Μελέτη ασφαλούς διαχείρισης συνθηματικών με τη χρήση τεχνικών secret sharing

Abstract

Η διπλωματική μου εργασία, έχει ως στόχο την δημιουργία ενός συστήματος ασφαλούς διαχείρισης κωδικών. Αρχικά, γίνεται μία έρευνα σχετικά με τις ευπάθειες που έχουν τα υπάρχοντα συστήματα διαχείρισης κωδικών, καθώς επίσης και στον τρόπο με τον οποίο θα μπορέσουν να αντιμετωπιστούν. Πιο συγκεκριμένα, γίνεται μία καταγραφή των ευπαθειών τόσο για τα ίδια τα συστήματα, όσο και για τις επεκτάσεις που έχουν δημιουργηθεί για να διευκολύνουν τους χρήστες στην διαχείριση των διαπιστευτηρίων τους. Ταυτόχρονα όμως, εκτός από την προστασία του ίδιου του συστήματος, θα πρέπει να παρέχω στους χρήστες προστασία όσον αφορά την ιδιωτικότητα τους αλλά και την εμπιστευτικότητα, την ακεραιότητα και την διαθεσιμότητα των δεδομένων τους. Για τον λόγο αυτό, χρησιμοποιήθηκε ο αλγόριθμος του Shamir’s Secret Sharing. Ο αλγόριθμος αυτός, δημιουργήθηκε με στόχο να προστατεύει τις ευαίσθητες πληροφορίες, και βασίζεται στη λογική κατά την οποία μία ευαίσθητη πληροφορία διασπάται σε n μέρη και μπορεί να ανακατασκευαστεί μόνο εάν κάποιος έχει στη διάθεση του k από αυτά. Λόγω του γεγονότος ότι ο αλγόριθμος μπορεί να διαχειρίζεται μόνο αριθμούς, ήταν απαραίτητο να δημιουργήσω συναρτήσεις όπου θα μετατρέπουν κάθε αλφαριθμητικό σε ένα σύνολο αριθμών και το αντίστροφο. Η εφαρμογή μου δίνει στους χρήστες την δυνατότητα να εισάγουν, να διαγράψουν, να αλλάξουν και να ανακτήσουν τα διαπιστευτήρια τους. Επομένως, όταν ο χρήστης εισάγει τους κωδικούς του παράγονται πέντε μοναδικά μέρη, τα οποία αποθηκεύονται σε ξεχωριστή βάση δεδομένων. Ταυτόχρονα, κατά την ανακατασκευή της πληροφορίας, το σύστημα επιλέγει τυχαία τρία μοναδικά μέρη και την ανακατασκευάζει. Επίσης, μέσω του αλγορίθμου αυτού παρέχω στον χρήστη ένα είδος redundancy, αφού δεν χρειάζονται όλα τα μέρη για την ανάκτηση της παρά μόνο ένα μέρος από αυτά. Έτσι ακόμα και αν χαθεί κάποιο από τα επιλεγμένα μέρη, μπορεί να αντικατασταθεί με κάποιο από τα μη επιλεγμένα και έτσι να ανακατασκευαστεί η πληροφορία. Έπειτα από την δημιουργία του συστήματος μου, έπρεπε να προβώ σε ελέγχους όσον αφορά την ασφάλεια του συστήματος. Για το λόγο αυτό, χρησιμοποίησα ένα δωρεάν πρόγραμμα ανίχνευσης πιθανών επιθέσεων ώστε να καταγράψω τις ευπάθειες του συστήματος μου. Ακόμη, πραγματοποίησα ενέργειες για την αντιμετώπιση των ευπαθειών όπου το σύστημα μου ήταν επιρρεπές έτσι ώστε να καταστεί ασφαλές. Τέλος, για την ενίσχυση της ασφάλειας βασίστηκα στις προτεινόμενες λύσης που παρέχει ο OWASP.

Nowadays, people keep accounts on several websites. This fact generates the need for a system that the users will manage their credentials. However, when these systems were developed, no one provided explanations about how these systems process user's data. As a result, researchers checked each password manager in order to find vulnerabilities. What they found was that especially the web-based password managers were vulnerable against attacks such as XSS and CSRF. The main threat was user's password exfiltration, as a result the systems should protect their users from this threat. Taking into consideration all of these, I decided to develop a password manager that will provide protection to both user's privacy and information's confidentiality, integrity, and availability. To accomplish these requirements, I used Shamir's Secret Sharing Scheme. Shamir's Secret Sharing is a cryptographic algorithm which divide an information into k unique parts and reconstruct this information by using n of these. At the same time, my application provides user's redundancy with the use of this algorithm, as even if a selected part is missing, it will be replaced by one of the non-selected. On the other hand, I had to create two functions, one for encoding a string into numbers and another one for the opposite procedure, because Shamir's Secret Sharing algorithm can manage only numbers. My password manager gives users the ability to insert, alter, delete and retrieve their credentials. So, when a user inserts a credential for a website, Shamir's Secret Sharing algorithm is used for sharing information into five parts. Each one of these parts is saved in a separate database. For the reconstruction, the password manager chooses randomly three sharing parts and calculates the requested information. After the implementation of my application, I scanned my website for possible attacks in order to eliminate each vulnerability and enhance my website's security. After the scan, I had to mitigate each vulnerability and fortify my website against the identified attacks. I used OWASP suggested mitigation techniques to enhance my website’s security, in order to provide a safe online password's vault and a safe way for one to managing his/her credentials.