Kritéria pro hodnocení bezpečnosti kryptografických knihoven
Criteria for the security evaluation of cryptographic libraries
Typ dokumentu
bakalářská prácebachelor thesis
Autor
Milan Špinka
Vedoucí práce
Kokeš Josef
Oponent práce
Trummová Ivana
Studijní obor
Informační bezpečnost 2021Studijní program
InformatikaInstituce přidělující hodnost
katedra informační bezpečnostiPráva
A university thesis is a work protected by the Copyright Act. Extracts, copies and transcripts of the thesis are allowed for personal use only and at one?s own expense. The use of thesis should be in compliance with the Copyright Act http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf and the citation ethics http://knihovny.cvut.cz/vychova/vskp.htmlVysokoškolská závěrečná práce je dílo chráněné autorským zákonem. Je možné pořizovat z něj na své náklady a pro svoji osobní potřebu výpisy, opisy a rozmnoženiny. Jeho využití musí být v souladu s autorským zákonem http://www.mkcr.cz/assets/autorske-pravo/01-3982006.pdf a citační etikou http://knihovny.cvut.cz/vychova/vskp.html
Metadata
Zobrazit celý záznamAbstrakt
Open-source kryptografické knihovny jsou dnes standardním prostředkem pro zabezpečení digitální komunikace. To z nich činí kritický článek bezpečnosti jednotlivých aplikací, ale i soukromí a bezpečí uživatelů výpočetní techniky obecně. Přirozeně vyvstává otázka, jestli jsou takovéto otevřené implementace kryptografických algoritmů důvěryhodné, bezpečné a srozumitelné pro vývojáře aplikací. Za účelem jejího zodpovězení v této práci nejprve shrnujeme relevantní literaturu týkající se bezpečnosti open-source softwaru, návrhu kryptografických knihoven a zranitelného použití kryptografie. Dále provádíme analýzu vybraných aspektů 6 populárních kryptografických knihoven a poznatky formulujeme do seznamu kritérií, s jehož pomocí lze s rozumným úsilím zhodnotit bezpečnostní aspekty většího počtu kryptografických knihoven. Výsledná metoda si klade za cíl pomoci vývojářům vybrat bezpečnou knihovnu vhodnou pro jejich potřeby, nebo alespoň redukovat počet knihoven k hlubšímu zkoumání. Open source cryptographic libraries represent the standard means of securing digital communications today. This places them in a critical position with respect to software security, but also digital privacy and safety in general. A sensible concern arises regarding the extent to which these open implementations of cryptographic algorithms can be deemed trustworthy, secure and understandable by application developers. In this thesis, we first survey relevant literature on open source software security, cryptographic library design and cryptographic misuse. We then analyze key facets of 6 widely used cryptographic libraries and synthesize our findings into a set of criteria for reasonably efficient evaluation of cryptographic libraries. The resulting method aims to help developers choose a secure library suitable for their needs, or at least reduce the number of candidates for in-depth analysis.