Розробка алгоритму та програмного забезпечення для захисту маркерів доступу на основі підпису запитів тимчасовим секретом

Автор(и)

  • Василь Іванович Буковецький Державний вищий навчальний заклад «Ужгородський національний університет», Україна https://orcid.org/0000-0002-6754-5828
  • Василь Михайлович Різак Державний вищий навчальний заклад «Ужгородський національний університет», Україна https://orcid.org/0000-0002-9177-0662

DOI:

https://doi.org/10.15587/1729-4061.2022.251570

Ключові слова:

маркерів доступу, підпис клієнт-серверних повідомлень, автентифікація, безпека сесій

Анотація

Запропоновано метод захисту маркерів доступу в клієнт-серверному обміні даними без збереження стану, заснований на формуванні підпису запиту за допомогою тимчасового секрету. Розроблений метод дозволяє не виконувати передачу з кожним запитом маркерів доступу, які дозволили б зловмиснику автентифікуватись дійсним користувачем при компрометації з’єднання, наприклад при використанні атаки «людина посередині».

Запропоновано та обґрунтовано два варіанти методу – спрощений та покращений, сфера використання яких залежить від потреб у захисті та технічних можливостей їх реалізації. Стійкість обох варіантів забезпечується практичною неможливістю підбору початкових вхідних даних геш-функції, яка використовувалась для формування підпису. Покращений варіант дозволяє також захистити маркери доступу на етапі їх отримання, та передбачає захист від атаки повтору запиту. Захист при початковій автентифікації користувача досягається за рахунок використання протоколу Діффі–Геллмана для обміну секретом та маркером доступу. Використання ідентифікаторів запитів та часових міток дозволяє запобігти повторному використанню запиту.

Додатковий захист для маркерів доступу є важливим, адже наявність маркера доступу у зловмисника дає йому повний контроль над обліковим записом користувача. Використання ж SSL/TLS може не дати бажаного рівня захисту для таких важливих даних.

Встановлено, що використання запропонованого методу не додає значних часових витрат. На прикладі використання геш-функції SHA-256 показано, що залежність між розміром повідомлення та додатковим часом на відправку та отримання повідомлення є лінійною. При використанні запропонованого методу в браузері абсолютне значення додаткових витрат часу для повідомлень об’ємом від 100 байт до 2048 Кб становить від 0.4 мс до 142 мс. Завдяки цьому запропонований метод може бути використаний без значного впливу на досвід користування

Біографії авторів

Василь Іванович Буковецький, Державний вищий навчальний заклад «Ужгородський національний університет»

Аспірант

Кафедра твердотільної електроніки та інформаційної безпеки

Василь Михайлович Різак, Державний вищий навчальний заклад «Ужгородський національний університет»

Доктор фізико-математичних наук, професор

Кафедра твердотільної електроніки та інформаційної безпеки

Посилання

  1. HTTPS Encryption on the Web. Google Transparency Report. Available at: https://transparencyreport.google.com/https/overview?hl=en
  2. Features restricted to secure contexts. Available at: https://developer.mozilla.org/en-US/docs/Web/Security/Secure_Contexts/features_restricted_to_secure_contexts
  3. Dorey, K., Chang-Fong, N., Essex, A. (2017). Indiscreet Logs: Diffie-Hellman Backdoors in TLS. Proceedings 2017 Network and Distributed System Security Symposium. doi: https://doi.org/10.14722/ndss.2017.23006
  4. Clark, J., van Oorschot, P. C. (2013). SoK: SSL and HTTPS: Revisiting Past Challenges and Evaluating Certificate Trust Model Enhancements. 2013 IEEE Symposium on Security and Privacy. doi: https://doi.org/10.1109/sp.2013.41
  5. Raman, R. S., Evdokimov, L., Wurstrow, E., Halderman, J. A., Ensafi, R. (2020). Investigating Large Scale HTTPS Interception in Kazakhstan. Proceedings of the ACM Internet Measurement Conference. doi: https://doi.org/10.1145/3419394.3423665
  6. Akhawe, D., Felt, A. P. (2013). Alice in Warningland: A Large-Scale Field Study of Browser Security Warning Effectiveness. 22nd USENIX Security Symposium. Washington, 257–272. Available at: https://www.usenix.org/conference/usenixsecurity13/technical-sessions/presentation/akhawe
  7. Alsharnouby, M., Alaca, F., Chiasson, S. (2015). Why phishing still works: User strategies for combating phishing attacks. International Journal of Human-Computer Studies, 82, 69–82. doi: https://doi.org/10.1016/j.ijhcs.2015.05.005
  8. Chordiya, A. R., Majumder, S., Javaid, A. Y. (2018). Man-in-the-Middle (MITM) Attack Based Hijacking of HTTP Traffic Using Open Source Tools. 2018 IEEE International Conference on Electro/Information Technology (EIT). doi: https://doi.org/10.1109/eit.2018.8500144
  9. Kumar Baitha, A., Smitha Vinod, P. (2018). Session Hijacking and Prevention Technique. International Journal of Engineering & Technology, 7 (2.6), 193. doi: https://doi.org/10.14419/ijet.v7i2.6.10566
  10. Singh, T., Meenakshi (2020). Prevention of session hijacking using token and session id reset approach. International Journal of Information Technology, 12 (3), 781–788. doi: https://doi.org/10.1007/s41870-020-00486-w
  11. Historical trends in the usage statistics of server-side programming languages for websites (2021, November 1). W3Techs. Available at: https://w3techs.com/technologies/history_overview/programming_language
  12. Dougherty, C. R. (2008). MD5 vulnerable to collision attacks. Vulnerability Note VU#836068. Software Engineering Institute. Carnegie Mellon University. Available at: https://www.kb.cert.org/vuls/id/836068/
  13. Wang, X., Yu, H. (2005). How to Break MD5 and Other Hash Functions. Lecture Notes in Computer Science, 19–35. doi: https://doi.org/10.1007/11426639_2
  14. Libed, J. M., Sison, A. M., Medina, R. P. (2018). Enhancing MD5 Collision Susceptibility. Proceedings of the 4th International Conference on Industrial and Business Engineering. doi: https://doi.org/10.1145/3288155.3288173
  15. Wang, X., Yin, Y. L., Yu, H. (2005). Finding Collisions in the Full SHA-1. Lecture Notes in Computer Science, 17–36. doi: https://doi.org/10.1007/11535218_2
  16. Stevens, M., Bursztein, E., Karpman, P., Albertini, A., Markov, Y. (2017). The First Collision for Full SHA-1. Lecture Notes in Computer Science, 570–596. doi: https://doi.org/10.1007/978-3-319-63688-7_19
  17. Goldreich, O. (2001). Foundations of Cryptography. Volume 1: Basic Tools. Cambridge University Press. doi: https://doi.org/10.1017/cbo9780511546891

##submission.downloads##

Опубліковано

2022-02-28

Як цитувати

Буковецький, В. І., & Різак, В. М. (2022). Розробка алгоритму та програмного забезпечення для захисту маркерів доступу на основі підпису запитів тимчасовим секретом. Eastern-European Journal of Enterprise Technologies, 1(9(115), 56–62. https://doi.org/10.15587/1729-4061.2022.251570

Номер

Том 1 № 9(115) (2022): Інформаційно-керуючі системи

Розділ

Інформаційно-керуючі системи

Ліцензія

Авторське право (c) 2022 Vasyl Bukovetskyi, Vasyl Rizak

Creative Commons License

Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License.

Закріплення та умови передачі авторських прав (ідентифікація авторства) здійснюється у Ліцензійному договорі. Зокрема, автори залишають за собою право на авторство свого рукопису та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons CC BY. При цьому вони мають право укладати самостійно додаткові угоди, що стосуються неексклюзивного поширення роботи у тому вигляді, в якому вона була опублікована цим журналом, але за умови збереження посилання на першу публікацію статті в цьому журналі.

Ліцензійний договір – це документ, в якому автор гарантує, що володіє усіма авторськими правами на твір (рукопис, статтю, тощо).
Автори, підписуючи Ліцензійний договір з ПП «ТЕХНОЛОГІЧНИЙ ЦЕНТР», мають усі права на подальше використання свого твору за умови посилання на наше видання, в якому твір опублікований. Відповідно до умов Ліцензійного договору, Видавець ПП «ТЕХНОЛОГІЧНИЙ ЦЕНТР» не забирає ваші авторські права та отримує від авторів дозвіл на використання та розповсюдження публікації через світові наукові ресурси (власні електронні ресурси, наукометричні бази даних, репозитарії, бібліотеки тощо).
За відсутності підписаного Ліцензійного договору або за відсутністю вказаних в цьому договорі ідентифікаторів, що дають змогу ідентифікувати особу автора, редакція не має права працювати з рукописом.
Важливо пам’ятати, що існує і інший тип угоди між авторами та видавцями – коли авторські права передаються від авторів до видавця. В такому разі автори втрачають права власності на свій твір та не можуть його використовувати в будь-який спосіб.