1. OPUS
  2. Universität Stuttgart
  3. 05 Fakultät Informatik, Elektrotechnik und Informationstechnik
Bitte benutzen Sie diese Kennung, um auf die Ressource zu verweisen: http://dx.doi.org/10.18419/opus-11360
Autor(en): Teis, Lisa-Marie
Titel: Java interface for secure crypto config
Erscheinungsdatum: 2020
Dokumentart: Abschlussarbeit (Master)
Seiten: 86
URI: http://nbn-resolving.de/urn:nbn:de:bsz:93-opus-ds-113775
http://elib.uni-stuttgart.de/handle/11682/11377
http://dx.doi.org/10.18419/opus-11360
Zusammenfassung: Context: Cryptography is mainly considered in the field of information security for the protection of digital data. But the right selection of a secure set of cryptographic algorithms and parameters can be difficult. Another problem is that provided cryptographic Application Programming Interface (API)s cannot change their default configurations, meaning that they get insecure over time. Aim: The general aim is to create a cryptographic library that allows developers to easily use secure default configurations. Such a library should realize all security-relevant details internally by safe default configurations, which are adapting to changing security standards. To achieve this goal the Secure Crypto Config (SCC) can be used which ensures security, usability, maintainability and up- /downward compatibility. Method: First, a draft for a future standardized Request for comments (RFC) was created. In addition, a sample implementation for the corresponding API in Java was developed. This implementation was evaluated by conducting a study that consists of live programming tasks and online questionnaires. The study should compare the Secure Crypto Config Interface (SCCI) with the standard cryptographic libraries of the Java Development Kit (JDK) and Google Tink. Result: The evaluation has shown that the SCCI is more usable than JDK and Google Tink. By considering the number of security bugs the SCCI is also more secure than JDK. Unfortunately, there was no significant result by comparing the security of the SCCI and Google Tink. Furthermore, no significant difference in the maintainability between the SCCI and the other libraries could be shown. In terms of security and maintainability the SCCI was not significantly better according to statistical tests, nevertheless there are fewer security bugs with the usage of the SCCI. Conclusion: The SCCI is a future-proof alternative to other cryptographic libraries as it has proven to be both more usable and more secure than other implementations. In the next steps, it is now necessary to drive the standardization process forward. Furthermore, implementations in other languages must follow.
Kontext: Die Kryptographie wird hauptsächlich im Bereich der Informationssicherheit zum Schutz digitaler Daten betrachtet. Die richtige Auswahl eines sicheren Satzes von kryptographischen Algorithmen und Parametern kann sich jedoch schwierig gestalten. Ein weiteres Problem besteht darin, dass bereits existierende kryptographische Application Programming Interface (API)s ihre Standardkonfigurationen nicht ändern können. Dies führt dazu, dass sie mit der Zeit unsicher werden. Ziel: Das allgemeine Ziel ist es, eine kryptographische Bibliothek zu erstellen, die es Entwicklern ermöglicht, auf einfache Weise sichere Standardkonfigurationen verwenden zu können. Eine solche Bibliothek sollte alle sicherheitsrelevanten Details intern durch sichere Standardkonfigurationen realisieren, die sich an ändernde Sicherheitsstandards anpassen. Um dieses Ziel zu erreichen, kann die Secure Crypto Config (SCC) verwendet werden, welche die Sicherheit, Benutzerfreundlichkeit, Wartbarkeit und Auf- /Abwärtskompatibilität gewährleistet. Methodik: Zunächst wurde ein Entwurf für einen zukünftigen standardisierten Request for comments (RFC) erstellt. Darüber hinaus wurde eine Beispielimplementierung für die entsprechende API in Java entwickelt. Diese Implementierung wurde durch die Durchführung einer Studie evaluiert, welche aus Live-Programmieraufgaben und Online-Fragebögen bestand. Diese Studie sollte dabei das Secure Crypto Config Interface (SCCI) mit den kryptographischen Standardbibliotheken des Java Development Kit (JDK) und Google Tink vergleichen. Ergebnis: Die Auswertung hat gezeigt, dass das SCCI benutzerfreundlicher ist als JDK und Google Tink. Bei Betrachtung der Anzahl von Sicherheitsfehlern ist das SCCI zudem sicherer als JDK. Leider gab es kein signifikantes Ergebnis beim Vergleich der Sicherheit des SCCI und Google Tink. Außerdem konnte kein signifikanter Unterschied in der Wartbarkeit zwischen der SCCI und den anderen beiden Bibliotheken gezeigt werden. In Bezug auf Sicherheit und Wartbarkeit war das SCCI laut statistischen Tests nicht signifikant besser, dennoch gibt es weniger Sicherheitsfehler bei der Verwendung des SCCI. Schlussfolgerung: Das SCCI ist eine zukunftsfähige Alternative zu anderen kryptografischen Bibliotheken, da es sich sowohl benutzerfreundlicher als auch sicherer als andere Implementierungen gezeigt hat. In den nächsten Schritten ist es nun notwendig den Standardisierungsprozess voran zu treiben. Zudem sollten Implementierungen in anderen Sprachen folgen.
Enthalten in den Sammlungen:05 Fakultät Informatik, Elektrotechnik und Informationstechnik

Dateien zu dieser Ressource:
Datei Beschreibung GrößeFormat 
Masterarbeit_Lisa Teis.pdf2,91 MBAdobe PDFÖffnen/Anzeigen
Zur Langanzeige


Alle Ressourcen in diesem Repositorium sind urheberrechtlich geschützt.