DSTC: DNS-based Strict TLS Configurations

Most TLS clients such as modern web browsers enforce coarse-grained TLS security configurations. They support legacy versions of the protocol that have known design weaknesses, and weak ciphersuites that provide fewer security guarantees (e.g. non Forward-Secrecy), mainly to provide backward compatibility. This opens doors to downgrade attacks, as is the case of the POODLE attack [18], which exploits the client's silent fallback to downgrade the protocol version to exploit the legacy version's flaws. To achieve a better balance between security and backward compatibility, we propose a DNS-based mechanism that enables TLS servers to advertise their support for the latest version of the protocol and strong ciphersuites (that provide Forward-Secrecy and Authenticated-Encryption simultaneously). This enables clients to consider prior knowledge about the servers' TLS configurations to enforce a fine-grained TLS configurations policy. That is, the client enforces strict TLS configurations for connections going to the advertising servers, while enforcing default configurations for the rest of the connections. We implement and evaluate the proposed mechanism and show that it is feasible, and incurs minimal overhead. Furthermore, we conduct a TLS scan for the top 10,000 most visited websites globally, and show that most of the websites can benefit from our mechanism

InviCloak: An End-to-End Approach to Privacy and Performance in Web Content Distribution

In today's web ecosystem, a website that uses a Content Delivery Network (CDN) shares its Transport Layer Security (TLS) private key or session key with the CDN. In this paper, we present the design and implementation of InviCloak, a system that protects the confidentiality and integrity of a user and a website's private communications without changing TLS or upgrading a CDN. InviCloak builds a lightweight but secure and practical key distribution mechanism using the existing DNS infrastructure to distribute a new public key associated with a website's domain name. A web client and a website can use the new key pair to build an encryption channel inside TLS. InviCloak accommodates the current web ecosystem. A website can deploy InviCloak unilaterally without a client's involvement to prevent a passive attacker inside a CDN from eavesdropping on their communications. If a client also installs InviCloak's browser extension, the client and the website can achieve end-to-end confidential and untampered communications in the presence of an active attacker inside a CDN. Our evaluation shows that InviCloak increases the median page load times (PLTs) of realistic web pages from 2.0s to 2.1s, which is smaller than the median PLTs (2.8s) of a state-of-the-art TEE-based solution

Secured access for web applications

Tato práce se zabývá zejména často zanedbávaných součástí zabezpečení každé webové aplikace, ale i bezpečným přístupem samotných uživatelů. Popisuje teoreticky i prakticky moderní techniky zabezpečení, na vytvořené webové aplikaci testuje a ukazuje možný způsob obrany. Dává návod na instalaci vlastního webového serveru.This thesis mainly concerns often neglected security part of each web application, but also secure access users themselves. Describes theoretically and practically modern security technology, on a web application being tested and shows a possible way of defense. Gives instructions for installing its own web server.

Konzeption einer elektronischen Studienplattform zur Durchführung umfangreicher internetbasierter Studien in der Psychosomatik am Beispiel SURE

Die vorgestellte Arbeit beschreibt die Konzeption einer elektronischen Studienplattform zur Durchführung umfangreicher internetbasierter Studien in der psychosomatischen Medizin. Als Anwendungsfall dient die SURE-Studie, in der die Schlüsselmethode, eine schneller zu erlernende Alternative zu etablierten Entspannungstechniken, untersucht werden soll. Zu diesem Zweck sollen mehrere tausend Teilnehmer aus Berufsgruppen mit hoher berufsbedingter, psychischer Belastung ausgewählt werden. Studienteilnehmer sollen zunächst über eine Onlineplattform die neue Entspannungstechnik per Videoanleitung erlernen. Anschließend soll über einen Beobachtungszeitraum von etwa einem Jahr der präventive Charakter der Entspannungsmethode zur Vermeidung stressbedingter Folgeerkrankungen untersucht werden. Im Wesentlichen setzt sich die Arbeit mit organisatorischen, rechtlichen, technischen und ökonomischen Problemen auseinander, die es zu lösen gilt, wenn sozialwissenschaftliche Studien auf elektronischem Weg durchgeführt werden. Analysiert wurden Hürden bei der Teilnehmerrekrutierung, der elektronischen Bereitstellung der Studienunterlagen sowie Erhebung der Daten unter Einhaltung gesetzlicher Rahmenbedingungen und nach Maßgaben der Good Clinical Practice. Es wurden häufig verwendete kostenfreie und kommerzielle Softwarewerkzeuge unter dem Aspekt des benötigten Funktionsumfangs, des Datenschutzes, von Ergonomie und nicht zuletzt ökonomischen Einschränkungen untersucht. Hierbei wurden auch in einschlägiger Literatur erwähnte Panels genauer betrachtet. Nachdem sich die großen, kommerziellen Panel-Lösungen aus Komplexitäts- und Kostengründen und die kostengünstigeren Cloud-basierten Varianten aus fehlender Skalierbarkeit, unzureichendem Funktionsumfang oder aus Datenschutzgründen für den geplanten Einsatz als untauglich erwiesen haben, erfolgte die Planung einer eigenen Onlineplattform. In der Konzeption wurden die Schwach- stellen bestehender Systeme berücksichtigt und eine Infrastruktur gemäß den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und den Anforderungen an das Bundesdatenschutzgesetz (BSDG) geplant. Die vielfältigen, sich hieraus ergebenden Teilprobleme wurden im Detail beleuchtet und technische Lösungsstrategien entwickelt. Für die praktische Umsetzung eines Prototypen der Onlineplattform wurde als Grundlage hierzu das quelloffene Lernmanagementsystem Moodle herangezogen und um die benötigten Funktionen erweitert. Durch die entwickelten Erweiterungen ist die Plattform in der Lage, Teilnehmer über individualisierte Startseiten (Landing-Pages) automatisch in Studiengruppen zu erfassen, zu pseudonymisieren, Studienunterlagen und Medien für konventionelle und mobile Endgeräte bereitzuhalten und Onlinebefragungen durchzuführen. Studien und Fragebögen können über eine Weboberfläche aus Vorlagen oder neu erstellt und verwaltet werden. Ein Exportieren der gewonnenen Daten erlaubt die Auswertung mit gewohnter Software. Als technischer Unterbau der Studienplattform wurde im Sinne einer Best Practice eine hochverfügbare technische Infrastruktur (HA-Cluster) aufgebaut, die in Punkto Sicherheit dem neusten Stand der Technik entspricht. Das Gesamtkonzept sieht vor, dass auch in Zukunft teilnehmerstarke Studien mit etlichen tausend Teilnehmern und ressourcenintensiven Anwendungen (z.B. dem Abspielen von Videoclips) möglich sind. Um die Tauglichkeit der Studienplattform für den geplanten Einsatz (SURE) zu überprüfen wurden Bedrohungsanalysen gemäß IT-Grundschutz, sowie Tests zur Messung der Leistungsfähigkeit des Systems (Benchmarks) durchgeführt. Die Testergebnisse zeigten, dass die erstellte Plattform auch mit einer Vielzahl gleichzeitiger Nutzer zurechtkommt und den meisten kommerziellen Angeboten insbesondere in Punkto Sicherheit überlegen ist. Letztlich bleibt das entworfene System die Praxiserfahrungen noch schuldig. Vor dem Einsatz in einer großangelegten Studie wie SURE, sollte die Plattform zunächst im Rahmen einer Teststudie in kleinerem Umfang erprobt und ihre Alltagstauglichkeit evaluiert, Wünsche von Anwendern aufgenommen, sowie umgesetzt und mögliche Fehler eradiziert werden. Nach erfolgreichem Test steht einer Umsetzung des Prototypen in ein Produktivsystem, gegebenenfalls mit Unterstützung von Fördermitteln, nichts mehr im Wege

Management Tools for DNS Registraries

Tato diplomová práce pojednává o registraci domén a s tím spojenými registračními systémy správců domén. Hlavní zaměření je na registraci domén přes registrátory, s čímž souvisí rozhraní pro registrátory registračních systémů. Součástí rozhraní pro registrátory je komunikační protokol EPP, který je v této práci podrobně popsán. Dále je zde uveden přehled volně dostupných registračních systémů. Po tomto přehledu se práce podrobněji zaměřuje na český registrační systém FRED, přesněji na část řešící komunikaci s registrátory. Součástí je i provedený malý průzkum mezi registrátory zaměřený na jejich řešení přístupu k registračnímu systému. Pro zjednodušení tohoto přístupu se tato práce dále věnuje implementaci klientské knihovny, která odstiňuje programátora od detailů komunikačního protokolu mezi registrátorem a registračním systémem a poskytuje rozhraní pro snadnou implementaci klienta pro systém FRED.This master's thesis deals with domain registration and related registration systems administrators domains. The main focus is on domain registration via registrars, which is connected with an interface for the registrars registration systems. A part of the interface for the registrars is EPP communication protocol, which is in the project described in detail. Furthermore, there is an overview of freely available registration systems. After this overview, the work focuses more on the czech registration system FRED, specifically the section solving communication with the registrars. A part of is a little research conducted among the registrars aimed at their solving access to the registration system. To facilitate this approach, this work focuses on the implementation of the client library that shield programmers from the details of the communication protocol between the registrar and the registration system and provides an interface for easy implementation of client for the FRED system.

Analysis and implementation of a security standard

This master's thesis describes the design and implementation of a security standard in a university research department. It has been developed in the framework of the ETSETB Master's Degree in Cybersecurity, in cooperation with the University of Barcelona. The work has consisted on several stages. First, an analysis of the vulnerabilities of the system has been performed. This diagnosis has been specially important, since the lack of cybersecurity protections in the department has lead to several hijacks and data losses throughout the years. Then, the report describes the application of all the security features that are considered essential in a company, covering as much elements as possible. Those include from devices' physical security, through software protection to employees training. The project will be mainly focused in the deployment of the main services found in an IT department with a brief cybersecurity training session for the employees at the end. The work developed in this master thesis will reinforce the security of all crucial services and will reduce the possibility of data loss

Lab of public key infrastructure

Cílem této práce je seznámit čtenáře se systémem PKI od jednotlivých dílčích stavebních prvků, kterými jsou především kryptografické operace (asymetrické a symetrické šifrování, hashovací funkce, digitální podpis), přes podrobný popis jednotlivých dílčích subjektů systému PKI (certifikační autority, certifikáty, bezpečnostní protokoly, bezpečná úložiště) až po popis kompletních řešení infrastruktury veřejných klíčů (OpenSSL, Microsft CA). Praktická část práce, tedy laboratorní úloha, studenty prakticky seznámí s metodou instalace certifikační autority postavené na systému OpenSSL, dále se zabezpečením webového serveru certifikátem vydaným vlastní CA a na závěr s možnostmi řízení přístupu uživatelů k webovému serveru prostředřednictvím certifikátů jim vydaným dříve nainstalovanou CA.The aim of this thesis is to study and describe the theme of Public Key Infrastructure (PKI). Within the scope of minute PKI characterization there is a gradual depiction of particular structural elements, which are above all represented by cryptographic operations (asymetric and symetric cryptography, hash function and digital signature); then, there are also individual PKI subjects that are dealt with, like eg. certification authority, certificates, security protocols, secure heap etc. Last but not least there are a few complete Public Key Infrastructure implementation solutions described (OpenSSL, Microsft CA). The practical part of the thesis, a lab exercise, gives potential students the knowledge of installing OpenSSL system based certification authority. The next task educate students how to secure web server with certificate signed with own CA and also how to secure web server users‘ access control through certificates signed by the previously installed CA.

A kilobit hidden SNFS discrete logarithm computation

We perform a special number field sieve discrete logarithm computation in a 1024-bit prime field. To our knowledge, this is the first kilobit-sized discrete logarithm computation ever reported for prime fields. This computation took a little over two months of calendar time on an academic cluster using the open-source CADO-NFS software. Our chosen prime $p$ looks random, and $p--1$ has a 160-bit prime factor, in line with recommended parameters for the Digital Signature Algorithm. However, our p has been trapdoored in such a way that the special number field sieve can be used to compute discrete logarithms in $\mathbb{F}\_p^*$ , yet detecting that p has this trapdoor seems out of reach. Twenty-five years ago, there was considerable controversy around the possibility of back-doored parameters for DSA. Our computations show that trapdoored primes are entirely feasible with current computing technology. We also describe special number field sieve discrete log computations carried out for multiple weak primes found in use in the wild. As can be expected from a trapdoor mechanism which we say is hard to detect, our research did not reveal any trapdoored prime in wide use. The only way for a user to defend against a hypothetical trapdoor of this kind is to require verifiably random primes