بررسی امنیت پروتکل SSL

SUPERVISOR
SiyedMohammad DakhilAlian,Mehdi Berenjkob
سیدمحمد دخیل علیان (استاد مشاور) مهدی برنج کوب (استاد راهنما)
 
STUDENT
امینه صالحی نجف آبادی

FACULTY - DEPARTMENT

دانشکده مهندسی برق و کامپیوتر
DEGREE
Master of Science (MSc)
YEAR
1382

TITLE

Security analysis of SSL protocol
The recent explosive growth of the Internet and the World Wild Web has brought a need to securely protect sensitive communication over the open network. Making sure that communications remain secure between clients and Web servers is a critical issue. Secure Socket Layer (SSL) is a separate layer that is added to Internet's protocol architecture just for security between the application layer and TCP layer. Upon today multiple versions of SSL and its capabilities have been published and its different implementations have been made. Analysis of SSL based sessions is an important problem that attracted much attention of cryptanalysts. Different attacks are proposed against this protocol; in some of them, the specifications of protocol and in the others, application conditions have resulted in vulnerability. Main attacks that SSL designers have not considered, are Denial of Service attack and Traffic Analysis attack. Implementers or users, who concerned with these attacks, should use other protections beside SSL. In this thesis, SSL protocol along with its specifications in different versions is explained and the security of SSL based sessions is analyzed. This analysis consists of all the reported attacks. At the end of thesis, several suggestions are made for improving SSL protocol such as a 3-stage handshake that reduces the number of round trips and results in fast negotiation. Also some counter-attacks are proposed against some attacks that are preferred to existing methods in SSL.
سرعت، قابلیت اطمینان و دسترسی آسان به اینترنت باعث گسترش چشمگیر آن در سالهای اخیر شده و پتانسیلهای موجود در آن هر روز بیش از پیش مورد توجه مردم قرار می گیرد. اینترنت یک سیستم همگانی است و طبیعی است که به خاطر استفاده گسترده از آن، نمی توان کنترلی روی افراد و آزادیهای آنها داشت. اغلب مسیرهای ارتباطی به طور اجتناب ناپذیری ناامن هستند و بنابراین لازم است تدابیری برای برقراری امنیت در ارتباطات اینترنت اندیشیده شود. پروتکل SSL یک لایه مجزا است که تنها برای ایجاد امنیت، به معماری اینترنت اضافه شده و بین لایه کاربرد و لایه انتقال TCP/IP قرار می گیرد. تا کنون نسخه های متعددی از SSL و قابلیت ترکیب آن با سایر مکانیسمهای امنیتی منتشر شده است و پیاده سازیهای مختلفی از آن صورت گرفته است. تحلیل امنیت جلسات مبتنی بر SSL، موضوعی است که از همان آغاز مورد توجه متخصصین رمز قرار گرفته و منتقدین همواره به دنبال کشف حمله علیه این پروتکل بودهِِ اند. حملات مختلفی علیه پروتکل SSL ارائه شده اند که در برخی از آنها، ویژگیهای پروتکل و در برخی دیگر، شرایط محیط اجرا آسیب پذیری را به وجود آورده اند. اگرچه نمی توان حملاتی را که با تحلیلهای ریزبینانه انجام شده اند، انکار کرد اما هیچ یک از این حملات قادر به شکستن SSL نیستند و اغلب آنها به سادگی رفع شده اند. تنها حملاتی که طراحان SSL، مقابله با آنها را وظیفه SSL محسوب نکرده اند عبارتند از: حمله از کاراندازی خدمت و حمله تحلیل ترافیک. این دو حمله در شرایط خاصی تهدید کننده هستند و کاربردها برای جلوگیری از آنها باید راهکارهای دیگری را در کنار SSL استفاده کنند. در این پایان نامه پروتکل SSL و ویژگیهای آن در نسخه های مختلف، شرح داده شده و امنیت حاصل از آن مورد بررسی و تحلیل قرار گرفته است. این تحلیل، شرح کلیه حملات گزارش شده، اعم از حملاتی که از ضعفهای پروتکل بهره گرفته اند و حملاتی که با بهره گیری از ضعفهای اجرایی انجام شده اند، را در بردارد. در انتهای پایان نامه، برخی راهکارها برای ارتقای پروتکل SSL پیشنهاد شده است. از جمله این راهکارها، یک دستداد سه مرحله ای است که موجب سرعت بخشیدن به برقراری ارتباط امن می گردد. همچنین برای مقابله با برخی حملات، راهکارهایی ارائه شده که نسبت به روشهای مورد استفاده SSL برتری دارند.

ارتقاء امنیت وب با وف بومی