Please use this identifier to cite or link to this item: http://dspace.lib.uom.gr/handle/2159/18890
Author: Νικόπουλος, Παναγιώτης
Title: Ζητήματα ασφάλειας συστημάτων λογισμικού ανοικτού κώδικα: εφαρμογή του OpenSSL.
Date Issued: 2015
Department: Πρόγραμμα Μεταπτυχιακών Σπουδών Ειδίκευσης στην Εφαρμοσμένη Πληροφορική
Supervisor: Μαυρίδης, Ιωάννης
Abstract: Η αφορμή για αυτή τη διπλωματική δόθηκε με την ανακάλυψη, ίσως του μεγαλύτερου κενού ασφαλείας, του Heartbleed. Αυτό επηρέασε μια ανοικτού κώδικα βιβλιοθήκη του SSL/TLS, την OpenSSL. Από τότε τέθηκαν αρκετά ζητήματα ασφαλείας, όπως το κατά ποσό παραμένουν αξιόπιστοι οι μηχανισμοί ασφαλείας των λογισμικών ανοικτού κώδικα. Σκοπός αυτής της εργασίας είναι αφού μελετήσουμε το OpenSSL και το Heartbleed, να απαντήσουμε στο παραπάνω ερώτημα. Αν διατηρείται δηλαδή σε υψηλά επίπεδα η ασφάλεια των υλοποιήσεων SSL/TLS ανοικτού κώδικα, ενώ παράλληλα πόσο οικονομικά συμφέρουσα είναι η επιλογή μιας τέτοιας λύσης για την ασφάλεια μιας εταιρείας. Για να το πετύχουμε αυτό αρχικά αναζητήσαμε στην Εθνική Βάση Δεδομένων Ευπαθειών (NVD) της Αμερικανικής κυβέρνησης τις ευπάθειες των πιο διαδεδομένων υλοποιήσεων SSL/TLS. Τις καταγράψαμε και αφού προσδιορίσαμε τη σοβαρότητα των ευπαθειών με τον τρόπο υπολογισμού CVSS, καταλήξαμε στο συμπέρασμα, ότι οι υλοποιήσεις κλειστού κώδικα παρουσιάζουν τις σοβαρότερες ευπάθειες, οπότε βρίσκονται σε δυσμενέστερη θέση. Στη συνέχεια μετά από μια βιβλιογραφική έρευνα που κάναμε προτείναμε σαν πιο συμφέρουσα λύση, για μια ανερχόμενη εταιρεία, τις υλοποιήσεις ανοικτού κώδικα. Τέλος κατασκευάσαμε ένα ηλεκτρονικό φαρμακείο, στο οποίο κάθε χρήστης μπορεί να αγοράσει προϊόντα, χρησιμοποιώντας κάποια προσωπικά δεδομένα (ονόματα, διευθύνσεις, αριθμός πιστωτικής κάρτας, κ.α.). Για να προστατέψουμε αυτά τα δεδομένα, χρησιμοποιήσαμε τη βιβλιοθήκη OpenSSL. Παράλληλα με τη βοήθεια ενός προγράμματος ανάλυσης δικτύου (Wireshark), αποδείξαμε ότι τα δεδομένα δεν είναι εκτεθειμένα κατά τη μεταφορά τους στο Διαδίκτυο.
The cause of this diploma was given by the discovery, perhaps of the biggest security gap, the Heartbleed. This gap influenced an open source library of SSL / TLS, the OpenSSL. Since then several security issues were raised, such as how reliable the security mechanisms of open source software remain. The purpose of this paper is to answer the above question, after the OpenSSL and Heartbleed are studied. In other words, we aim to study whether the security of the implementations SSL / TLS open source is maintained at a high level, while at the same time how cost-effective is the choice of an open source solution for the security of a company. To achieve this, at first we searched into the National Vulnerability Database (NVD) of the American government, for the vulnerabilities of the most widely used implementations SSL / TLS. We recorded them and after having determined the severity of the vulnerabilities by using the calculation CVSS, we concluded that the closed source implementations present the most serious vulnerabilities and consequently they become untrustworthy. Furthermore, after a literature research, we proposed the open source implementations, as a more effective solution for an emerging company. Finally we built an online pharmacy, in which every user can buy products, using certain personal data (names, addresses, credit card number, etc.). To protect this data, we used the OpenSSL library. Along with the help of a network analysis program (Wireshark), we proved that the data are not exposed during their transportation over the Internet.
Keywords: SSL
TLS
OpenSSL
Heartbleed
Secure web server
Cryptography
Self-sign certificates
Digital signature
Certificate authority
Hush function
RSA
MD5
DH
X.509
Information: Διπλωματική εργασία--Πανεπιστήμιο Μακεδονίας, Θεσσαλονίκη, 2015.
Appears in Collections:Π.Μ.Σ. στην Εφαρμοσμένη Πληροφορική (M)

Files in This Item:
File Description SizeFormat 
NikopoulosPanagiotisMsc2015extra1.zipΣυνοδευτικό υλικό1.52 MBzipView/Open
NikopoulosPanagiotisMsc2015.pdf5.36 MBAdobe PDFView/Open


This item is licensed under a Creative Commons License Creative Commons