Dois pesos, duas medidas : gerenciamento de identidades orientado a desafios adaptativos para contenção de Sybils. / TwoWeights and two measures: using adaptive puzzles in identity management for sybil contention

Mauch, Gustavo Huff

January 2010

O ataque Sybil consiste na criação indiscriminada de identidades forjadas por um usuário malicioso (atacante). Uma abordagem promissora para mitigar esse ataque consiste em conceder novas identidades mediante a resolução de desafios computacionais. Apesar de suas potencialidades, as soluções baseadas em tal abordagem não distinguem solicitações de usuários corretos das de atacantes, fazendo com que ambos paguem o mesmo preço por identidade solicitada. Por conta disso, essas soluções podem não ser efetivas quando os recursos computacionais dos atacantes são muito superiores aos que os usuários legítimos dispõem. Assumindo desafios de uma determinada dificuldade, atacantes com hardware de maior capacidade conseguiriam resolver um conjunto muito superior de desafios e, com isso, obter um número elevado de identidades. Aumentar uniformemente a dificuldade dos desafios poderia, no outro extremo, tornar proibitivo o ingresso de pares a rede. Para lidar com esse problema, nesta dissertação propi5e-se o use de desafios adaptativos como limitante a disseminação de Sybils. Estima-se um grau de confiança da fonte de onde partem as solicitações de identidade em relação as demais. Quanto maior a frequência de solicitação de identidades, menor o grau de confiança e, consequentemente, maior a complexidade do desafio a ser resolvido pelo(s) usuário(s) associado(s) Aquela fonte. Resultados obtidos por meio de experimentação mostram a capacidade da solução de atribuir desafios mais complexos a potenciais atacantes, penalizando minimamente usuários legítimos. / The Sybil attack consists on the indiscriminate creation of counterfeit identities by a malicious user (attacker). An effective approach to tackle such attack consists of establishing computational puzzles to be solved prior to granting new identities. Despite its potentialities, solutions based on such approach do not distinguish between identity requests from correct users and attackers, and thus require both to afford the same cost per identity requested. Therefore, those approaches may not be effective when the attacker's computational resources are superior than those used by correct users. Assuming any choice of puzzle hardness, attackers that have access to high-performance computing resources will be able to solve puzzles several order of magnitude faster than legitimate users and thus obtain a large amount of identities. On the other way, raising the cost to solve the puzzles could restrict legitimate users too much. To tackle this problem, in this paper we propose the use of adaptive computational puzzles to limit the spread of Sybils. We estimate a trust score of the source of identity requests in regard to the behavior of others. The higher the frequency a source requests identities, the lower its trust score and, consequently, the higher the complexity of the puzzle to be solved by the user(s) associated to that source. Results achieved by means of an experimental evaluation evidence our solution's ability to establish more complex puzzles to potential attackers, while minimally penalizing legitimate users.

Seguranca : Computadores

Redes : Computadores

Redes P2P

Criptografia : Comunicacao : Dados

Peer-to-peer networks

Authentication

Identity management

Mecanismo de autenticidade na contratação via internet / João Fábio de Oliveira ; Cinthia Obladen de Almendra Freitas ; co-orientadores, Altair Olivo Santin, Antônio Carlos Efing

Oliveira, João Fábio de

January 2009

Dissertação (mestrado) - Pontifícia Universidade Católica do Paraná, Curitiba, 2009 / Bibliografia: f. 75-78 / Este trabalho apresenta um estudo sobre os problemas de segurança nas transações de contratação realizadas na Internet apresentados em Garfinkel (1997) e propõe um método de verificação de autenticidade aplicado nestas contratações, definida como um mecan / This proposal discusses the security problems on the contracts hired by Internet and describes an authenticity mechanism that will keep log files from the activities during the Web hiring, throughout the process of recruitment. These log files will be sto

004 20

Informática Dissertações

Computadores Medidas de segurança

Criptografia de dados (Computação)

Autenticação (Documentos)

Internet

Auditoria unificada em módulos de segurança criptográfica

Bereza Júnior, André

January 2013

Dissertação (mestrado) - Universidade Federal de Santa Catarina, Centro Tecnológico, Programa de Pós-Graduação em Ciência da Computação, Florianópolis, 2013 / Made available in DSpace on 2013-12-06T00:07:27Z (GMT). No. of bitstreams: 1 317553.pdf: 529488 bytes, checksum: 3e4559e39afd7af7a250df5c569f04fc (MD5) Previous issue date: 2013 / Este trabalho tem como objetivo tornar a detecção da causa de ataques em HSMs uma informação de conhecimento dos proprietários de um dispositivo, sem que essa informação seja perdida. A auditoria e detecção de como um ataque ocorreu em um HSM não pode ser algo que se perde durante o ciclo de vida de um HSM.A proposta deste trabalho é unificar a auditoria de HSMs, para que um ataque que ocorreu no dispositivo possa ser detectado em qualquer momento do seu ciclo de vida. É necessário que o proprietário do HSM saiba que ataque ocorreu, quando ocorreu e quem executou o ataque.Para atingir este objetivo foi realizada a leitura do ciclo de vida de um HSM, apresentando as suas etapas. A partir de cada etapa do ciclo de vida é possível gerar rastros de auditoria, que podem ser utilizados a qualquer momento em um processo de auditoria.Para que os rastros de auditoria sejam gerados em HSMs e para que a auditoria unificada seja um padrão entre dispositivos, é necessário adequar as normas de homologação e padronização de HSMs para garantir a interoperabilidade entre os dispositivos. Este trabalho apresenta formas de se adequar as normas FIPS 140-2 e MCT 7 para que HSMs homologados sob essas normas possuam funcionalidades capazes de gerar rastros de auditoria.<br> / Abstract: The objective of this work is to make the cause of attacks an information that the HSM's owners will have access, without losing this information. The audit and detection of how an attack occurred in an HSM cannot lose itself during an HSM life-cycle. This work proposal is to unify the HSM audit, so that an attack that happened in the device can be detected in any moment of its life-cycle. The HSM owner needs to know that the attack happened, when it happened and who executed it. To achieve this objetive, the HSM life-cycle is presented with its stages. From every life-cycle stage it is possible to generate audit traces, that can be used at any momento in an audit process. To make sure that the audit traces are generated in HSMs and that the uni_ed audit is an standard in those devices, it is necessary to adapt the evaluation standards to guarantee the interoperability between those devices. This work presents ways of adapting the FIPS 140-2 and MCT 7 standards, so that the HSMs that are evaluated by these standards have functions that allow them to generate audit traces. Keywords: HSM, Hardware Security Module, Audit

Informatica

Computação

Assinaturas digitais

Sistemas de segurança

Criptografia de dados (Computação)

Medidas de segurança

Denúncia anônima segura

Lopes, Fernando Cézar de Oliveira

January 2003

Dissertação (mestrado) - Universidade Federal de Santa Catarina, Centro Tecnológico. Programa de Pós-Graduação em Ciência da Computação. / Made available in DSpace on 2012-10-20T10:17:42Z (GMT). No. of bitstreams: 1 193028.pdf: 2682887 bytes, checksum: 7341600ed85a85f4ea2fdbefa9bd6f2b (MD5) / Este trabalho propõe vários protocolos criptográficos para o envio de mensagens anônimas com a possibilidade da revelação da identidade do emissor num determinado período de tempo no futuro. Todos os protocolos são analisados em relação a uma lista de requisitos de segurança que os mesmos devem atender. Finalmente foi desenvolvido um sistema para a denúncia anônima segura na Web.

Informatica

Ciência da computação

Criptografia de dados (Computação)

Criptografia

Autenticacao

Comunicação em grupo (Computação)

Sigilo

ECN: protocolo criptográfico para emissão de certidões de nascimento na internet

Dantas, Laurentino Augusto

January 2001

Dissertação (mestrado) - Univesidade Federal de Santa Catarina, Centro Tecnológico. Programa de Pós-Graduação em Ciência da Computação. / Made available in DSpace on 2012-10-18T14:13:40Z (GMT). No. of bitstreams: 1 199825.pdf: 1671550 bytes, checksum: 2bf8ae7aa32df2a1ed659a8c21bd0d5c (MD5) / A presente dissertação apresenta o protocolo Emissão de Certidão de Nascimento -ECN, um protocolo criptográfico para a Emissão de Certidão de Nascimento através da Internet. O objetivo é a incorporação de novas tecnologias ao processo atual de registro de nascimentos, tornando-o mais eficiente, menos dispendioso, mais seguro e direto, haja vista que poupará intermediários entre a comunicação do nascimento, pela maternidade, e sua oficialização, pelo cartório. O Protocolo aqui proposto foi alcançado a partir de estudos sobre o atual sistema de Registro de Nascimento, desde a Maternidade até o agente de Registro Civil, além da revisão bibliográfica acerca da Criptografia e levantamento dos aspectos jurídicos que regem os documentos eletrônicos e a assinatura eletrônica no Brasil. A formalização do protocolo deu-se através do uso de Redes de Petri, as quais possibilitaram uma análise detalhada e individual de todas as etapas do processo, além de gerar um modelo gráfico de fácil entendimento, o que pode ser averiguado no protótipo onde o ECN foi implementado, comprovando sua eficiência e simplicidade. Não cabe aqui uma análise social, porém é sabido que em muitos desses "lugares distantes", são incontáveis os brasileiros que não alcançam sua cidadania e, conseqüentemente seus direitos constitucionais, pela falta de acesso ao Registro Civil. São brasileiros que nascem e morrem desconhecidos. E essa situação precisa ser modificada. Esperamos estar contribuindo para tanto. Além disto, a presente dissertação não tem a pretensão de encerrar o assunto mas, sim, contribuir para futuros projetos que permitirão que documentos oficiais possam ser solicitados e recebidos via Internet, até mesmo pelas comunidades mais distantes.

Informatica

Ciência da computação

Registro civil

Criptografia de dados (Computação)

Internet (Redes de computadores)

Medidas de segurança

Um arcabouço para resiliência de sistemas em rede por conformação de agrupamentos

Macedo, Ricardo Tombesi

January 2016

Orientador : Profa. Dra. Michele Nogueira / Coorientador : Prof. Dr. Yacine Ghamri-Doudane / Tese (doutorado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa: Curitiba,01/07/2016 / Inclui referências : f.138-155 / Resumo: Atualmente, o advento dos sistemas em rede de larga escala, tais como os Sistemas de Gerenciamento de Identidades (SGIs) e as redes definidas por software (do inglês, Software- Defined Networks - SDNs), tem contribuído para a evolução tecnológica ao simplificar o gerenciamento de usuários e dispositivos de rede, No entanto, estes sistemas são propensos a ataques de negação de serviço distribuídos, do inglês Distributed Denial-of-Service (DDoS), capazes de comprometer a disponibilidade destes sistemas e prejudicar usuários legítimos. As principais abordagens contra os ataques DDoS existentes na literatura se baseiam na utilizacao de recursos externos (replicação) ou na sua detecção. Enquanto a primeira abordagem incrementa o custo das soluções, a segunda e suscetível a altas taxas de detecções imprecisas. Neste trabalho, defende-se a tese de que os componentes dos sistemas em rede podem se organizar em grupos para tornar os serviços essenciais prestados por estes sistemas resilientes a ataques DDoS, A fim de averiguar a viabilidade da tese, um arcabouço de três módulos, sobrevivência, colaboração e avaliação, foi concebido como referencia para o projeto de sistemas que seguem as idéias defendidas neste trabalho, A partir deste arcabouço, o tempo de vida dos sistemas em rede aumenta sem a necessidade de empregar recursos externos, Alem disto, o processo de mitigação inicia quando a utilização dos principais recursos afetados pelo ataque ultrapassa um limite preestabelecido, dispensando a detecção do ataque através do trafego de rede. Empregando este arcabouço são apresentados um esquema para mitigação de ataques DDoS em SGIs e um protocolo para mitigação dos ataques DDoS em redes SDN, As avaliacoes de desempenho por experimentos e por simulações baseadas em traços mostram uma melhora da utilização do hardware dos sistemas em rede, incrementa a vazão e diminui a latência dos serviços essenciais destes sistemas. Palavras-chave: Sistemas de gerenciamento de identidades, Redes definidas por software, Ataques DDoS, Conformação de sistemas em agrupamentos. / Abstract: Recently, the advent of large scale networked systems, such as Identity management (IdM) systems and software defined networks (SDN), has contributed to the technological evolution by simplifying the management of users and network devices. However, these authorities become potential target of Distributed Denial-of-Serviees (DDoS) attacks able to compromise the availability of these systems and harm legitimate users. The main approaches against DDoS attacks in the literature are based on either the application of external resources (replication) or on the DDoS attacks detection. The first approach increases the solutions cost, and in general the second one is prone to high rates of inaccurate detections. In this work, it is advocated the thesis that the networked systems components can be self-organized into clusters in order to become the essential services provided through these systems resilient to DDoS attacks. In order to investigate the viability of the thesis, a framework comprising three modules, survival, collaboration, and analysis, was designed as a reference to project systems that follow the ideas defended in this work. Through this framework, the networked systems life time can be extend without employ external computer resources. Moreover, the mitigation process starts when the usage of the main affected system resources by the attacks overcome a pre-established limit, dispensing the attack detection through the network analysis. Employing this framework is presented a schema to mitigate DDoS attacks over IdM systems and a protocol to mitigate DDoS attacks against SDN, Performance evaluations by experiments and trace based simulations show the improvement of the networked systems hardware utilization, increasing the throughput and decreasing the latency of its essential services, Key-words: Identity management systems, Software defined networks, DDoS attacks, Conformations of systems into clusters.

Ciência da computação

Redes de computadores

Computadores - Medidas de segurança

Criptografia de dados (Computação)

Teses

Inserção e extração de marca d'água em imagens digitais usando a transformada wavelet

Silva, Jaqueline Ferreira da [UNESP]

21 February 2014

Made available in DSpace on 2015-05-14T16:53:27Z (GMT). No. of bitstreams: 0 Previous issue date: 2014-02-21Bitstream added on 2015-05-14T16:58:49Z : No. of bitstreams: 1 000823589.pdf: 3608264 bytes, checksum: 16824dec9ca011f93dd04341a4c83f21 (MD5) / O crescente uso de arquivos digitais, que circulam nos meios de comunicação, leva o usuário a recorrer a técnicas de segurança contra manipulações indevidas. A marca d’água é considerada uma informação adicional que pode garantir a segurança, além de detectar e localizar alterações numa imagem marcada de acordo com o algoritmo criptográfico empregado. Em geral, sinais digitais como imagens são arquivos vulneráveis a manipulações maliciosas devido ao meio em que circulam. A manutenção da integridade e autenticidade de uma imagem pode ser obtida através de marcas d’água digitais. Em termos criptográficos, a marca d’água inserida na imagem hospedeira deve ser a mais compacta possível e seu processamento deve ser eficaz. Após um levantamento teórico sobre a aplicação da marca d’água em imagens e, posteriormente, uma análise dos principais métodos de inserção, extração e verificação de marca d’água, embasado nos métodos que apresentaram melhores desempenhos, apresenta-se neste trabalho, um método de inserção, extração e verificação de marca d’água. O método proposto, implementado no domínio wavelet, juntamente com manipulações matriciais simples empregadas na criptografia, e tem como objetivo fornecer uma marca d’água robusta diante de vários tipos de ataques digitais. O método permite inserir a marca d’água sem prejudicar a qualidade visual da imagem hospedeira e, após os ataques, extraí-la com sucesso, apresentando correlação satisfatória entre a marca d’água inserida e a extraída. Os programas de processamento de imagens, usando Transformada Wavelet e dos métodos de inserção, extração e verificação, foram desenvolvidos no ambiente do MATLAB ® . Para a verificação da eficiência do método proposto, formam realizados experimentos em três imagens diferentes e duas marcas de dimensões diferentes / The growing use of digital files through the media takes the user to employ security techniques against tampering attacks. The watermark is considered an additional information that can ensure security, detect and track changes in an image marked according to the cryptographic algorithm deployed. In general, digital signals such as images files are vulnerable to tampering attacks due to the way in which they circulate. Through digital watermarks, it is possible to obtain authenticity of an image. In cryptographic terms, the watermark embedded in the host image must be as compact as possible and its processing must be effective. After a theoretical survey on the implementation of the watermark images and, later, an analysis of the main methods of insertion, extraction and verification of the watermark, grounded by better performances, we present in this paper, a method of insertion, extraction and verification of the watermark. The proposed method, implemented in the wavelet domain, along with simple matrix manipulations used in cryptography aims to provide a robust watermark on various types of digital attacks. The method allows the inserting of the watermark without affecting the visual quality of the host image and after the attacks, extract it successfully, presenting a correlation between the watermark inserted and extracted close to optimum. The image processing programs via Wavelet transformed and methods of insertion, extraction and verification were developed in the MATLAB ® environment, which makes the manipulations in the host image and the watermark easier whereas the images are read as pixel matrix. Finally, we show how the very original results shown here suggest other types of attacks and increase the robustness of the watermark

Processamento de imagens

Criptografia de dados (Computação)

Arquivos de computador

Medidas de segurança

Wavelets (Matematica)

Image processing

Utilização de dicionários probabilísticos personalizados para decifrar arquivos em análises periciais / Use of custom probabilistic dictionaries to decipher files during a forensic analysis

Kuppens, Luciano Lima

31 January 2012

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2012. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2012-05-10T15:38:13Z No. of bitstreams: 1 2012_LucianoLimaKuppens.pdf: 5066405 bytes, checksum: ab18cae97010a1dd52e0b70215687822 (MD5) / Approved for entry into archive by Marília Freitas(marilia@bce.unb.br) on 2012-05-11T14:38:03Z (GMT) No. of bitstreams: 1 2012_LucianoLimaKuppens.pdf: 5066405 bytes, checksum: ab18cae97010a1dd52e0b70215687822 (MD5) / Made available in DSpace on 2012-05-11T14:38:03Z (GMT). No. of bitstreams: 1 2012_LucianoLimaKuppens.pdf: 5066405 bytes, checksum: ab18cae97010a1dd52e0b70215687822 (MD5) / O objetivo do presente trabalho é determinar se senhas geradas com gramáticas probabilísticas especializadas são mais eficazes para decifrar arquivos que os métodos normalmente utilizados durante uma análise pericial. Foi realizado um extenso estudo sobre utilização de senhas e uma análise comparativa dos métodos existentes para recuperá-las. O resultado da análise de cinquenta mil senhas de usuários brasileiros foi apresentado. Com essas senhas, coletadas durante a elaboração desta obra, foi criada uma gramática probabilística especializada brasileira que se mostrou bastante eficaz em relação a outras técnicas de recuperação de senhas, como regras de alteração, cadeias de Markov e força bruta. Essa gramática recuperou senhas mais complexas e mais rapidamente que as outras técnicas. No total, utilizando todos os métodos, foram descobertas 85% das senhas do grupo de controle. Finalmente, para utilização prática durante análises periciais, foi proposto o uso de Dicionários Probabilísticos Personalizados criados a partir da gramática brasileira e de dados biográficos e palavras-chave do caso sendo analisado. ______________________________________________________________________________ ABSTRACT / The objective of this study is to determine whether passwords generated with specialized probabilistic grammars are more effective to decipher files than the methods typically used during a forensic analysis. We conducted an extensive study on the use of passwords and a comparative analysis of existing methods to retrieve them. The result of the analysis of fifty thousand Brazilian user passwords was presented. With these passwords, collected during the preparation of this work, a Brazilian specialized probabilistic grammar was created. It proved quite effective in relation to other password recovery techniques, such as mangling rules, Markov chains and brute force. This grammar recovered faster and more complex passwords than the other techniques. In total, using all methods, 85% of passwords in the control group were discovered. Finally, for real application during a forensic analysis, we proposed the use of Custom Probabilistic Dictionaries created from the Brazilian grammar, biographical data and the wordlist of the case under analysis.

Probabilidades

Dois pesos, duas medidas : gerenciamento de identidades orientado a desafios adaptativos para contenção de Sybils. / TwoWeights and two measures: using adaptive puzzles in identity management for sybil contention

Mauch, Gustavo Huff

January 2010

O ataque Sybil consiste na criação indiscriminada de identidades forjadas por um usuário malicioso (atacante). Uma abordagem promissora para mitigar esse ataque consiste em conceder novas identidades mediante a resolução de desafios computacionais. Apesar de suas potencialidades, as soluções baseadas em tal abordagem não distinguem solicitações de usuários corretos das de atacantes, fazendo com que ambos paguem o mesmo preço por identidade solicitada. Por conta disso, essas soluções podem não ser efetivas quando os recursos computacionais dos atacantes são muito superiores aos que os usuários legítimos dispõem. Assumindo desafios de uma determinada dificuldade, atacantes com hardware de maior capacidade conseguiriam resolver um conjunto muito superior de desafios e, com isso, obter um número elevado de identidades. Aumentar uniformemente a dificuldade dos desafios poderia, no outro extremo, tornar proibitivo o ingresso de pares a rede. Para lidar com esse problema, nesta dissertação propi5e-se o use de desafios adaptativos como limitante a disseminação de Sybils. Estima-se um grau de confiança da fonte de onde partem as solicitações de identidade em relação as demais. Quanto maior a frequência de solicitação de identidades, menor o grau de confiança e, consequentemente, maior a complexidade do desafio a ser resolvido pelo(s) usuário(s) associado(s) Aquela fonte. Resultados obtidos por meio de experimentação mostram a capacidade da solução de atribuir desafios mais complexos a potenciais atacantes, penalizando minimamente usuários legítimos. / The Sybil attack consists on the indiscriminate creation of counterfeit identities by a malicious user (attacker). An effective approach to tackle such attack consists of establishing computational puzzles to be solved prior to granting new identities. Despite its potentialities, solutions based on such approach do not distinguish between identity requests from correct users and attackers, and thus require both to afford the same cost per identity requested. Therefore, those approaches may not be effective when the attacker's computational resources are superior than those used by correct users. Assuming any choice of puzzle hardness, attackers that have access to high-performance computing resources will be able to solve puzzles several order of magnitude faster than legitimate users and thus obtain a large amount of identities. On the other way, raising the cost to solve the puzzles could restrict legitimate users too much. To tackle this problem, in this paper we propose the use of adaptive computational puzzles to limit the spread of Sybils. We estimate a trust score of the source of identity requests in regard to the behavior of others. The higher the frequency a source requests identities, the lower its trust score and, consequently, the higher the complexity of the puzzle to be solved by the user(s) associated to that source. Results achieved by means of an experimental evaluation evidence our solution's ability to establish more complex puzzles to potential attackers, while minimally penalizing legitimate users.

Seguranca : Computadores

Redes : Computadores

Redes P2P

Criptografia : Comunicacao : Dados

Peer-to-peer networks

Authentication

Identity management

Criptografia em segurança de arquivos confidenciais

Masuda, Yatosi

09 1900

Submitted by Algacilda Conceição (algacilda@sibi.ufrj.br) on 2018-03-28T18:24:25Z No. of bitstreams: 1 133513.pdf: 3029510 bytes, checksum: a36c14574fd3fd43908ab27f07105e96 (MD5) / Made available in DSpace on 2018-03-28T18:24:25Z (GMT). No. of bitstreams: 1 133513.pdf: 3029510 bytes, checksum: a36c14574fd3fd43908ab27f07105e96 (MD5) Previous issue date: 1973-09 / CNPq / Estudo sobre segurança em Centros de Processamento de Dados e segurança de informações confidenciais. Muitos fatos que podem surgir e abalar qualquer CPD, tais como: fraudes, falhas de hardware e/ou software, erros do operador, erros de programação, penetração em informações privativas, e outros, são brevemente abordados. Com referência a segredo de informação, as técnicas clássicas de criptografia são estudadas. Com base nisso, técnicas de transformação adequadas, tais como, esquemas aritméticos, lógicos e esquema de matriz são descritas. Finalmente é dada uma discussão sobre o projeto de sistemas de cripto-programação. / Study about security of Data Processing Center and Security of private informations. Many destructive fates that can await every Computer Center: fraud, hardware and software failures, operator errors, programming errors, penetration of private informations and others, are briefly discussed. With reference of privacy of information, the classical cryptographic techniques are studied. On this bases, suitable transformation techniques such as arithmetical, logic and matrix schemes are discribed. Finally a discussion is given on the systems design for criptoprogramming.

Segurança de computadores

Criptologia

Criptografia de dados (computação)