Analyzing use of cryptographic primitives by machine learning approaches – Mgr. Adam Janovský

Anotace:

Systémy, které implementují kryptografická primitiva a protokoly jsou neustále zlepšovány v mnoha ohledech. Jsou konstruována nová kryptografická primitiva, která nahrazují stárnoucí a slabá primitiva. Rovněž i implementace systémů jsou často předmětem auditu nebo dokonce standardizace. I přesto je možné prohlásit, že kryptografická komunita mnohokrát selhala při snaze implementovat bezpečné systémy, a často dokonce opakuje stále stejné chyby dokola. I v případě, že jsou systémy správně navrhnuty z hlediska kryptografie, jejich implementace programátory je z hlediska bezpečnosti neméně důležitá. Systémy často implementují programátoři neznalí bezpečnostního prostředí, kteří přehlížejí prvky pro bezpečnost podstatné. Zatímco jednotlivá selhání nám poskytují podněty k učení, bezpečnostní komunita musí usilovat o získání systematického povědomí o tom, kde systémy selhávají. V těchto tezích načrtneme plán systematické analýzy kryptografických primitiv ve třech souvisejících doménách: Zdrojích, které generují RSA klíče; v maligních aplikacích platformy Android; a v zařízeních podléhajících certifikaci rámce Common Criteria. V tezích diskutujeme relevantní literaturu k těmto doménám a presentujeme náš výzkumný plán. Mimo to pak teze uvádějí naše již dosažené výsledky, společně s úplným přepisem dvou již publikovaných článků. Cílem našeho výzkumu je poukázat na individuální selhání, odhalit slabá místa systémů; především však usilujeme o zvýšení povědomí o využití kryptografie ve studovaných doménách. …víceméně

Abstract:

Systems that employ cryptographic primitives and protocols are being improved continuously on a multitude of layers. Modern cryptographic primitives have been introduced that have been replacing the weak primitives. Also, the implementations of the systems get frequently audited or even standardized. Still, the security community has failed many times at implementing secure systems, often falling into known pitfalls, or even repeating the same patterns of mistakes. Even if the systems prove to be well designed by the security specialists, their implementation is no less important w.r.t. security. Often, developers untrained in security implement these systems, neglecting essential aspects of security. While individual failures give valuable lessons, the security community should strive to learn where the systems fail systematically. In this thesis proposal, a systematic analysis of usage of cryptographic primitives is outlined for three related domains: Sources of RSA keys, malicious Android applications, and security devices certified with Common Criteria framework. For each of the mentioned domains, the proposal reviews relevant literature and presents the research plan. In addition, some already achieved results are presented, together with a re-print of two selected publications. The objective of our research is to reveal individual vulnerabilities, to point to weak elements in the systems, but most importantly to raise the awereness of the security situation in the studied domains. …víceméně