Browsing by Author "Krips, Kristjan"
Now showing 1 - 4 of 4
Results Per Page
Sort Options
Item Brauseri laienduste turvaanalüüs(Tartu Ülikool, 2010) Krips, Kristjan; Laur, Sven; Tartu Ülikool. Matemaatika-informaatikateaduskond; Tartu Ülikool. Arvutiteaduse instituutPaljud tänapäevased brauserid võimaldavad funktsionaalsuse lisamist või muutmist laienduste kaudu. Rohkete võimaluste tõttu on laiendused muutunud kasutajate hulgas populaarseks ja see on toonud kaasa uued ründevektorid, mis ohustavad kasutajate turvalisust. Töös analüüsime populaarsemate veebibrauserite laienduste turvaarhitektuuri. Vaatleme Firefox 3.6, Google Chrome 5.0.360 ja Internet Explorer 8 laienduste ehitust ja nende turvalisust. Töö annab ülevaate vastavate brauserite laienduste arhitektuurilisest turvalisusest ja kirjeldab võimalikke ründevektoreid. Selgitame, kuidas on vastavate veebibrauserite koodiruum ja mälu kaitstud ja teeme kindlaks missuguseid õiguseid brauserite laiendused omavad. Uurime, kuidas on praegust laienduste arhitektuuri kasutades võimalik brausereid kompromiteerida ja kirjeldame sellega kaasnevaid riske. Selleks demonstreerime laiendusi, mis kompromiteerivad brauseri, näitamaks olemasoleva arhitektuuri puudujääke. Näitame erinevaid ründevektoreid ja kirjeldame nendele vastavaid ründestsenaariumeid. Töö tulemusena selguvad brauserite laienduste turvaarhitektuuri nõrkused. Nende leevendamiseks pakume välja lahendusi, mis parandavad turvaarhitektuuri. Töö tulemusena on võimalik brauserite kasutajaid informeerida olemasolevatest ohtudest ja teadvustada turvalisuse olulisusest.Item Privacy and coercion-resistance in voting(2022-04-19) Krips, Kristjan; Willemson, Jan, juhendaja; Laur, Sven, juhendaja; Tartu Ülikool. Loodus- ja täppisteaduste valdkondÜheks demokraatia nurgakiviks on inimeste õigus osaleda vabadel ja ausatel valimistel ning seeläbi määrata endale esindajad. Seetõttu on valimiste turvamine kriitilise tähtsusega, kuid selle ülesande muudavad keerukaks valimistele rakendatavad vastuolulised turvanõuded. Valimisvabaduse tagamiseks peab valijal olema võimalik anda oma hääl ilma välise mõjutuseta. Samaaegselt on vaja tagada, et korrektselt antud hääled võetakse häältelugemisel arvesse ning kajastuvad valimistulemuses. Postihääletamine ja internetihääletamine toovad esile valijate mõjutamisega seonduvad probleemid. Seetõttu uurisime internetihääletussüsteemide mõjutuskindluse saavutamiseks vajalikke meetmeid ning analüüsime nende praktilist rakendatavust. Uurimistöö tulemusena selgus, et hääle kontrollitavuse ja valija mõjutamatuse samaaegseks saavutamiseks võetakse sageli aluseks mitmeid eeldusi, mida on praktikas raske täita. Võrreldes internetihääletussüsteemidega on traditsiooniliste paberhääletussüsteemide turvalisust tänapäevase tehnoloogia kontekstis oluliselt vähem uuritud. Teadustööd näitavad, et valijate privaatsusega seonduvad riskid on olemas ka paberhääletussüsteemides. Meie poolt läbiviidud uurimuse tulemusena selgus, et valimissedeli täitmise käigus tekkiv heli lekitab infot valija poolt tehtud valiku kohta. Leiu illustreerimiseks ehitasime kaks prototüüpi, mis kasutasid mikrofone, et sedeli täitmisel tekkivaid signaalne kinni püüda. Sarnaselt teistele valimissüsteemidele oli ka Eestis kasutusel olevas internetihääletussüsteemis vaja leida tasakaal mõjutuskindluse ja terviklusomaduste vahel. Turvanõuetes olevate vastuolude tõttu ei saa kõiki riske maandada. Uurimistöö ühe osana kirjeldasime Eesti internetihääletussüsteemis olevaid nõrkusi ning pakkusime välja meetmed tuvastatud probleemide lahendamiseks. Viimase aspektina analüüsisime nutitelefonil hääletamisega kaasnevaid turvariske.Item The security analysis of browser extensions(Tartu Ülikool, 2010) Krips, Kristjan; Laur, Sven, juhendaja; Tartu Ülikool. Loodus- ja täppisteaduste valdkond; Tartu Ülikool. Arvutiteaduse instituutItem Tööriist sümmeetriliste primitiivide formaalseks analüüsiks(Tartu Ülikool, 2012) Krips, Kristjan; Laur, Sven; Tartu Ülikool. Matemaatika-informaatikateaduskond; Tartu Ülikool. Arvutiteaduse instituutTänapäeva maailmas on krüpograafia laialt kasutusel, et turvata elektroonilist sidet. Seega on oluline, et vastavad krüptograafilised algoritmid oleksid tõestatavalt turvalised. Krüptograafiliste protokollide ehitamiseks kasutatakse krüptograafilisi primitiive ja terve protokolli turvalisus tõestatakse vastavate primitiivide turvalisusle tuginedes. Sümmeetrilised primitiivid kasutavad ühte salajast võtit nii krüpteerimiseks kui ka dekrüpteermiseks ja on kiiremad kui asümmeetrilised primitiivid. Seetõttu kasutatakse sümmeetrilisi primitiive paljudes protokollides ja seega on vaja leida vastavatele primitiividele turvatõestused. Üks võimalus turvatõestuste kirjutamiseks on kasutada krüptograafiliste mängude põhist tõestamist. Krüptograafilised mängud modelleerivad primitiive kindlas keskkonnas, kus leidub vastane. Mängude põhise tõestamise abil kirjutatakse esialgne mäng ümber nii, et primitiivi turvalisust oleks lihtsam tõestada. Selline tõestamise meetod on keeruline, kuna see nõuab palju ümberkirjutamist. Lisaks sellele võib mängude ümberkirjutamisel tekkida tõestusse vigu. Antud olukorra lahendamiseks kasutatakse tööriistu, mis abistavad tõestuse läbiviimist. Antud magistritöö teemaks on tööriista arendamine, mis aitab mängude põhiseid tõestusi läbi viia sümmeetriliste primitiivide jaoks. Vastava tööriista nimi on ProveIt ja see lubab modifitseerida krüptograafilisi mänge, kasutades kindlaid tõestuse skeeme. Vastava tõestusskeemi rakendamist nimetatakse transformatsiooniks. Minu eesmärgiks oli lisada antud programmis kasutatavale keelele semantika ja kasutada seda semantikat erinevate transformatsioonide lisamiseks programmi ProveIt. Magistritöö käigus implementeerisin ProveIt jaoks järgnevad transformatisoonid: Dead Code Elimination, Statement Switching, Remove Condition, Replace Function Call, Wrap ja Random Function Simulation. Surnud koodi eemaldamiseks oli vaja implementeerida elusate muutujate analüüs. Enne transformatsiooni implementeerimist tuleb tõestada vastav turvalisuse garantii ning seetõttu tõestasin magistritöös käsitletud trasformatsioonidele vastavad turvalisuse teoreemid. Edasise tööna tuleb ProveIt lisada keerukamaid transformatisoone, et võimaldada keerukamate turvatõestuste läbiviimist.