Many systems contain sensitive data such as user credentials used for authentication purposes. For large systems, a common approach is to store the data in a configuration file at a trusted third party. However, that would imply a single point of failure if an adversary gains access to the trusted party. In theory this could be solved by encrypting the data but in practice this only moves the problem and does not solve it, since some type of credential data is needed to decrypt the configuration file. A more flexible solution is needed that requires less of human interaction while also providing a higher degree of security. This thesis proposes a complete cryptographical system for solving this problem in a typical enterprise setting with a set of additional implementation requirements by using multi-party computation and Shamir's secret sharing protocol. Additionally, the work combines the mentioned system with a certificateless cryptography based multi-party computation protocol, since certificates usually implies a time-consuming process. The system has been evaluated in terms of security and efficiency with the conclusion that the results look promising. In terms of performance, the bulk of the overhead comes from certificateless cryptography, a constraint for the specific scenario which might not be present in general. The work also provides incentives for developing and further evolving Java libraries for cryptography, especially for multi-party computation and certificateless cryptography. / Många system innehåller känslig data, exempelvis användaruppgifter som används för autentiseringsändamål. För stora system är en vanlig lösning att lagra data i en konfigurationsfil hos en betrodd tredje part. Det skulle emellertid innebära att den svagaste länken är om motståndare får tillgång till den betrodda parten. I teorin kan detta lösas genom att kryptera data men i praktiken flyttar det bara på problemet men löser det inte, eftersom någon typ av autentiseringsdata behövs för att dekryptera konfigurationsfilen. En mer flexibel lösning behövs som kräver mindre mänsklig interaktion samtidigt som det ger en högre grad av säkerhet. Denna avhandling föreslår ett komplett kryptografiskt system för att lösa detta problem i en typisk företagsmiljö med en ytterligare uppsättning implementationskrav genom att använda multipartsberäknande och Shamirs secret sharing protokoll. Dessutom kombinerar arbetet det nämnda systemet med ett certifikatfritt krypteringsbaserat protokoll kombinerat med multipartsberäkningar, eftersom certifikat oftast innebär en tidskrävande process. Systemet har utvärderats med avseende på säkerhet och effektivitet med slutsatsen att det ser lovande ut. När det gäller prestanda kommer huvuddelen av omkostnaden från den certifikatfria kryptografin, en begränsning för det specifika scenariot som kanske inte är närvarande i allmänhet. Arbetet ger också motiv för att vidareutveckla Java-bibliotek för kryptografi, speciellt för multipartsberäknande protokoll och certifikatlös kryptering.
| Identifer | oai:union.ndltd.org:UPSALLA1/oai:DiVA.org:kth-231574 |
| Date | January 2018 |
| Creators | Fokin, Dennis |
| Publisher | KTH, Skolan för elektroteknik och datavetenskap (EECS) |
| Source Sets | DiVA Archive at Upsalla University |
| Language | English |
| Detected Language | Swedish |
| Type | Student thesis, info:eu-repo/semantics/bachelorThesis, text |
| Format | application/pdf |
| Rights | info:eu-repo/semantics/openAccess |
| Relation | TRITA-EECS-EX ; 2018:340 |
Page generated in 0.0023 seconds