1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека
Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал: http://elartu.tntu.edu.ua/handle/lib/30613
Назва: Дослідження вразливостей реалізації криптографічних методів захисту протоколу SSL/TLS
Інші назви: Study of vulnerabilities of cryptographic methods implementation of SSL/TLS security protocol
Автори: Зимницький, Олег Геннадійович
Zymnytskyi, Oleh
Приналежність: Тернопільський національний технічний університет імені Івана Пулюя
Бібліографічний опис: Зимницький О. Г. Дослідження вразливостей реалізації криптографічних методів захисту протоколу SSL/TLS : дипломна робота магістра за спеціальністю „125 — кібербезпека“/ О. Г. Зимницький. — Тернопіль: ТНТУ, 2019. — 92 с.
Дата публікації: гру-2019
Дата внесення: 21-січ-2020
Країна (код): UA
Науковий керівник: Загородна, Наталія Володимирівна
УДК: 004.056.5
Теми: кібербезпека
інформаційна безпека
розробка захищеного програмного забезпечення
SSL
TLS
cybersecurity
information security
secure software development
Діапазон сторінок: 92
Короткий огляд (реферат): Робота об’ємом 90 сторінок, яка містить 25 рисунків, 6 таблиць, 62 джерела за переліком посилань. Метою даної кваліфікаційної роботи є аналіз вразливостей реалізації протоколу SSL/TLS та розробка методології виявлення цих вразливостей з використанням існуючих технік та програмного забезпечення. Об’єктом вивчення є вразливості відкритих реалізацій протоколу SSL/TLS. Методами дослідження є як загальнонаукові методи пізнання: порівняння, системний аналіз, так і спеціальні, зокрема методи статичного та динамічного аналізу коду. Наукова новизна полягає у створенні методології аналізу реалізацій протоколу TLS на етапі розробки з використанням методів статичного та динамічного аналізу коду, а також модульного тестування. Результати роботи можуть бути використані для пошуку вразливостей у реалізаціях протоколу SSL/TLS мовою програмування C на всьому етапі розробки.
Work with 90 pages containing, 25 illustrations, 6 tables, 62 sources by list of links. The purpose of this qualification work is to analyze the vulnerabilities of the SSL/TLS open-source implementations and to build a methodology for their detection during the development process. The object of the research is the vulnerabilities of the SSL/TLS open-source implementations. The scientific methods that are used in the study are both general-purpose methods, like comparing or system analysis, and specific methods, such that methods of static and dynamic code analysis. Scientific innovation is a creation of a methodology for analyzing implementations of TLS protocol at the development stage using static and dynamic code analysis. Results of the work can be used for detecting vulnerabilities of SSL/TLS protocol implementations that are written in C programming language during the whole development process.
Опис: Роботу виконано на кафедрі кібербезпеки Тернопільського національного технічного університету імені Івана Пулюя Керівник роботи: кандидат технічних наук, зав. кафедри кібербезпеки Загородна Наталія Володимирівна Тернопільський національний технічний університет імені Івана Пулюя, Рецензент: д.к.н., професор Кунанець Наталія Едуардівна, Тернопільський національний технічний університет імені Івана Пулюя, кафедра комп'ютерних наук, доцент. Захист відбудеться 23 грудня 2019 р. о 9.00 годині на засіданні екзаменаційної комісії №32 у Тернопільському національному технічному університеті імені Івана Пулюя за адресою: 46001, м. Тернопіль, вул. Руська, 56, навчальний корпус №1, ауд. 806.
Зміст: Перелік умовних позначень, символів, одиниць, скорочень і термінів...7 Вступ...8 1 Загальні передумови виникнення реалізацій протоколу TLS...12 1.1 Виникнення комп’ютерних мереж.....2 1.2 World Wide Web....13 1.3 Розвиток криптографічних систем.....15 1.4 Обмін публічними ключами..17 1.5 Порівняння протоколів для криптографічного захисту інформації, що пере- дається між вузлами.....19 Висновки до розділу 1......23 2 Аналіз вразливостей реалізації протоколу TLS...25 2.1 Загальні відомості про протокол TLS....25 2.1.1 Історія версій SSL/TLS....25 2.1.2 Процес передачі інформації....28 2.2 Відкриті реалізації SSL/TLS...34 2.2.1 NSS...34 2.2.2 OpenSSL...34 2.2.3 GnuTLS...35 2.3 Типи вразливостей....35 2.3.1 Відмова в обслуговуванні....36 2.3.2 Переповнення буфера....36 2.3.3 Спонтанне виконання коду...37 2.3.4 Обхід...37 2.3.5 Псування пам’яті....38 2.3.6 Отримання інформації...9 2.4 Common Vulnerabilities and Exposures....39 2.5 Виявлені у відкритих реалізаціях вразливості..40 Висновки до розділу 2..42 3 Методи виявлення вразливостей реалізації протоколу TLS...43 3.1 Статичний аналіз коду....43 3.1.1 Компілятор як статичний аналізатор...43 3.1.2 Cppcheck.....45 3.1.3 Clang Static Analyzer....50 3.2 Модульне тестування коду.....53 3.2.1 Тестування покриття коду....54 3.2.2 Мутаційне тестування.....56 3.3 Динамічний аналіз коду.....56 3.3.1 Виявлення помилок при роботі з пам’яттю...57 Висновки до розділу 3....58 4 Організація неперервної інтеграції реалізації TLS.....60 Висновки до розділу 4...63 5 Обґрунтування економічної ефективності...64 Висновки до розділу 5.....68 6 Охорона праці та безпека в надзвичайних ситуаціях....70 6.1 Охорона праці....70 6.2 Фактори, що впливають на функціональний стан користувачів комп’ютера ....72 6.2.1 Особливості роботи користувачів комп'ютерів...73 6.2.2 Зоровий дискомфорт...75 Висновки до розділу 6..78 7 Екологія.....79 7.1 Роль матеріало- та ресурсозбереження у вирішенні екологічних проблем...79 7.2 Статистика екології об’єктів природного середовища...81 Висновки до розділу 7.....83 Висновки.....84 Перелік джерел посилань...86
URI (Уніфікований ідентифікатор ресурсу): http://elartu.tntu.edu.ua/handle/lib/30613
Власник авторського права: „© Зимницький Олег Геннадійович , рік“
Перелік літератури: 1.Гайворонський М. В., Новіков О. М. Безпека інформаційно-комунікаційних систем. — К.: Видавнича група BHV, 2009. — 608с. 2. Державна служба статистики України Економічна статистика / Навколишнє природне середовище URL: http://www.ukrstat.gov.ua/operativ/menu/menu_u/ns.htm
References: 1. International Telecommunication Union Measuring the Information Society Report Volume 1 URL: https://www.itu.int/en/ITU-D/Statistics/Documents/publications/ misr2018/MISR-2018-Vol-1-E.pdf (надалі — NSS). А також засоби виявлення вразливостей під час їх роздата звернення 15.12.2019). 2. Let's Encrypt - Free SSL/TLS Certificates URL: https://letsencrypt.org/ (надалі — NSS). А також засоби виявлення вразливостей під час їх роздата звернення 15.12.2019). 3. Y. Sheffer, R. Holz, P. Saint-Andre Summarizing Known Attacks on Transport Layer Security (надалі — NSS). А також засоби виявлення вразливостей під час їх розTLS) and Datagram TLS (надалі — NSS). А також засоби виявлення вразливостей під час їх розDTLS). 4. David Sounthiraraj Justin Sahs Garret Greenwood Zhiqiang Lin Latifur Khan SMV-HUNTER: Large Scale, Automated Detection of SSL/TLS Man-in-the-Middle Vulnerabilities in Android Apps. 5. Janet Ellen Abbate. From ARPANET to Internet: A history of ARPA-sponsored computer networks, 1966-1988. 6. "W3C timeline". Archived from the original on 31 March 2010. Retrieved 30 March 2010. 7. "The Early World Wide Web at SLAC". Archived from the original on 24 November 2005. 8. "About SPIRES". Archived from the original on 12 February 2010. Retrieved 30 March 2010. 9. "A Little History of the World Wide Web". Archived from the original on 6 May 2013. 10. Conklin, Jeff (надалі — NSS). А також засоби виявлення вразливостей під час їх роз1987), IEEE Computer, 20, pp. 17–41 11. "Inventor of the Week Archive: The World Wide Web". Massachusetts Institute of Technology: MIT School of Engineering. Archived from the original on 8 June 2010. Retrieved 23 July 2009. 12. "Ten Years Public Domain for the Original Web Software". Tenyearswww. web.cern.ch. 30 April 2003. Archived from the original on 13 August 2009. Retrieved 27 July 2009. 87 13. Menezes, Alfred J.; Oorschot, Paul C. van; Vanstone, Scott A. (надалі — NSS). А також засоби виявлення вразливостей під час їх роз2001). Handbook of Applied Cryptography (надалі — NSS). А також засоби виявлення вразливостей під час їх розFifth ed.). p. 251. ISBN 978-0849385230. 14. W. Diffie and M. E. Hellman New Directions in Cryptography. 15. R.L. Rivest, A. Shamir, and L. Adleman A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. URL: http://people.csail.mit.edu/rivest/ Rsapaper.pdf 16. Certicom Research SEC 1: Elliptic Curve Cryptography. URL: http://www.secg.org/sec1-v2.pdf 17. John Catsoulis Designing Embedded Hardware, 2nd Edition. O'Reilly. ISBN 0- 596-00755-8. 18. "An Overview of Public Key Infrastructures (надалі — NSS). А також засоби виявлення вразливостей під час їх розPKI)". Techotopia. 19. "Public Key Infrastructure". MSDN. 20. "Using Client-Certificate based authentication with NGINX on Ubuntu - SSLTrust". SSLTrust. 21. Vacca, Jhn R. (надалі — NSS). А також засоби виявлення вразливостей під час їх роз2004). Public key infrastructure: building trusted applications and Web services. CRC Press. p. 8. ISBN 978-0-8493-0822-2. 22. McKinley, Barton (надалі — NSS). А також засоби виявлення вразливостей під час їх розJanuary 17, 2001). "The ABCs of PKI: Decrypting the complex task of setting up a public key infrastructure". Network World. Archived from the original on May 29, 2012. 23. "Implementation of IPSec Protocol - IEEE Conference Publication". ieeexplore.ieee.org. Retrieved 2018-05-12. 24. Network Encryption - history and patents URL: http://www.toad.com/gnu/netcrypt.html 25. The history of VPN creation URL: https://www.trustedcoupon.com/the-history-of-vpn-creation/ 26. IETF IP Security Protocol (надалі — NSS). А також засоби виявлення вразливостей під час їх розipsec) Working group History URL: https://datatracker.ietf.org/wg/ipsec/history/ 27. "RFC4301: Security Architecture for the Internet Protocol". Network Working Group of the IETF. December 2005. p. 4. The spelling "IPsec" is preferred and used 88 throughout this and all related IPsec standards. All other capitalizations of IPsec [...] are deprecated. 28. "NRL ITD Accomplishments - IPSec and IPv6" (надалі — NSS). А також засоби виявлення вразливостей під час їх розPDF). US Naval Research Laboratories. 29. The Internet Key Exchange (надалі — NSS). А також засоби виявлення вразливостей під час їх розIKE), RFC 2409, §1 Abstract 30. Harkins, D.; Carrel, D. (надалі — NSS). А також засоби виявлення вразливостей під час їх розNovember 1998). The Internet Key Exchange (надалі — NSS). А також засоби виявлення вразливостей під час їх розIKE). IETF. doi:10.17487/RFC2409. RFC 2409. 31. OpenVPN man page, section "TLS Mode Options" 32. Petros Daras; Oscar Mayora (надалі — NSS). А також засоби виявлення вразливостей під час їх роз2013). User Centric Media: First International Conference, UCMedia 2009, Venice, Italy, December 9-11, 2009, Revised Selected Papers. Springer Science & Business Media. p. 239. ISBN 978-3-642-12629-1. 33. OpenVPN community wiki, IPv6 in OpenVPN 34. Titz, Olaf Why TCP Over TCP Is A Bad Idea 35. Honda, Osamu; Ohsaki, Hiroyuki; Imase, Makoto; Ishizuka, Mika; Murayama, Junichi "Understanding TCP over TCP: effects of TCP tunneling on end-to-end throughput and latency". 36. "OpenVPN Security Overview". 37. "OpenVPN script entry points". Openvpn.net. 38. OpenVPN plug-in entry points for C based modules. 39. "OpenVPN example plug-ins". Openvpn.git.sourceforge.net. 40. OpenVPN Community Wiki - Related Projects 41. Thomas Y.C. Woo, Raghuram Bindignavle, Shaowen Su and Simon S. Lam. Department of Computer Sciences The University of Texas at Austin, Austin, Texas 78712-118 42. Stuart Sechrest An Introductory 4.4BSD Interprocess Communication Tutorial URL: https://docs.freebsd.org/44doc/psd/20.ipctut/paper.pdf 43. draft-hickman-netscape-ssl-00 URL: https://tools.ietf.org/html/draft-hickman-netscape-ssl-00 44. RFC 6101 - The Secure Sockets Layer (надалі — NSS). А також засоби виявлення вразливостей під час їх розSSL) Protocol Version 3.0 URL: https://tools.ietf.org/html/rfc6101 89 45. RFC 2246 - The TLS Protocol Version 1.0 URL: https://tools.ietf.org/html/rfc2246 46. RFC 4346 - The Transport Layer Security (надалі — NSS). А також засоби виявлення вразливостей під час їх розTLS) Protocol Version 1.1 URL: https://tools.ietf.org/html/rfc4346 47. PRIVATE ENTERPRISE NUMBERS URL: https://www.iana.org/assignments/enterprise-numbers/enterprise-numbers 48. RFC 5246 - The Transport Layer Security (надалі — NSS). А також засоби виявлення вразливостей під час їх розTLS) Protocol Version 1.2 URL: https://tools.ietf.org/html/rfc5246 49. RFC 8446 - The Transport Layer Security (надалі — NSS). А також засоби виявлення вразливостей під час їх розTLS) Protocol Version 1.3 URL: https://tools.ietf.org/html/rfc8446. 51. CVE - Towards a Common Enumeration of Vulnerabilities URL: https://cve.mitre.org/docs/docs-2000/cerias.html 52. CVE — History URL: https://cve.mitre.org/about/history.html 53. Cppcheck - A tool for static C/C++ code analysis URL: http://cppcheck.sourceforge.net/#features 54. Fowler, Martin (надалі — NSS). А також засоби виявлення вразливостей під час їх роз1 May 2006). "Continuous Integration". martinfowler.com. Retrieved 9 January 2014. 55. Booch, Grady (надалі — NSS). А також засоби виявлення вразливостей під час їх роз1991). Object Oriented Design: With Applications. Benjamin Cummings. p. 209. ISBN 9780805300918. Retrieved 18 August 2014. 56. G. E. Kaiser, D. E. Perry and W. M. Schell, "Infuse: fusing integration test management with change management," [1989] Proceedings of the Thirteenth Annual International Computer Software & Applications Conference, Orlando, FL, USA, 1989, pp. 552-558. doi:10.1109/CMPSAC.1989.65147 57. Booch, Grady (надалі — NSS). А також засоби виявлення вразливостей під час їх розDecember 1998). "Object-Oriented Analysis and Design with applications (надалі — NSS). А також засоби виявлення вразливостей під час їх роз2nd edition, 15th printing)" (надалі — NSS). А також засоби виявлення вразливостей під час їх розPDF). www.cvauni.edu. Retrieved 2 December 2014. 58. Beck, Kent (надалі — NSS). А також засоби виявлення вразливостей під час їх роз28 March 1998). "Extreme Programming: A Humanistic Discipline of Software Development". Fundamental Approaches to Software Engineering: First 90 International Conference, FASE'98, Held as Part of the Joint European Conferences on Theory and Practice of Software, ETAPS'98, Lisbon, Portugal, 28 March – 4 April 1998, Proceedings, Volume 1. Lisbon: Springer. p. 4. ISBN 9783540643036. 59. Barquet, Ana Paula B., et al. "Business model elements for product-service system". Functional Thinking for Value Creation. Springer Berlin Heidelberg, 2011. 332–337: They stated that "The Canvas business model was applied and tested in many organizations (надалі — NSS). А також засоби виявлення вразливостей під час їх розeg IBM and Ericsson), being successfully used to easily describe and manipulate business models to create new strategic alternatives." 60. Osterwalder, Alexander; Pigneur, Yves; Clark, Tim (надалі — NSS). А також засоби виявлення вразливостей під час їх роз2010). Business Model Generation: A Handbook For Visionaries, Game Changers, and Challengers. Strategyzer series. Hoboken, NJ: John Wiley & Sons. ISBN 9780470876411. OCLC 648031756. With contributions from 470 practitioners from 45 countries. 61. Osterwalder, Alexander (надалі — NSS). А також засоби виявлення вразливостей під час їх роз2004). The Business Model Ontology: A Proposition In A Design Science Approach (надалі — NSS). А також засоби виявлення вразливостей під час їх розPDF) (надалі — NSS). А також засоби виявлення вразливостей під час їх розPh.D. thesis). Lausanne: University of Lausanne. OCLC 717647749. See also: Osterwalder, Alexander; Pigneur, Yves; Tucci, Christopher L. (надалі — NSS). А також засоби виявлення вразливостей під час їх роз2005). "Clarifying business models: origins, present, and future of the concept". Communications of the Association for Information Systems. 16 (надалі — NSS). А також засоби виявлення вразливостей під час їх роз1): 1. doi:10.17705/1CAIS.01601.
Тип вмісту: Master Thesis
Розташовується у зібраннях:125 — кібербезпека

Файли цього матеріалу:
Файл Опис РозмірФормат 
avtorska Zymnytskyi .pdfАвторська довідка333,84 kBAdobe PDFПереглянути/відкрити
Avtoreferat Zymnytskyi.pdfАвтореферат222,91 kBAdobe PDFПереглянути/відкрити
Dyp_ Zymnytskyi_2019.pdfМагістерська робота1,27 MBAdobe PDFПереглянути/відкрити
Показати повний опис матеріалу Перегляд статистики


Усі матеріали в архіві електронних ресурсів захищені авторським правом, всі права збережені.

Інструменти адміністратора