Transparent and secure remote network storage system using an untrusted server

Työssä kehitettin läpinäkyvä Internet Small Computer Systems Interface-verkkolevyä (iSCSI) käyttävä varmistusjärjestelmä. Verkkolevyn sisältö suojattiin asiakaspään salauskerroksella (dm-crypt). Järjestely mahdollisti sen, että verkkolevylle tallennetut varmuuskopiot pysyivät luottamuksellisina, vaikka levypalvelinta tarjoava taho oli joko epäluotettava tai suorastaan vihamielinen. Järjestelmän hyötykäyttöä varten kehitettiin helppokäyttöinen prototyyppisovellus. Järjestelmän riskit ja haavoittuvuudet käytiin läpi ja analysoitiin. Järjestelmälle tehtiin myös karkea kryptoanalyysi sen teknistenominaisuuksien pohjalta. Suorituskykymittaukset tehtiin sekä salatulle että salaamattomalle iSCSI-liikenteelle. Näistä todettiin, että salauksen vaikutus suorituskykyyn oli häviävän pieni jopa 100 megabittiä sekunnissa siirtävillä verkkonopeuksilla. Lisäksi pohdittiin teknologian muita sovelluskohteita ja tulevia tutkimusalueita.

PEAP 802.1x-tunnistuksen toteutus RADIUS-palvelimeen

Valimo iDServer -tunnistuspalvelin on ohjelmisto, joka tukee eri käyttäjientunnistusmenetelmiä, kuten tekstiviestillä lähetettävää kertakäyttösalasanaa tai normaaliakäyttäjätunnusta ja salasanaa. Tässä diplomityössä kuvataan, kuinka palvelimeenon lisätty tuki käyttäjien kirjautumiselle langattoman verkon tukiasemien ja virtuaalilähiverkkoa tukevien kytkinten kautta käyttäen normaaleja Windows-käyttöjärjestelmän mukana tulevia asiakasohjelmistoja. Työn ensimmäisessä vaiheessa kuvataan lähtökohdat ja vaatimukset tulevalle järjestelmälle. Työn osana käytännössä tehty kokonaisuus muodostuu useista eri määrityksistä koostuvista osista. Työn toisessa vaiheessa käydään läpi korkealla tasolla sovelluksen vaatimat protokollat. Osana näihin protokolliin kuului erilaisten avainten jatarkisteiden laskenta sekä salausmenetelmien käyttö, jotka myös kuvataan tässä työssä. Viimeisessä kappaleessa analysoidaan työn tuloksia jakäydään läpi toteutukseen ja itse sovelluksen toimintaan liittyvät ongelmat. Suurin osa havaituista ongelmista liittyi tilanteisiin, joihin itse palvelinsovelluksen toteutuksella ei voitu vaikuttaa. Eniten ongelmia aiheuttivat asiakasohjelmiston sekä verkkokorttien ja niiden ajureiden toiminta ongelmatilanteissa. Asiakasohjelmistoa ei selkeästi ole suunniteltu käytettäväksi kuin muuttumattomien salasanojen kanssa, koska käyttäjän näkökulmasta käyttökokemus ei ollut optimaalinen. Ongelmista huolimatta työn tuloksena saatiin asiakkaan vaatimukset täyttävä järjestelmä. Myös tuotekehitysnäkökulmasta projektia voitaneen pitää onnistuneena, koska nyt tehty sovellus luo pohjan uusien tunnistustapojen ja menetelmien toteuttamiselle tuotteen jatkokehitystä ajatellen.

Henkilökohtaisen päätelaitteen käyttö lähimaksujärjestelmässä

Henkilökohtaista luotettavaa päätelaitetta voidaan käyttää maksuvälineenä langattomissa maksujärjestelmissä. Päätelaitteen luotettavuus saadaan aikaan sen sisältämien tietojen salauksen ja käyttäjän tunnistuksen avulla. Kaupankäynnin tietoturvan kannalta järjestelmien tärkeimpiä tehtäviä ovat osapuolten tunnistaminen ja tietoyhteyden suojaaminen. Tässä työssä esitellään automaatti- ja ruokalamaksamisen järjestelmä, jossa käytetään maksuvälineenä Bluetooth-ominaisuudella varustettua kämmentietokonetta. Henkilökohtaisen luotettavan päätelaitteen vaatimuksia ja uhkia käydään läpi. Samoin erilaisia menetelmiä käyttäjän ja laitteiden tunnistukseen sekä tietoyhteyden suojaamiseen. Käyttäjän tunnistus perustuu julkisten avainten varmenteisiin, joihin on sisällytetty tietoa niin asiakkaasta, maksuvälineestä kuin maksumenetelmästäkin. Maksumenetelmäksi on valittu tilien käyttö. Tietoyhteyden suojaamiseen käytetään epäsymmetristä salausta.

Tietoturvaohjelmiston kehitys ja immateriaalioikeus

Diplomityö kartoittaa yleisesti tietoturvaohjelmistokehityksessä huomioitavia immateriaalioikeudellisia näkökohtia ja selvittää yksityiskohtaisemmin niiden soveltamista ja vaikutusta erään tietoturvakomponentin suunnittelussa ja toteutuksessa Soneran TradeXpress-ohjelmistoon. Kyseinen komponentti mahdollistaa muun muassa autentikaation ja salauksen käytön sähköisessä tiedonsiirrossa. Työ käsittää myös perustiedot tietoturvasta ja TradeXpress-ohjelmistosta, jotta komponentin kehitystä käsittelevän osuuden ymmärtäminen olisi helpompaa. Immateriaalioikeutta käsitellään vain niiltä osin, joilla on vaikutusta tietokoneohjelmiin ja ohjelmistotuotantoon. Näitä ovat muun muassa tekijänoikeus, patenttioikeus ja tavaramerkkioikeus. Diplomityön tuloksena syntyi selvitys immateriaalioikeudesta ja sen vaikutuksesta ohjelmistotuotantoprosesseihin.

Security in multicast communication

Multicast is one method to transfer information in IPv4 based communication. Other methods are unicast and broadcast. Multicast is based on the group concept where data is sent from one point to a group of receivers and this remarkably saves bandwidth. Group members express an interest to receive data by using Internet Group Management Protocol and traffic is received by only those receivers who want it. The most common multicast applications are media streaming applications, surveillance applications and data collection applications. There are many data security methods to protect unicast communication that is the most common transfer method in Internet. Popular data security methods are encryption, authentication, access control and firewalls. The characteristics of multicast such as dynamic membership cause that all these data security mechanisms can not be used to protect multicast traffic. Nowadays the protection of multicast traffic is possible via traffic restrictions where traffic is allowed to propagate only to certain areas. One way to implement this is packet filters. Methods tested in this thesis are MVR, IGMP Filtering and access control lists which worked as supposed. These methods restrict the propagation of multicast but are laborious to configure in a large scale. There are also a few manufacturerspecific products that make possible to encrypt multicast traffic. These separate products are expensive and mainly intended to protect video transmissions via satellite. Investigation of multicast security has taken place for several years and the security methods that will be the results of the investigation are getting ready. An IETF working group called MSEC is standardizing these security methods. The target of this working group is to standardize data security protocols for multicast during 2004.

PCI DSS -standardi ja sen vaatimukset kortinhaltijoiden tietojen suojaamiselle

Payment Card Industry Data Security Standard (PCI DSS) on korttiyhtiöiden kehittämä kansainvälinen tietoturvastandardi, jonka tarkoituksena on parantaa kortinhaltijoiden tietoja käsittelevien järjestelmien tietoturvaa. Standardissa määritellään vaatimukset tietojen turvalliselle tallennukselle ja käsittelylle, testaus- ja tarkastusmenetelmät sekä tarkastusvaatimukset ja tarkastuksia suorittavien tahojen sertifiointi. Standardi koskee kaikkia standardin hyväksyneiden maksukorttiyhtiöiden korttitietoja käsitteleviä tahoja. Standardin ylläpitämisestä ja kehittämisestä vastaa maksukorttiyhtiöiden perustama PCI Security Standards Council -toimielin. Syyskuussa 2006 toimielin julkaisi standardista version 1.1, joka on edelleen viimeisin versio. Tässä diplomityössä selvitettiin PCI DSS -standardin asettamat vaatimukset kortinhaltijoiden tietoja käsitteleville tahoille. Lisäksi tutkittiin mahdollisuuksia toteuttaa yksi standardin vaatimuksista, kortinhaltijoiden tietojen suojaaminen, esimerkkijärjestelmässä. Kyseinen järjestelmä on kehitetty IBM System i -palvelinympäristöön käyttäen RPG-ohjelmointikieltä.

A Technique for Digital Color Image Watermarking Using ICA

With the increase of use of digital media the need for the methods of multimedia protection becomes extremely important. The number of the solutions to the problem from encryption to watermarking is large and is growing every year. In this work digital image watermarking is considered, specifically a novel method of digital watermarking of color and spectral images. An overview of existing methods watermarking of color and grayscale images is given in the paper. Methods using independent component analysis (ICA) for detection and the ones using discrete wavelet transform (DWT) and discrete cosine transform (DCT) are considered in more detail. A novel method of watermarking proposed in this paper allows embedding of a color or spectral watermark image into color or spectral image consequently and successful extraction of the watermark out of the resultant watermarked image. A number of experiments have been performed on the quality of extraction depending on the parameters of the embedding procedure. Another set of experiments included the test of the robustness of the algorithm proposed. Three techniques have been chosen for that purpose: median filter, low-pass filter (LPF) and discrete cosine transform (DCT), which are a part of a widely known StirMark - Image Watermarking Robustness Test. The study shows that the proposed watermarking technique is fragile, i.e. watermark is altered by simple image processing operations. Moreover, we have found that the contents of the image to be watermarked do not affect the quality of the extraction. Mixing coefficients, that determine the amount of the key and watermark image in the result, should not exceed 1% of the original. The algorithm proposed has proven to be successful in the task of watermark embedding and extraction.

Designing a Bit Preservation System

Poster at Open Repositories 2014, Helsinki, Finland, June 9-13, 2014