Internet of Things : Exploring and Securing a Future Concept

Bude, Cristian, Kervefors Bergstrand, Andreas

January 2015

Internet of Things (IoT) is a concept that encompasses various objects and methods of communication to exchange information. Today IoT is more a descriptive term of a vision that everything should be connected to the internet. IoT will be fundamental in the future because the concept opens up opportunities for new services and new innovations. All objects will be connected and able to communicate with each other, while they operate in unprotected environments. This later aspect leads to major security challenges. Today, IoT is in great need of standardization and clear architectures that describe how this technology should be implemented and how IoT devices interact with each other in a secure manner. The security challenges are rooted in the technology and how information is acquired and manipulated by this technology. This thesis provides an introduction to what the IoT is and how it can be used as well as some of the threats that IoT may face in regards to information security. In addition, the thesis provides the reader with some suggestions about how to potentially solve the fundamental need for authentication and secure communications. The solutions presented are based on both contemporary solutions and technologies that are under development for the future. Contemporary solutions are based on security protocols such as IPSec and DTLS. These protocols are being used in an environment that extends across the Internet and into a 6LoWPAN network. The proposed authentication solution has been developed based on a public key infrastructure and trust models for certificate management. As future work, the thesis presents several research areas where this thesis can be used as a basis. These specialization areas include further analysis of vulnerabilities and an implementation of the proposed solutions. / Internet of Things (IoT) är ett koncept som omfattar olika objekt och kommunikationsmetoder för utbyte av information. Idag är IoT mer en beskrivande term av den framtidsvision som finns att allting ska vara uppkopplat på internet. IoT kommer vara fundamentalt i framtiden eftersom konceptet öppnar upp möjligheter för nya tjänster samt nya innovationer. Då alla objekt ska vara uppkopplade och kunna kommunicera med varandra samtidigt som de skall kunna operera i oskyddade miljöer, bidrar detta till stora säkerhetsutmaningar. Dagens IoT är i stort behov av standardisering och klara strukturer för hur tekniken ska implementeras samt samverka med varandra på ett säkert sätt.  Utmaningarna ligger i att säkra tekniken samt informationen som tekinken bidrar med. Denna rapport ger en introduktion till vad IoT är och hur det kan användas samt vilka hot som IoT kan möta i avseende till informationssäkerhet. Utöver detta så förser rapporten läsaren med förslag om hur man eventuellt kan lösa de fundamentala behoven av autentisering och säker kommunikation. Lösningarna som läggs fram är baserade på både nutida lösningar och teknik som är under utveckling inför framtiden. Nutida lösningar är baserade på säkerhetsprotokoll som IPsec och DTLS som används i en miljö som sträcker över internet och in i ett 6LoWPAN nätverk. Den autentiseringslösning som tagits fram grundar sig på PKI och förtroendemodeller för certifikathantering. För framtida arbete presenteras flertalet vidare fördjupningsområden där denna rapport kan användas som grund. Dessa fördjupningsområden inkluderar vidare analys av sårbarheter och implementation av de lösningar som tagits fram.

Internet of Things

IoT

information security

identification

authentication

secure communication

Internet of Things

IoT

informationssäkerhet

identifiering

autentisering

säker kommunikation

Communication Systems

Kommunikationssystem

Comparison of Methods of Single Sign-On : Post authentication methods in single sign on

Topal, Baran

January 2016

Single sign-on (SSO) is a session verification mechanism that allows a client to use a single password and name combination to be able to access multiple applications. The mechanism validates the client for all the applications and eliminates the need for authentication prompts when a user switches between applications within a session. SSO mechanisms can be classified as software versus hardware or customer-requirements oriented versus server-side arrangements. The five commonly used mechanisms of Single Sign-On currently are: Web Single Sign-On, Enterprise Single Sign-On, Kerberos (or Ticket/Token Authentication), Open ID, and Federation or Federated Identity. SSO has the main benefit of allowing a user to access many different systems without having to log on to each and every one of them separately. However, SSO introduces a security risk as once an attacker gains access to a single system, then the attacker has access to all of the systems. This thesis describes SSO technology, the Security Assertion Markup Language, and the advantages and risks involved in using SSO. It examines authentication mechanisms and their suitability for SSO integration. The main emphasis is a description of a mechanism that ameliorates some of the disadvantages of SSO by monitoring the user behavior with respect to a template. If a user performs actions that fit the defined template behavior, then the post authentication mechanism will not get activated. If, on the other hand, a user does something unforeseen, the mechanism will not perform authentication for this user, but rather trigger manual authentication. If this manual authentication succeeds, then the user will continue to interact with the system, otherwise user session will be ended. This behavior extension authentication mechanism is a method that eases the authentication process in which users are not expected to remember any username and password that can be forgotten easily or have a biometric attribute that can change over time. This method can be integrated to existing web application without a major risk and increase in cost. / Single sign-on (SSO) är en sessionkontrollmekanism som gör det möjligt för en kund att använda en ett enda par av lösenord och namn för att kunna få tillgång till flera olika program. Mekanismen validerar klienten för alla anrop och eliminerar behovet av ytterligare inloggningsdialoger när en användare växlar mellan program inom en session. SSO-mekanismer kan klassificeras enligt olika kriterier, såsom programvara kontra hårdvara eller kunder krav orienterade mot serversidan arrangemang. De fem vanligen använda mekanismerna för Single Sign-On är närvarande: Web Single Sign-On Enterprise Single Sign-On, Kerberos (eller Token autentisering), Open ID och Federation eller Federated Identity. SSO har den stora fördelen att en användare kan få tillgång till många olika system utan att behöva logga in på vart och ett av dem separat. Men SSO inför också en säkerhetsrisk i och med att tillgång till ett enda av systemen också automatiskt innebär tillgång till samtliga. Denna avhandling beskriver SSO-teknik, Security Assertion Markup Language, och fördelarna och riskerna med att använda SSO, samt undersöker autentiseringsmekanismer och deras lämplighet för SSO integration. Tyngdpunkten är en beskrivning av en mekanism som minskar några av nackdelarna med SSO genom att övervaka användarnas beteende med avseende på en mall. Om en användare utför åtgärder som passar det beteende som beskrivs av mallen, då den föreslagna mekanismen kommer att hantera autentiseringen automatiskt. Om, å andra sidan, en användare gör något oförutsett, kommer mekanismen inte att automatiskt utföra autentisering för den här användaren, utan utlöser manuellt autentisering. Om denna manuella autentiseringen lyckas, så kan användare fortsätta att fortsätta att interagera med systemet, annars kommer användarsessionen att avslutas. Denna beteendebaserade utvidgning av autentiseringsmekanismen är en lovande metod som minskar behovet av att komma ihåg många namn och lösenord, utan att lämna delsystem öppna till de säkerhetsproblem som uppstår i ren SSO, och utan att vara beroende av biometriska egenskaper som kan förändras över tiden. Denna metod kan integreras med befintliga webbaserade lösningar utan ökad risk och ökade kostnader.

SSO

Single sign-on

SAML

authentication

security

behavior

risk

SSO

Single sign-on

SAML

autentisering

säkerhet

beteende

risk

Communication Systems

Kommunikationssystem

Användares perspektiv på Single Sign On, biometri och lösenordshanterare

Ljungberg, Robert, Björnström, Ludvig

January 2022

Eftersom användningen av lösenord och behovet av skyddade konton alltjämt växer i dagenssamhälle växer också frågan om IT-säkerhet. Webbsidor och appar på mobilen kan krävainloggningar som skyddar den information som ligger där. Det finns många tillvägagångssättvid inloggning, egna lösenord som man memorerar har länge varit ett självklart sätt logga inpå. Detta skapar dock osäkerhet då lösenord ofta upprepas på flera olika webbplatser ellerkonton. Flera lösningar finns idag för detta, Single Sign On (SSO), biometri ochlösenordshanterare. Dessa inloggningsmetoder används alltmer, men av växlandeanledningar. Människor vill att saker ska gå fort och att det sker med högbekvämlighetsfaktor, samtidigt som de vill skydda sin information från attacker eller förlustav denna. Var går egentligen gränsen och hur spelar detta roll i valet avregistrerings/inloggningsmetod? Den låga svarsfrekvensen för denna studie innebär attresultaten i denna undersökning inte anses pålitliga. Detta är en kvantitativ studie somundersöker användares syn på Single Sign On och biometri som ett alternativ tilllösenordshanterare. Detta är en kvantitativ studie som undersöker användares syn på Single Sign On och biometrisom ett alternativ till lösenordshanterare.

password manager

Single Sign On

biometri

IT-säkerhet

autentisering

smidighet

lösenordshanterare

Information Systems, Social aspects

Comparison of blockchain e-wallet implementations

Eliasi, Behnam, Javdan, Arian

January 2019

With the rise of blockchain technology and cryptocurrency, secure e-wallets also become more important. But what makes an e-wallet secure? In this report, we compare different aspects of ewallets to see which alternatives are secure and convenient enough to be used.This report contains comparative analyses of different implementation for e-wallets. The problem area is divided into three smaller areas: Key storage, authentication, and recovery. These problem areas have defined criteria for what is considered good qualities in each respective area.The results show that for key storage, the best options are, Android’s keystore/IOS’ secure enclave, offline storage or a hybrid hot/cold storage. For authentication, the best alternatives proved to be BankID and local authentication through the phone’s OS. Good Recovery alternatives include recovery seeds that recover the whole e-wallet or using multiple keys for both signing and recovery.The proof of concept made for this project uses three different storage methods with the authentication methods for each one and with the possibility of recovery in case a key should be lost. The storage methods used are offline storage thought QR-codes, online storage with firebase and local storage with Android keystore or Secure enclave. Authentication is done with Facebook/Google sign in or local authentication. / Med blockkedja och kryptovalutornas ökande popularitet blir säkra e-plånböcker allt mer viktiga. Men vad gör en e-plånbok säker? I detta arbete ska olika implementationer för e-plånböcker undersökas för att se vilka alternativ som är tillräckligt säkra samt användarvänliga.Problemområdena delas upp i följande delar: nyckellagring, autentisering och återhämtning av stulen/förlorade nycklar. Arbetet innefattar jämförelser mellan olika lösningar till dessa områden med definierade jämförelsekriterier.Resultatet visar att för nyckellagring är de bästa alternativen Androids keystore system/IOS secure enclave som båda är en form av säker lagringsplats på telefonen, offline lagring och hybridlagring som enkelt förklarat är en tjänst som bevarar data offline och gör den online när användaren väl vill ha tillgång till datan. För autentisering är de bästa alternativen BankID och lokal autentisering genom telefonens operativsystem. För återhämtning av nycklar är de bästa alternativen recovery seed eller att använda multipla nycklar för både signering och återhämtning.En proof of concept gjordes där lagringsmetoderna papper (exempelvis QR-kod), online-lagring med Firebase och lokal lagring med Android keystore eller Secure enclave implementerats. Autentiseringen sker med hjälp av Facebook/Google login och lokal autentisering. Återhämtning görs med två utav tre nycklarna som används för både signering och återhämtning.

Blockchain

key storage

mobile payment

e-wallet

authentication

Blockkedja

nyckellagring

mobilbetalningar

e-plånbok

autentisering

Computer and Information Sciences

Data- och informationsvetenskap

Lösenordspolicy: En Balans Mellan Säkerhet och Användarvänlighet : Användarcentrerad utveckling av lösenordspolicyer för enklare hantering av lösenord / Password Policy: A Balance Between Security and Usability

Persson, Rasmus, Sylvan, Jonathan, Waenerlund, Edvin

January 2024

Lösenord är en av de vanligaste autentiseringsmetoderna idag men vid användning av lösenord så uppkommer det även utmaningar med hantering av lösenord. Till exempel när lösenordspolicyn kräver långa och komplexa lösenord har användare ofta svårt att komma ihåg sina lösenord och använder strategier för att memorera sina lösenord. Syftet med studien är att studera hur användarvänligheten kan förbättras i lösenordpolicyer. Studien beskriver utmaningar som användare upplever vid hantering av lösenord och lösenordspolicyn samt ansvarigas syn på en användarcentrerad utveckling av lösenordspolicyer. Detta har utförts genom semi-strukturerade intervjuer av anställda utan koppling till informationssäkerhetsarbetet samt ansvariga för informationssäkerhetspolicyn på svenska företag och organisationer. Studiens resultat visar att många anställda upplever utmaningar när det kommer till lösenordspolicyer. Den främsta utmaningen anställda upplever är återkommande lösenordsbyten som leder till att användare upplever att det blir svårare att komma ihåg sina lösenord. En del respondenter använder sig därför av riskfyllda strategier för att memorera sina lösenord. Merparten av ansvariga har en positiv syn till att involvera användare i utveckling av lösenordspolicyn eftersom det kan leda till förbättrad förståelse för policyn. Studiens slutsats visar att det finns förbättringspotential i lösenordspolicyer och bidrar med praktiska rekommendationer hur lösenordspolicyer kan förbättras ur en användarvänlighetssynpunkt som framställare kan använda vid utveckling av lösenordspolicyer. Andra användarvänliga rekommendationer föreslås i studiens slutsats för att underlätta hanteringen av lösenord för användare. Studien begränsar sitt omfång med att endast komma med praktiska rekommendationer kring hur lösenordspolicyer kan förbättras och inte hur en lösenordspolicy ska utformas i sin helhet. / Passwords are one the most common authentication methods today, but when using passwords, challenges also arise in password management. For example, when password policies require long and complex passwords, users often struggle to remember their passwords and resort to risky strategies to memorize them. The purpose of the study is to explore how usability can be improved in password policies. The study describes challenges that users face in password management and password policies, as well as the views of policy creators on user-centered development of password policies. The study has been conducted through semi-structured interviews with employees and the ones responsible for the password policy in Swedish companies and organizations. The results of the study show that many employees experience challenges with password policies. The primary challenge employees face is frequent password changes, which makes it harder for users to remember their passwords. Some respondents therefore use strategies to memorize their passwords. The majority of people responsible for the password policy have a positive view of involving users in the development of password policies because it can lead to improved understanding of the policy. The study concludes that there is room for improvement in password policies and provides practical recommendations on how password policies can be improved from a usability perspective that developers of password policies can use when developing password policies. Other usability recommendations are proposed in the study's conclusion to facilitate password management for users. The study limits its scope by only providing practical recommendations on how password policies can be improved, rather than how a password policy should be formulated in its entirety.

Password policy

User-centric

User-friendly

Passwordless authentication

Usability

Lösenordspolicy

Användarcentrerad

Användbarhet

Lösenordsfri autentisering

Användarvänlighet

Information Systems

Balancing Security and Efficiency in Isolated QR Code-Based Authentication Systems in Real Estate

Seeth, Axel, Fors, Robin

January 2024

Background. As the real estate sector increasingly integrates smart technology, the security of access control systems like QR code-based authentication needs rigorous enhancement. The prevalent use of QR codes in access management presents unique challenges in security and power efficiency, particularly in standalone systems that operate independently of continuous power sources. Objectives. This thesis aims to develop and explore a secure and efficient QR code-based authentication system tailored for real estate. It focuses on improving security measures against potential breaches and optimising power consumption to extend the lifespan of battery-operated devices. Methods. The research employs a mixed-methods approach, beginning with a comprehensive analysis of existing QR code-based systems to identify common vulnerabilities through threat modeling and a literature review. This is followed by the development of a security framework that addresses these vulnerabilities while considering hardware limitations. The performance of the suggested solution is evaluated. Lastly, a Proof of Concept (PoC) is implemented to validate the effectiveness of the proposed solutions under simulated real-world conditions. Results. The study successfully identifies multiple security vulnerabilities in current QR code systems and introduces a security model that mitigates these risks effectively. The implemented PoC demonstrates a improvement in security without compromising the power efficiency of the authentication system. Power consumption measurements indicate a balanced trade-off between system security and operational longevity. Conclusions. The thesis concludes that enhancing QR code-based authentication systems with a security framework can elevate the security level while maintaining efficient power use. This research contributes to the field by providing a scalable model for secure real estate management that can adapt to various operational environments and hardware configurations. / Bakgrund. I takt med att fastighetssektorn integrerar alltmer smart teknik behöver säkerheten för åtkomstkontrollsystem som använder QR-kodbaserad autentisering förbättras. Den utbredda användningen av QR-koder i åtkomsthantering innebär unika utmaningar för säkerhet och effektivitet, särskilt i fristående system som fungerar oberoende av kontinuerliga strömkällor. Syfte. Arbetet syftar till att utveckla och undersöka ett säkert och effektivt QR-kodbaserat autentiseringssystem anpassat för digitala fastigheter. Arbetet fokuserar på att förbättra säkerhetsåtgärder mot potentiella intrång och optimera energiförbrukning för att förlänga livslängden på batteridrivna enheter. Metod. Forskningen använder olika metoder som börjar med en analys av befintliga QR-kodsystem för att identifiera vanliga sårbarheter genom hotmodellering och en litteraturöversikt. Detta följs av utvecklingen av en säkerhetsram som adresserar dessa sårbarheter samtidigt som hårdvarubegränsningar tas i beaktande. Prestandan hos de föreslagna lösningarna utvärderas. Slutligen skapas en Proof of Concept (PoC) för att validera effektiviteten hos de föreslagna lösningarna under simulerade realistiska förhållanden. Resultat. Studien identifierar flera säkerhetssårbarheter i nuvarande QR-kodsystem och introducerar en säkerhetsmodell som minskar dessa risker. Den genomförda PoC:en visar en förbättring i säkerhet utan att kompromissa med energieffektiviteten i autentiseringssystemet. Mätningar av energiförbrukningen indikerar en balanserad avvägning mellan systemets säkerhet och operationell livslängd. Slutsatser. Arbetet drar slutsatsen att förbättring av QR-kodbaserade autentiseringssystem med ett säkerhetsramverk kan höja säkerhetsnivån samtidigt som effektiv energianvändning bibehålls. Denna forskning bidrar till området genom att tillhandahålla en skalbar modell för säker förvaltning av digitala fastigheter som kan anpassas till olika driftsmiljöer och hårdvarukonfigurationer.

Authentication

Cybersecurity

QR Code

Power Efficiency

Real Estate

Autentisering

Cybersäkerhet

Energieffektivitet

Fastigheter

QR-kod

Computer Systems

Datorsystem

Central autentisering för ett inbyggt system.

Emil, Söder

January 2018

Central autentisering är en metod som länge har använts för att på ett lätthanterligtsätt administrera användare till olika nätverksresurser såsom datorer, skrivare ochservrar. I en tid när många industrier uppgraderas och byggs ut för att möta nyakrav för att kunna nås från runt om i världen måste många system byggas om.Arbete genomförs tillsammans med HMS Industrial Networks AB och kommer attundersöka möjligheten att autentisera användare mot en inbyggd kontroll ochstyrenhet centralt istället för lokalt vilket det idag är. Teori kommer att blandas medegna experiment av möjliga implementeringar och slutligen utvärderas all fakta ochen slutsats presenteras. / Central authentication is a method that has been around a long time to manage users tovarious network resources, such as computers, printers, and servers. At a time whenmany industries are upgrading and expanding to meet new requirements to be accessedfrom around the world, many systems need to be rebuilt. The work will be donetogether with HMS Industrial Networks AB and will investigate the possibility ofauthenticating users against a built-in controller centrally instead of locally, as it istoday. Theory will be commingled with experiments of possible implementations andfinally evaluated with all the facts and a conclusion will be presented.

Authentication

Kerberos

LDAP

OAuth

CAS

Radius

Embedded

Autentisering

Kerberos

LDAP

OAuth

CAS

Radius

Embedded

Embedded Systems

Inbäddad systemteknik

Övrig annan teknik

Autentisering och Riskmedvetande : En studie om Lösenordshantering och Risktagande / Authentication and Risk Consciousness : A study on password management and risk taking

Håkansson, Daniel Clarke, Lundström, Markus

January 2018

Efter regelbundna diskussioner om huruvida autentisering med statiska lösenord är ett bra tillvägagångssätt växte en idé fram om att undersöka hur människor hanterar sina autentiseringsuppgifter. Detta arbete tar sig an uppgiften att kartlägga svagheter i samband med autentisering vad gäller metoden, samt människors säkerhetsmedvetande och risktagande. Under studien genomfördes en enkätundersökning där 100 personer med varierande ålder och sysselsättning svarade fullständigt. Vi frågade hur de värderar, skapar och hanterar lösenord. De svarande fick även ta ställning till ett antal påståenden, vad gäller deras säkerhetsmedvetande och risktagande i samband med autentisering.Resultatet från studien visar att en majoritet återanvänder lösenord i mycket hög grad. Det framkommer också att en övervägande majoritet använder sig av memorering som huvudsaklig teknik för hantering av lösenord. Resultatet visar även att de svarande i hög utsträckning tycker lösenordets komplexitet är viktigare än dess längd. Dessutom kände sig endast 22% av de svarande ej trygga med ett lösenord som är 8 tecken långt, vilket är en låg procentandel eftersom 8 tecken är för svagt idag. Ämnet är dock komplext, en kombination av längd och komplexitet är önskvärt för att skapa ett starkt lösenord, samtidigt som lösenorden skall vara unika för varje enskild tjänst. Att använda memorering som sin huvudsakliga metod är dessvärre i dessa fall ej applicerbart. En bättre strategi är att använda sig av exempelvis en lösenordshanterare eller att memorera en ramsa. Exempelvis ta förstabokstaven från varje ord i en mening, Min katt heter Glenn han har 3 ben Vit nos & Rött koppel vilket kan resultera i MkhGhh3bVn&Rk. En bra början för att förbättra sin lösenordshantering är att först och främst värdera sina autentiseringsuppgifter som värdefulla, läsa på om ämnet, samt därefter ta fram en egen strategi som är lämplig. / After regular discussions about whether authentication with static passwords is a good approach, an idea emerged to investigate how people handle their authentication credentials. This report tackles the task of mapping weaknesses associated with authentication regarding the method, as well as human security awareness and risk taking. During the study, a survey was conducted in which 100 people completely responded, all with varying age and employment. We asked how they value, create, and manage their passwords. The respondents were also tasked to take a position on a number of allegations, regarding their security awareness and risk-taking in connection with authentication.The result of the study shows that the majority reuse passwords to a very high extent. It also appears that a large majority uses memorization as the maintechnique for password management. The result also shows that respondents to a great extent think the complexity of the password is more important than its length. In addition, only 22% of respondents felt unsafe with a password that is 8 characters long, which is a low percentage since 8 characters are too weak today.Though the subject is complex, a combination of length and complexity is desirable to create a strong password. In addition to that the passwords must be unique to each service. Using memorization as its main method is unfortunately not applicable in these cases. A better strategy is to use, for example, a password manager or to generate a memorandum chant. For example, take the first letter of each word in one sentence, My cat is called Glenn he has 3 legs White nose & Redlink which can result in McicGhh3lWn&Rl. A good start to improve one’s password management is to firstly evaluate authentication credentials as valuable, read upon the subject, and then develop a strategy that is appropriate to one’s needs.

Authentication

Authorization

Security Consciousness

Password

Risk Detection

Identity

Identification

Compromise

Study

Survey

Autentisering

Auktorisering

Säkerhetsmedvetande

Lösenord

Risktagande

Identitet

Identifiering

Kompromettering

Studie

Enkät

Information Systems

En undersökning om end-to-end kryptering av SMS med hjälp av PKCS #1

Danielsson, Mikael

January 2020

In today’s society, especially after everything that was reported by Edward Snowden when he, during 2013, showed how USA’s NSA worked with global surveillance, there is a great need to keep communication secure. Se- cure both in such a way that the contents in messages are protected from unwanted parties as well as in such a way that messages’ authenticity can be verified. It’s just as important to know who one is communicating with as it is to know that no unauthorized person can read material not meant for them. We see more and more solutions like for instance Let’s Encrypt that offer free encryption for web traffic but when it actually comes to SMS traffic there aren’t as many effective options available. The purpose of this work is to develop a system to examine how one most effectively could treat SMS in a secure and authenticated fashion. The goal is to, contrary to many other solutions, not be dependent upon a third party but rather utilize the existing SMS protocol and to make sure that the con- tents is encrypted by use of public key cryptography. This leads to it being enough to use the application to be able to communicate securely as there would be no central server that could be closed down or in other ways af- fected to lessen the security of the communication. We also get a system that is much less dependent on mobile data and will thus become more flexible in areas where this can be costly or hard to reach. Beyond this a system for verification of external keys will be explored. Even if it, in case the user chooses to use it, will need access to mobile data, it could be a useful tool for authentication of communication with parties with whom one has not been in contact with before since they can publish their public key and then refer to it within the message. An example use case for this would be a gov- ernment needing to publish information to its citizens; then this key can be published on their web site so that anyone easily could verify it (the goal is to have this be done automatically during message retrieval). / I dagens samhälle, särskilt efter bland annat allt som rapporterades av Ed- ward Snowden när han under 2013 påvisade hur USAs NSA jobbade med global övervakning, är det av stor vikt av att kommunikation bör hållas säker. Säker både på så sätt att innehållet i meddelanden skyddas från oön- skade personer och på så sätt att meddelandens autenticitet kan styrkas. Det är minst lika viktigt att veta vem man kommunicerar med som att veta att ingen obehörig kan läsa material som inte är ämnat för dem. Vi ser fler och fler lösningar som till exempel Let’s Encrypt som erbjuder gratis kryptering av webbtrafik men när det gäller just SMS-trafik finns inte lika många och effektiva lösningar. Syftet med det här arbetet är att utveckla ett system för att undersöka hur man på bästa sätt skulle kunna behandla SMS på ett säkert och autentis- erat sätt. Målet är att, till skillnad mot många andra lösningar, inte vara beroende av en tredje part utan istället nyttja det befintliga SMS-protokollet men se till att innehållet är krypterat med hjälp av public key cryptography. Detta leder till att det räcker att använda applikationen för att kunna kom- municera säkert, det finns ingen central server som skulle kunna stängas ner eller på andra sätt påverkas för att försämra kommunikationens säker- het. Vi får också ett system som är mycket mindre beroende av mobildata och blir därför mer flexibelt i områden där dessa kan vara kostsamma eller svåråtkomliga. Utöver detta kommer ett system för extern autentisering av nycklar undersökas. Även om detta, om avsändaren väljer att utnyttja det, kommer att kräva tillgång till mobil datatrafik så skulle det vara ett nyttigt verktyg för att kunna autentisera kommunikation med personer som man aldrig tidigare varit kontakt med då dessa i så fall kan publicera sin nyckel online och sedan hänvisa till den i meddelandet. Exempel på användning för detta är om en myndighet behöver gå ut med information till medbor- garna; då kan denna nyckel publiceras på dess webbsida så att alla enkelt kan kontrollera den (målet är i så fall att detta skall ske automatiskt under hämtning av ett meddelande).

Android

Encryption

SMS

Public Key Cryptography

Key management

Authentication

Android

Kryptering

SMS

Public Key Kryptografi

Nyckelhantering

Autentisering

Computer Sciences

Datavetenskap (datalogi)

Utredning och impementation av säkerhetslösningar för publika API:er

Grahn, Kristoffer

January 2020

Examensarbetet går igenom vanliga säkerhetsrisker med publika API:er och ger information om IIS, Apache, Nginx, OAuth 2.0 och några av deras säkerhetsmoduler som kan implementeras. IIS och Apache har inbyggda hanteringsprocesser för att motverka ”Distributed-Denial-of-Service” (DDoS) attacker som jämförs med varandra utifrån analys av en befintlig rapport som testar två olika DDoS attacktyper. Säkerhetslösningarnas autentiseringsmoduler bryts ner i olika verifieringsprocesser, där det framkommer att verifieringsprocesserna har en gemensam svaghet mot ”Man-in-The-Middle” (MitM) attacker. Rapporten går in djupare hur man kan skydda sig mot MitM attacker med bra krypteringsprotokoll, ”Transport Layer Security” (TLS), samt undersöker den nyaste versionen TLS 1.3 / The thesis examines common security risks with public APIs and provides information about IIS, Apache, Nginx and OAuth 2.0 and some of the security modules they provide that can be implemented. IIS and Apache have builtin modules for handling Distributed-Denial-of-Service (DDoS) attacks that are compared against eachother through analyzing a existing report that tests two different DDoS attack types. The security solutions authentication modules are broken down into different types of verification processes, where it comes forth that the processes share a common security risk against Man-in-the-Middle (MitM) attacks. The report goes through how you can protect against MitM attacks with secure encryption protocols, Transport Layer Security (TLS), and analyzes the newest version TLS 1.3.

API

Security

IIS

Apache

Nginx

OAuth 2.0

Authentication

DDoS

TLS 1.3.

API

Datasäkerhet

IIS

Apache

Nginx

OAuth 2.0

Autentisering

DDoS

TLS 1.3. Abstract

Computer Sciences

Datavetenskap (datalogi)