Transparent Quantum Safe Tunneling

dc.contributorAalto-yliopistofi
dc.contributorAalto Universityen
dc.contributor.advisorRautio, Jussi
dc.contributor.authorAhonen, Joona
dc.contributor.schoolPerustieteiden korkeakoulufi
dc.contributor.supervisorBrzuska, Christopher
dc.date.accessioned2023-06-18T17:09:26Z
dc.date.available2023-06-18T17:09:26Z
dc.date.issued2023-06-12
dc.description.abstractOnce a sufficiently fault tolerant and large quantum computer is developed, some widely used public-key algorithms such as RSA, DSA and ECDSA will be broken. As public-key cryptography is the most used method for securing communications, breaking currently deployed public-key cryptography would have critical consequences on the networking infrastructure of the world. The data transmitted and encrypted today can be recovered in the future if a sufficiently powerful quantum computer is built. In this thesis we give an approach to mitigate the threat of quantum computers to the security of TCP connections between applications. We present a way to capture the TCP connection and redirect it inside a quantum-safe Secure Shell (SSH) tunnel, so that the original application connection can remain unchanged and be unaware of the connection being tunneled. This makes it easier for organizations and individuals to adopt post-quantum cryptography early, by using a third-party tool to secure their communications effortlessly. We review the following different approaches for implementing this feature: TCP proxies, Layered Service Providers, DLL injection and the Windows Filtering Platform. We propose Windows Filtering Platform as the best tool to achieve our goals, because it can be used to redirect outbound TCP connections without the original application requiring modifications, unlike TCP proxies. WFP is supported by modern Windows operating systems, whereas Layered Service Providers are not. The usage of WFP is recommended by Microsoft and is considered good practise, in contrast to DLL injection which is unreliable and is often associated with malicious intents. We develop a prototype using Windows Filtering Platform and test its performance and features. The prototype implementation can redirect application TCP connections in quantum safe SSH tunnels without modifying the application. The redirection adds less than ten milliseconds of additional latency to the initial TCP connection establishment.en
dc.description.abstractKun riittävän vikasietoinen ja tehokas kvanttitietokone kehitetään, useat tietoliikenteen salaukseen yleisesti käytetyt julkisen avaimen algoritmit, kuten RSA, DSA ja ECDSA, rikkoutuvat. Koska julkisen avaimen salaus on eniten käytetty tapa tietoliikenteen turvaamiseen, tällä hetkellä käytössä olevien julkisen avaimen salausalgoritmien rikkoutumisella olisi vakavia seurauksia maailman verkkoinfrastruktuurille. Tänään lähetetty ja salattu data voidaan tallentaa ja purkaa tulevaisuudessa, jos riittävän tehokas kvanttitietokone rakennetaan. Tässä opinnäytetyössä esittelemme lähestymistavan, jolla voidaan lieventää kvanttitietokoneiden uhkaa sovellusten välisten Transmission Control Protocol (TCP) -yhteyksien turvallisuudelle. Esittelemme tavan kaapata sovelluksen TCP-yhteyden ja ohjata se kvanttiturvallisen Secure Shell (SSH) -tunnelin sisään, jolloin alkuperäinen sovellus ei tarvitse muokkauksia, eikä ole tietoinen yhteyden uudelleenohjauksesta. Tämä helpottaa organisaatioiden ja yksilöiden siirtymistä hyödyntämään kvanttitietokoneiden jälkeistä kryptografiaa varhaisessa vaiheessa kolmannen osapuolen tarjoaman työkalun avulla, jolla yhteyksien turvaus on mahdollista. Tarkastelemme seuraavia eri lähestymistapoja tämän ominaisuuden toteuttamiseksi: TCP-välityspalvelimet, Layered Service Providerit (LSP), DLL-injektio ja Windows Filtering Platform (WFP). Ehdotamme Windows Filtering Platformia parhaaksi työkaluksi tavoitteidemme saavuttamiseksi, koska sen avulla on mahdollista uudelleenohjata TCP yhteyksiä ilman, että alkuperäinen sovellus vaatii muutoksia, toisin kuin pelkkää TCP-välityspalvelinta käytettäessä. Nykyaikaiset Windows-käyttöjärjestelmät tukevat WFP:tä, mutta eivät Layered Service Providereita. Microsoft suosittelee WFP:n käyttöä, ja sen käyttöä pidetään hyvänä käytäntönä. DLL-injektio puolestaan on epäluotettava menetelmä ja se usein yhdistetään haitallisiin tarkoituksiin. Kehitämme prototyypin Windows Filtering Platormilla ja testaamme sen tehokkuutta ja ominaisuuksia. Prototyyppi mahdollistaa TCP yhteyksien uudelleenohjauksen SSH tunneleihin ilman, että tunneloitua sovellusta tarvitsee muokata. Uudelleenohjaus aiheuttaa alle kymmenen millisekuntia lisäviivettä alkuperäiseen TCP-yhteyden muodostamiseen.fi
dc.format.extent45+9
dc.format.mimetypeapplication/pdfen
dc.identifier.urihttps://aaltodoc.aalto.fi/handle/123456789/121684
dc.identifier.urnURN:NBN:fi:aalto-202306184056
dc.language.isoenen
dc.programmeMaster’s Programme in Computer, Communication and Information Sciencesfi
dc.programme.majorSecurity and Cloud Computingfi
dc.programme.mcodeSCI3084fi
dc.subject.keywordtransparent tunnelingen
dc.subject.keywordwindows filtering platformen
dc.subject.keywordpost-quantum cryptographyen
dc.subject.keywordinformation securityen
dc.titleTransparent Quantum Safe Tunnelingen
dc.titleLäpinäkyvä kvanttiturvallinen tunnelointifi
dc.typeG2 Pro gradu, diplomityöfi
dc.type.ontasotMaster's thesisen
dc.type.ontasotDiplomityöfi
local.aalto.electroniconlyyes
local.aalto.openaccessyes
Files
Original bundle
Now showing 1 - 1 of 1
No Thumbnail Available
Name:
master_Ahonen_Joona_2023.pdf
Size:
2.44 MB
Format:
Adobe Portable Document Format