Cipher Block Chaining CBC-MAC
CBC
만약 쿠키가 사용자 이름만을 포함하고 있고 사용자 이름을 "admin"으로 변조하고 싶다면, 사용자 이름을 **"bdmin"**으로 만들고 쿠키의 첫 번째 바이트를 브루트포스할 수 있습니다.
CBC-MAC
Cipher block chaining message authentication code (CBC-MAC)는 암호학에서 사용되는 방법입니다. 이 방법은 메시지를 블록 단위로 암호화하여 작동하며, 각 블록의 암호화는 그 이전 블록과 연결됩니다. 이 과정은 블록 체인을 생성하여 원본 메시지의 단 하나의 비트라도 변경되면 암호화된 데이터의 마지막 블록에 예측할 수 없는 변경이 발생하도록 합니다. 이러한 변경을 수행하거나 되돌리려면 암호화 키가 필요하여 보안을 보장합니다.
메시지 m의 CBC-MAC를 계산하려면, m을 초기화 벡터를 0으로 사용하여 CBC 모드로 암호화하고 마지막 블록을 유지합니다. 다음 그림은 비밀 키 k와 블록 암호 E를 사용하여 메시지의 CBC-MAC을 계산하는 과정을 스케치로 나타냅니다:
취약점
일반적으로 CBC-MAC에서 사용되는 IV는 0입니다.
이것은 2개의 알려진 메시지(m1 및 m2)가 독립적으로 2개의 서명(s1 및 s2)을 생성할 수 있는 문제를 야기합니다. 따라서:
E(m1 XOR 0) = s1E(m2 XOR 0) = s2
그런 다음 m1과 m2를 연결한 메시지(m3)는 2개의 서명(s31 및 s32)을 생성합니다:
E(m1 XOR 0) = s31 = s1E(m2 XOR s1) = s32
암호화 키를 알지 못해도 이를 계산할 수 있습니다.
8바이트 블록으로 이름 Administrator을 암호화하는 경우를 상상해보세요:
Administrator\00\00\00
Administ라는 사용자 이름(m1)을 만들고 서명(s1)을 검색할 수 있습니다.
그런 다음 rator\00\00\00 XOR s1의 결과를 사용자 이름으로 하는 사용자 이름을 만들 수 있습니다. 이렇게 하면 E(m2 XOR s1 XOR 0)가 생성되어 s32가 됩니다.
이제 s32를 사용하여 전체 이름 Administrator의 서명으로 사용할 수 있습니다.
요약
사용자 이름 Administ(m1)의 서명인 s1을 얻으세요.
사용자 이름 rator\x00\x00\x00 XOR s1 XOR 0의 서명인 s32를 얻으세요.
쿠키를 s32로 설정하면 사용자 Administrator의 유효한 쿠키가 됩니다.
IV 제어 공격
사용된 IV를 제어할 수 있다면 공격은 매우 쉬워질 수 있습니다. 쿠키가 사용자 이름만 암호화된 경우 사용자 "administrator"를 흉내 내기 위해 사용자 "Administrator"를 만들면 해당 사용자의 쿠키를 얻을 수 있습니다. 이제 IV를 제어할 수 있다면 IV의 첫 번째 바이트를 변경하여 **IV[0] XOR "A" == IV'[0] XOR "a"**로 만들고 사용자 Administrator의 쿠키를 다시 생성할 수 있습니다. 이 쿠키는 초기 IV로 administrator 사용자를 흉내 내는 데 유효합니다.
참고 자료
자세한 내용은 https://en.wikipedia.org/wiki/CBC-MAC에서 확인하세요.
Last updated
