ICE1212 Introduction to Information Security

Tuesday and Thursday, 9:00 ~ 12:00 / L301, Lecture Wing, KAIST-ICC

Click here to download a syllabus file. It includes a course description, references, grading procedure, and course schedule.

Instructor: Prof. Kwangjo Kim (Instructor's webpage)

Teaching Assistant: Zeen Kim (zeenkim@gmail.com)

• Office hour: Thursday 13:00-14:00 (Room R503, Research Wing) or by an appointment

Final Exam: 2009년 8월 3일 월요일 오후 1시, 강의동 L301호

Quiz (아래의 퀴즈 문제만(!) 참고하시오)

• Describe why authentication is necessary in RFID system? (RFID/WSN 슬라이드 참고)
• RFID 기술에 대해 보안이 적용되어야 하는 이유는 다음 그림을 봄으로써 체크해볼 수 있습니다.
• 그림의 파란 양복을 입고 있는 사람을 보면 RFID 태그가 붙어 있는 많은 아이템을 소유하고 있습니다.
• 예를 들어 이 사람의 가발, 품속의 지갑, 가방 안의 책 등에는 RFID 태그가 붙어 있어 RFID 리더가 이 사람을 리딩한다면 이 사람은 대머리이고 가방 안의 책은 자본 및 공산주의이고 쇼핑백 안에는 30여 점의 란제리가 담겨있다는 것을 알 수 있습니다. 이 그림에서 볼 수 있듯이 RFID 기술은 첫 번째 보안 문제점은 치명적인 프라이버시 문제입니다.
• 둘째로 태그의 인증이 중요한 보안 이슈입니다. 파란 양복의 사람이 가지고 있는 500 유로 또한 RFID 태그로 태깅되어 사용되게 됩니다. 하지만 그가 500유로라는 정보를 담은 태그를 위조하여 수백, 수천 유로의 정보를 가지고 있는 태그를 만들어 낸다면 심각한 보안 문제가 발생하게 되겠죠? 그가 만들어 낸 위조 태그가 정당한 태그가 아니라고 확인하는 과정이 인증 과정이 되겠습니다. 인증은 태그가 처음 제작되었을 때 백엔드 서버와 태그가 공유하는 정보를 이용하여 바른 태그라는 것을 확인하는 과정입니다. 위조로 만들어진 복제 태그는 이러한 정보를 가지고 있지 않기 때문에 정당하게 인증 받을 수 없겠죠. 이외에도 세부적으로 보면 도청, 물리적 공격, 데이터 손실 공격 등 많은 보안 취약점 들이 존재하고 있습니다.
• State three security requirements mentioned in this lecture and describe briefly why those requirements should be fulfilled (RFID/WSN 슬라이드 참고)
• 수백 수천 개의 센서 노드들이 모니터링하고자 하는 목표지에 배치되고, 기지국은 센서 노드들의 통신을 통하여 환경 정보를 모니터링하고자 할때 첫째로 요구되어지는 보안 사항은 기밀성입니다. 센서들이 모니터링한 데이터들은 외부의 공격자들에 의해 도청 당하여 그대로 빼앗길 수 있다. 그렇기 때문에 암호화 등의 방법을 통하여 기밀성이 보장되어야 한다. 둘째로 데이터의 무결성이 보장되어야 합니다. 센서들에 의해 수집된 데이터는 공격자에 의해 변조되지 않았다는 것을 보장 받아야 합니다. 셋째로 센서는 항상 정상적으로 작동해야 하므로 가용성이 보장되어야 합니다. 그외에도 서비스 거부 공격, Sybil attack, Hello flood attack등의 센서 네트워크에 대한 다양한 공격들이 존재하고 이를 막는 것이 센서 네트워크 보안의 목표가 되겠습니다.
• Context-aware / invisibility / heterogeneous 를 활용해 Ubiquitous 컴퓨팅 환경에 대해 정의하시오.
• 유비쿼터스는 사람 중심의 컴퓨팅 환경을 이루기 위해 invisibility가 제공되어야 하며, 이를 위해서는 사용자의 상황에 맞게 적절한 서비스를 제공해 주는 context-aware가 필요하다. 또한, 다양한 단말이 사용되기 때문에 heterogeneous가 제공된다.
• Ubiquitous 컴퓨팅 환경에서 인증서버 및 directory는 왜 필요한가?
• 인증서버는 사용자의 프라이버시를 제공해 주면서도 서비스 제공자에게 개별 사용자를 인증해 주기 위해 필요하다.
• Directory 서버는 Service Discovery Protocol에서 확장성 및 trust management를 용이하게 해준다.
• 비밀키 암호에서 공개키 암호로, 공개키 암호에서 ID 기반 암호를 생각하게 된 까닭은?
• 비밀키 암호는 통신사용자간 사전에 안전하게 공유된 키가 존재해야 한다. 사용자가 늘어남에 따라 이러한 키의 가지수는 매우 커진다. (n C 2 개) 이들에 대한 효과적 관리를 위해 공개키 암호를 설계하게 되었다.
• 공개키 암호는 비밀키 암호의 키관리 문제를 효과적으로 해결했으나, 인증기관에 대한 신뢰문제, 인증구조 및 인증서 관리에 막대한 비용이 들어간다. 이를 극복하기 위해 인증서가 필요없는 ID기반 암호를 생각하게 되었다.
• 왜 증명가능 안전성이 중요한가?
• 암호는 설계-공격-보완-공격 등을 계속해서 거친다. 만약 암호의 안전성에 대한 논리적 증명이 결여되어 있다면, 공격당하지 않은 암호의 안전성이 좋다는 것을 보장할 어떤 근거도 없다. 다만, 해당 암호는 아직까지 공격된 바가 없을 뿐인 것이다. 현대의 암호는 이러한 암호시스템의 안전성을 복잡도이론과 계산이론의 방식을 활용하여 안전성을 증명하고 있다.
• USIM의 주요 2가지 특징은?
• (안전한) 저장 공간
• (효율적) 연산 능력
• 미래 이동통신 환경의 주요 변화 3가지는?
• 스마트폰 도입
• FMC (유무선 융합) 환경
• 앱 스토어 도입

Course Schedule:

2009-06-16		Overview, Basic Number Theory (Slide)
2009-06-18		Classical Ciphers (Slides)
2009-06-23		Encryptions (Slides)
2009-06-25		Digital Signatures (Slides)
2009-06-30		Hash Functions (Slides)
2009-07-02		Other Cryptographic Primitives (Slides)
2009-07-14		Special Talk : RFID/WSN Security (Slides)
2009-07-16		Special Talk : Ubiquitous computing environment and its security (Slides)
2009-07-21		Special Talk : ID based cryptography and Provable Security (Slides)
2009-07-23		Special Talk : Mobile Phone Security (Slides)
2009-07-28		Special Talk : 전자정부 보안과 정보보호 5개년 계획
2009-07-30		Special Talk : 인터넷 침해사고 대응