277 research outputs found
On Security Analysis of Recent Password Authentication and Key Agreement Schemes Based on Elliptic Curve Cryptography
Secure and efficient mutual authentication and key agreement schemes form the basis for any robust network communication system. Elliptic Curve Cryptography (ECC) has emerged as one of the most successful Public Key Cryptosystem that efficiently meets all the security challenges. Comparison of ECC with other Public Key Cryptosystems (RSA, Rabin, ElGamal) shows that it provides equal level of security for a far smaller bit size, thereby substantially reducing the processing overhead. This makes it suitable for constrained environments like wireless networks and mobile devices as well as for security sensitive applications like electronic banking, financial transactions and smart grids. With the successful implementation of ECC in security applications (e-passports, e-IDs, embedded systems), it is getting widely commercialized. ECC is simple and faster and is therefore emerging as an attractive alternative for providing security in lightweight device, which contributes to its popularity in the present scenario. In this paper, we have analyzed some of the recent password based authentication and key agreement schemes using ECC for various environments. Furthermore, we have carried out security, functionality and performance comparisons of these schemes and found that they are unable to satisfy their claimed security goals
Elliptic Curve Cryptography Services for Mobile Operating Systems
Mobile devices as smartphones, tablets and laptops, are nowadays considered indispensable objects
by most people in developed countries. A s personal and work assistant s , some of th e s e
devices store , process and transmit sensitive and private data. Naturally , the number of mobile
applications with integrated cryptographic mechanisms or offering security services has been
significantly increasing in the last few years. Unfortunately, not all of those applications are secure
by design, while other may not implement the cryptographic primitives correctly. Even the
ones that implement them correctly may suffer from longevity problems, since cryptographic
primitives that are considered secure nowadays may become obsolete in the next few years.
Rivest, Shamir and Adleman (RSA) is an example of an widely used cryptosystem that may become
depleted shorty . While the security issues in the mobile computing environment may be of
median severity for casual users, they may be critical for several professional classes, namely
lawyers, journalists and law enforcement agents. As such, it is important to approach these
problems in a structured manner.
This master’s program is focused on the engineering and implementation of a mobile application
offering a series of security services. The application was engineered to be secure by design
for the Windows Phone 8.1 Operating System (OS) which, at the time of writing this dissertation,
was the platform with the most discreet offer in terms of applications of this type. The
application provides services such as secure exchange of a cryptographic secret, encryption and
digital signature of messages and files, management of contacts and encryption keys and secure
password generation and storage. Part of the cryptographic primitives used in this work
are from the Elliptic Curve Cryptography (ECC) theory, for which the discrete logarithm problem
is believed to be harder and key handling is easier. The library defining a series of curves
and containing the procedures and operations supporting the ECC primitives was implemented
from scratch, since there was none available, comprising one of the contributions of this work.
The work evolved from the analysis of the state-of-the-art to the requirements analysis and
software engineering phase, thoroughly described herein, ending up with the development of a
prototype. The engineering of the application included the definition of a trust model for the
exchange of public keys and the modeling of the supporting database.
The most visible outcomes of this master’s program are the fully working prototype of a mobile
application offering the aforementioned security services, the implementation of an ECC
library for the .NET framework, and this dissertation. The source code for the ECC library was
made available online on GitHub with the name ECCryptoLib [Ana15]. Its development and
improvement was mostly dominated by unit testing. The library and the mobile application
were developed in C?. The level of security offered by the application is guaranteed via the
orchestration and combination of state-of-the-art symmetric key cryptography algorithms, as the Advanced Encryption Standard (AES) and Secure Hash Algorithm 256 (SHA256) with the ECC
primitives. The generation of passwords is done by using several sensors and inputs as entropy
sources, which are fed to a cryptographically secure hash function. The passwords are stored in
an encrypted database, whose encryption key changes every time it is opened, obtained using
a Password-Based Key Derivation Function 2 (PBKDF2) from a master password. The trust model
for the public keys designed in the scope of this work is inspired in Pretty Good Privacy (PGP),
but granularity of the trust levels is larger.Dispositivos móveis como computadores portáteis, smartphones ou tablets, são, nos dias de
hoje, considerados objectos indispensáveis pela grande maioria das pessoas residentes em paÃses
desenvolvidos. Por serem utilizados como assistentes pessoais ou de trabalho, alguns destes
dispositivos guardam, processam e transmitem dados sensÃveis ou privados. Naturalmente,
o número de aplicações móveis com mecanismos criptográficos integrados ou que oferecem
serviços de segurança, tem vindo a aumentar de forma significativa nos últimos anos. Infelizmente,
nem todas as aplicações são seguras por construção, e outras podem não implementar
as primitivas criptográficas corretamente. Mesmo aquelas que as implementam corretamente
podem sofrer de problemas de longevidade, já que primitivas criptográficas que são hoje em dia
consideradas seguras podem tornar-se obsoletas nos próximos anos. O Rivest, Shamir and Adleman
(RSA) constitui um exemplo de um sistema criptográfico muito popular que se pode tornar
obsoleto a curto prazo. Enquanto que os problemas de segurança em ambientes de computação
móvel podem ser de média severidade para utilizadores casuais, estes são normalmente crÃticos
para várias classes profissionais, nomeadamente advogados, jornalistas e oficiais da justiça. É,
por isso, importante, abordar estes problemas de uma forma estruturada.
Este programa de mestrado foca-se na engenharia e implementação de uma aplicação móvel
que oferece uma série de serviços de segurança. A aplicação foi desenhada para ser segura por
construção para o sistema operativo Windows Phone 8.1 que, altura em que esta dissertação foi
escrita, era a plataforma com a oferta mais discreta em termos de aplicações deste tipo. A aplicação
fornece funcionalidades como trocar um segredo criptográfico entre duas entidades de
forma segura, cifra, decifra e assinatura digital de mensagens e ficheiros, gestão de contactos
e chaves de cifra, e geração e armazenamento seguro de palavras-passe. Parte das primitivas
criptográficas utilizadas neste trabalho fazem parte da teoria da criptografia em curvas elÃpticas,
para a qual se acredita que o problema do logaritmo discreto é de mais difÃcil resolução
e para o qual a manipulação de chaves é mais simples. A biblioteca que define uma série de
curvas, e contendo os procedimentos e operações que suportam as primitivas criptográficas, foi
totalmente implementada no âmbito deste trabalho, dado ainda não existir nenhuma disponÃvel
no seu inÃcio, compreendendo assim uma das suas contribuições. O trabalho evoluiu da análise
do estado da arte para o levantamento dos requisitos e para a fase de engenharia de software,
aqui descrita detalhadamente, culminando no desenvolvimento de um protótipo. A engenharia
da aplicação incluiu a definição de um sistema de confiança para troca de chaves públicas e
também modelação da base de dados de suporte.
Os resultados mais visÃveis deste programa de mestrado são o protótipo da aplicação móvel, completamente
funcional e disponibilizando as funcionalidades de segurança acima mencionadas,
a implementação de uma biblioteca Elliptic Curve Cryptography (ECC) para framework .NET, e esta dissertação. O código fonte com a implementação da biblioteca foi publicada online.
O seu desenvolvimento e melhoramento foi sobretudo dominado por testes unitários. A biblioteca
e a aplicação móvel foram desenvolvidas em C?. O nÃvel de segurança oferecido pela
aplicação é garantido através da orquestração e combinação de algoritmos da criptografia de
chave simétrica atuais, como o Advanced Encryption Standard (AES) e o Secure Hash Algorithm
256 (SHA256), com as primitivas ECC. A geração de palavras-passe é feita recorrendo utilizando
vários sensores e dispoitivos de entrada como fontes de entropia, que posteriormente são alimentadas
a uma função de hash criptográfica. As palavras-passe são guardadas numa base de
dados cifrada, cuja chave de cifra muda sempre que a base de dados é aberta, sendo obtida
através da aplicação de um Password-Based Key Derivation Function 2 (PBKDF2) a uma palavrapasse
mestre. O modelo de confiança para chaves públicas desenhado no âmbito deste trabalho
é inspirado no Pretty Good Privacy (PGP), mas a granularidade dos nÃveis de confiança é superior
Making Existing Software Quantum Safe: Lessons Learned
In the era of quantum computing, Shor's algorithm running on quantum
computers (QCs) can break asymmetric encryption algorithms that classical
computers essentially cannot. QCs, with the help of Grover's algorithm, can
also speed up the breaking of symmetric encryption algorithms. Though the exact
date when QCs will become "dangerous" for practical problems is unknown, the
consensus is that this future is near. Thus, one needs to start preparing for
the era of quantum advantage and ensure quantum safety proactively.
In this paper, we discuss the effect of quantum advantage on the existing
software systems and recap our seven-step roadmap, deemed 7E. The roadmap gives
developers a structured way to start preparing for the quantum advantage era.
We then report the results of a case study, which validates 7E. Our software
under study is the IBM Db2 database system, where we upgrade the existing
cryptographic schemes to post-quantum cryptography (using Kyber and Dilithium
schemes) and report our findings and learned lessons. The outcome of the study
shows that the 7E roadmap is effective in helping to plan the evolution of
existing software security features towards quantum safety
- …