Transparent Quantum Safe Tunneling

Loading...
Thumbnail Image
Journal Title
Journal ISSN
Volume Title
Perustieteiden korkeakoulu | Master's thesis
Date
2023-06-12
Department
Major/Subject
Security and Cloud Computing
Mcode
SCI3084
Degree programme
Master’s Programme in Computer, Communication and Information Sciences
Language
en
Pages
45+9
Series
Abstract
Once a sufficiently fault tolerant and large quantum computer is developed, some widely used public-key algorithms such as RSA, DSA and ECDSA will be broken. As public-key cryptography is the most used method for securing communications, breaking currently deployed public-key cryptography would have critical consequences on the networking infrastructure of the world. The data transmitted and encrypted today can be recovered in the future if a sufficiently powerful quantum computer is built. In this thesis we give an approach to mitigate the threat of quantum computers to the security of TCP connections between applications. We present a way to capture the TCP connection and redirect it inside a quantum-safe Secure Shell (SSH) tunnel, so that the original application connection can remain unchanged and be unaware of the connection being tunneled. This makes it easier for organizations and individuals to adopt post-quantum cryptography early, by using a third-party tool to secure their communications effortlessly. We review the following different approaches for implementing this feature: TCP proxies, Layered Service Providers, DLL injection and the Windows Filtering Platform. We propose Windows Filtering Platform as the best tool to achieve our goals, because it can be used to redirect outbound TCP connections without the original application requiring modifications, unlike TCP proxies. WFP is supported by modern Windows operating systems, whereas Layered Service Providers are not. The usage of WFP is recommended by Microsoft and is considered good practise, in contrast to DLL injection which is unreliable and is often associated with malicious intents. We develop a prototype using Windows Filtering Platform and test its performance and features. The prototype implementation can redirect application TCP connections in quantum safe SSH tunnels without modifying the application. The redirection adds less than ten milliseconds of additional latency to the initial TCP connection establishment.

Kun riittävän vikasietoinen ja tehokas kvanttitietokone kehitetään, useat tietoliikenteen salaukseen yleisesti käytetyt julkisen avaimen algoritmit, kuten RSA, DSA ja ECDSA, rikkoutuvat. Koska julkisen avaimen salaus on eniten käytetty tapa tietoliikenteen turvaamiseen, tällä hetkellä käytössä olevien julkisen avaimen salausalgoritmien rikkoutumisella olisi vakavia seurauksia maailman verkkoinfrastruktuurille. Tänään lähetetty ja salattu data voidaan tallentaa ja purkaa tulevaisuudessa, jos riittävän tehokas kvanttitietokone rakennetaan. Tässä opinnäytetyössä esittelemme lähestymistavan, jolla voidaan lieventää kvanttitietokoneiden uhkaa sovellusten välisten Transmission Control Protocol (TCP) -yhteyksien turvallisuudelle. Esittelemme tavan kaapata sovelluksen TCP-yhteyden ja ohjata se kvanttiturvallisen Secure Shell (SSH) -tunnelin sisään, jolloin alkuperäinen sovellus ei tarvitse muokkauksia, eikä ole tietoinen yhteyden uudelleenohjauksesta. Tämä helpottaa organisaatioiden ja yksilöiden siirtymistä hyödyntämään kvanttitietokoneiden jälkeistä kryptografiaa varhaisessa vaiheessa kolmannen osapuolen tarjoaman työkalun avulla, jolla yhteyksien turvaus on mahdollista. Tarkastelemme seuraavia eri lähestymistapoja tämän ominaisuuden toteuttamiseksi: TCP-välityspalvelimet, Layered Service Providerit (LSP), DLL-injektio ja Windows Filtering Platform (WFP). Ehdotamme Windows Filtering Platformia parhaaksi työkaluksi tavoitteidemme saavuttamiseksi, koska sen avulla on mahdollista uudelleenohjata TCP yhteyksiä ilman, että alkuperäinen sovellus vaatii muutoksia, toisin kuin pelkkää TCP-välityspalvelinta käytettäessä. Nykyaikaiset Windows-käyttöjärjestelmät tukevat WFP:tä, mutta eivät Layered Service Providereita. Microsoft suosittelee WFP:n käyttöä, ja sen käyttöä pidetään hyvänä käytäntönä. DLL-injektio puolestaan on epäluotettava menetelmä ja se usein yhdistetään haitallisiin tarkoituksiin. Kehitämme prototyypin Windows Filtering Platormilla ja testaamme sen tehokkuutta ja ominaisuuksia. Prototyyppi mahdollistaa TCP yhteyksien uudelleenohjauksen SSH tunneleihin ilman, että tunneloitua sovellusta tarvitsee muokata. Uudelleenohjaus aiheuttaa alle kymmenen millisekuntia lisäviivettä alkuperäiseen TCP-yhteyden muodostamiseen.
Description
Supervisor
Brzuska, Christopher
Thesis advisor
Rautio, Jussi
Keywords
transparent tunneling, windows filtering platform, post-quantum cryptography, information security
Other note
Citation