시되는 한, 웹 페이지의 콘텐츠가 공식 사이트에서 온다고 신뢰할 수 있습니다

따라서이 기능이 미래에 널리 사용되면 사용자가 다음과 같이 작용하면 피싱 사기의 피해자가 방지됩니다

○ 비밀번호는 주소 표시 줄 영역에만 입력해야합니다
○ 개인 정보, 신용 카드 번호 등을 입력 할 때 HTTP를 사용해야합니다Mutual액세스 실시간 바카라으로 로그인 한 것을 확인한 후에이를 수행합니다 (그림 3)

국제 활동으로서, 우리는이 기술 평가 소프트웨어를 참조 구현 예제로 소개 할 것이며,이 프로토콜을 위해 인터넷을 계속 표준화 할 것이며, 개발자 커뮤니티와 다른 사람들이 일반적으로 사용되는 웹 브라우저에 표준으로 설치되도록 도와 줄 것입니다

또한 국내 엔지니어를위한 기술 평가 데모로서 "야후! 경매"의 데모 실험은 2008 년 6 월에 시작될 예정입니다이 실험은 실제 작업에 대한 문제를 추출하여 향후 개선에 사용합니다

○ 소프트웨어 배포 (RCIS 웹 사이트 내부)
　 https : //wwwrcisaistgojp/special/mutualauth/

○ 의견 연락처
실시간 바카라 프로토콜 정보 : AIST 정보 보안 연구 센터
　　　　　　　　　　　　　이메일 :
공공 소프트웨어 소프트웨어 : Repidam Co, Ltd (개발 계약자)
　　　　　　　　　　　　　　이메일 :

◆ 낚시 (피싱) 사기

은행이나 경매 사이트를 모방하고 사용자를 유인하고 비밀번호, 신용 카드 번호 등을 입력하는 가짜 웹 사이트를 설정하는 행위 유럽과 미국에서 심각한 피해가 퍼졌으며, 일본에서도 용의자가 체포되었습니다[참조로 돌아 가기]

◆ 프로토콜

컴퓨터가 네트워크를 통해 통신하는 절차를 설정하는 이용 약관 인터넷에서는 비밀번호를 사용하여 로그인 할 수있는 기능을 수행 할 수 있습니다BASIC액세스 실시간 바카라,다이제스트액세스 실시간 바카라과 같은 실시간 바카라 프로토콜이 대중화되고 있습니다[참조로 돌아 가기]

◆MutualTestFox

"MutualTestFox"이번에는 릴리스 될 웹 브라우저의 이름 이며이 브라우저는Mozilla Foundation'Mozilla Firefox"추가되었지만Mozilla Foundation|의 상표 관리 정책,Mozilla Firefox이름입니다Mozilla Foundation수정되지 않은 프로그램의 배포 및 재분배에만 사용되며, 수정 된 프로그램을 항상 배포해야 하므로이 정책에 따라 이름이 변경되었습니다[참조로 돌아 가기]

◆아파치웹 서버

Apache Software Foundation오픈 소스 라이센스에 따라 전 세계에서 널리 사용되며 실시간 바카라 프로토콜 및 기타 정보를 모듈 형태로 추가 할 수있는 메커니즘이 있습니다[참조로 돌아 가기]

◆ 소스 코드

인간이 읽고 쓸 수있는 프로그래밍 언어 형태로 작성된 컴퓨터 프로그램 또한 컴퓨터가 실행하기 쉬운 기계 언어 형식으로 변환 될 수도 있습니다 일반적으로 기계 언어 형식으로 배포 된 프로그램은 수정하기 쉽지 않으며 소스 코드에 배포 된 프로그램은 쉽게 수정할 수 있습니다 소프트웨어 엔지니어가 자유롭게 개선하고 사용할 수 있기를 희망하여 프로그램이 소스 코드로 게시 될 수 있습니다[참조로 돌아 가기]

◆반 피싱 작업 그룹(APWG)

피싱 등으로 인한 사기 및 신원 사기를 퇴치하기 위해 조직 한 조직 전 세계의 다양한 업계 그룹, 회사, 법 집행 기관 및 기타 사람들이 정보를 공유하고 대책 기술을 논의하는 데 참여합니다
http : //wwwantiphishingorg/　[참조로 돌아 가기]

◆ 무단 액세스 조치의 상태

무단 액세스 조치 등이 발표 된 무단 액세스 행동 등의 발생을 정리하는 문서, 국가 공공 안전위원회, 내무부 커뮤니케이션부 장관, 경제, 무역 및 산업부 장관이 발표 한 7 조, 7 조, 무도보
2008 년 2 월의 참조 :http : //wwwmetigojp/press/20080229010/20080229010html　[참조로 돌아 가기]

◆ 도메인 이름

인터넷에서 서버 등을 관리하는 엔티티를 식별하는 데 사용되는 이름 피싱 사기가 가능한 경우, 가짜 사이트와 실제 사이트의 구별은 도메인 이름에 의해 결정될 수 있습니다[참조로 돌아 가기]

◆ 일회성 비밀번호

동일한 암호가 유효하지 않은 일회용 비밀번호 방법에 대한 일반적인 용어는 실시간 바카라에 사용되면 재사용 할 수 없습니다 많은 인쇄 된 일회용 비밀번호가 미리 사용자에게 배포되는 방법과 시간에 따라 변경되는 암호를 표시하는 장치가 사용자에게 배포됩니다[참조로 돌아 가기]

◆ 2 요인 실시간 바카라

각 사용자에게 고유 한 두 가지 기밀 정보를 사용하여 개별적으로 실시간 바카라하는 두 가지 기술 예를 들어 은행 ATM에서 현금 카드 및 핀을 사용한 실시간 바카라 및 온라인 은행에 소개 된 비밀번호 및 임의의 숫자 테이블을 사용한 실시간 바카라이 있습니다[참조로 돌아 가기]

◆ Man-in-the-Middle Attack (Man-in-the-Middle Attack)

공격자와 서버 간의 통신으로 클라이언트와 공격자 간의 통신을 중계함으로써 클라이언트와 서버를 중단 한 공격자가 보안을 중단하는 공격 기술의 이름 일부 프로토콜은이 공격에 취약한 것으로 알려져 있습니다 피싱 사기에서 이것은 사용자가 가짜 사이트를 입력 해야하는 공격 방법을 말합니다 일회성 비밀번호를 사용하더라도 가짜 사이트는 당시 서버에서 유효한 일회성 암호를 사용할 수 있으므로 피싱이 일회성 암호를 사용하여 측정 할 때 미들인 공격에 약한 것으로 지적되었습니다[참조로 돌아 가기]

◆인터넷 엔지니어링 태스크 포스(IETF)

인터넷에서 사용되는 기술의 표준화를 담당하는 조직의견 요청(RFC)라는 문서를 컴파일합니다[참조로 돌아 가기]

◆Internet-Draft

IETF에서 발행 한 문서 중 하나Internet-DraftIETF 표준화 프로세스의 첫 번째 단계 중 하나이며 누구나이를 생성 및 제출할 수 있으며 특정 기간 동안 공개적으로 제공되며 피드백에 따라 공개됩니다 표준화에 합당한 것으로 간주되면 "표준을 옹호합니다"(제안 된 표준)로 업그레이드 한 후 RFC 번호가 부여 된 다음 "Draft to Standard"(초안 표준) 및 "표준"(표준)[참조로 돌아 가기]

◆ Pake (암호 실시간 바카라 키 교환)

클라이언트와 서버 간의 상호 실시간 바카라을 가능하게 하고이 방법을 기반으로 기밀 정보를 안전하게 공유하는 방법은 IETF와 같은 국제 표준에도 채택됩니다 상호 실시간 바카라은 전자 실시간 바카라서를 사용하지 않고 사용자 별 암호를 사용하여 수행 할 수 있습니다 과거에는 웹에서 사용하는 데 사용되지 않았으며 널리 사용되지 않았습니다[참조로 돌아 가기]