An efficient method to provide auditable messages exchanged in instant messaging applications.

Komo, Andrea Erina

doi:10.11606/D.3.2022.tde-22052023-143703

Inicío

Serviços

Trabalhos decorrentes

Como citar

Formato MARC

Formato OAI DC

Dissertação de Mestrado

DOI

https://doi.org/10.11606/D.3.2022.tde-22052023-143703

Documento

Dissertação de Mestrado

Autor

Komo, Andrea Erina (Catálogo USP)

Nome completo

Andrea Erina Komo

E-mail

Unidade da USP

Escola Politécnica

Área do Conhecimento

Engenharia de Computação

Data de Defesa

2022-11-29

Imprenta

São Paulo, 2022

Orientador

Simplicio Junior, Marcos Antonio (Catálogo USP)

Banca examinadora

Simplicio Junior, Marcos Antonio (Presidente)
Miers, Charles Christian
Silva, Carlos Eduardo da

Título em inglês

An efficient method to provide auditable messages exchanged in instant messaging applications.

Palavras-chave em inglês

Distributed systems
Hash chain
Messages exchange
Mobile application
Security

Resumo em inglês

Message integrity in mobile communication apps has become an important issue since such apps are being used as corporate tools. In particular, it is not uncommon for messages thereby exchanged to be used as negotiation documents, sales, bank transactions. However, by design, most of these applications do not provide any verification feature to confirm the integrity or authenticity of conversations after they have been delivered to their destinations. There are several examples in the literature of how it is possible to imperceptibly modify records in apps such as WhatsApp, Telegram, and others. In addition, most applications available on the market use a centralized architecture, which may raise doubts about messages integrity and authenticity. After all, because the central entity controls the service, it has the technical freedom to execute a man-in-the-middle (MitM) attack and perhaps modify messages without being detected. All of these characteristics can compromise the negotiations made on these message exchange platforms. To resolve this issue of conversation integrity, this work proposes a message structure composed of chained cryptographic hashes (hash chain) that ensure a way to audit and verify conversations. Also, we propose to use a distributed system as a communication infrastructure, leading to a scenario that is more independent from any controlling entity that may interfere with the flow of messages. For this, the proposed system combines technologies such as PGP (Pretty Good Privacy), peer-to-peer (P2P) communications, and a hash-chaining mechanism with selective disclosure. The different modules that make up this solution are architecture-independent and, therefore, can be integrated individually into any instant messaging application. The tests documented in this work proved to be satisfactory in terms of execution times of less than two seconds and the robustness of the independent audit solution.

Título em português

Um método eficiente para fornecer auditabilidade em aplicativos de troca de mensagens instantâneas.

Palavras-chave em português

Aplicativos móveis
Segurança da informação
Sistemas distribuídos
Troca de mensagens

Resumo em português

A integridade e a autenticidade de mensagens em aplicativos de comunicação móvel tornou-se uma questão importante, uma vez que esses aplicativos estão sendo usados como ferramentas corporativas. Em particular, não é incomum que as mensagens trocadas sejam usadas como documentos de negociação, comprovantes de vendas, ou transações bancárias. No entanto, por projeto, a maioria desses aplicativos não fornece qualquer recurso de verificação para confirmar a integridade ou autenticidade das conversas após estas serem entregues aos seus destinos. Na verdade, existem vários exemplos na litera-tura de como é possível modificar de forma imperceptível registros em aplicativos como WhatsApp, Telegram e outros. Além disso, a maioria dos aplicativos disponíveis no mercado utiliza uma arquitetura centralizada, que pode levantar dúvidas sobre a integridade e autenticidade das mensagens. Afinal, como a entidade central controla o serviço, esta tem a liberdade técnica para executar um ataque do homem no meio (MitM) e talvez modi-ficar mensagens sem ser detectada. Todas essas características podem comprometer as negociações feitas nessas plataformas de troca de mensagens. Para resolver esta questão da integridade das conversas, este trabalho propõe uma estrutura de mensagens composta por hashes criptográficos encadeados (ou hash chain), garantindo assim uma forma de auditar e verificar as conversas. Além disso, é proposta a utilização de um sistema distribuído como infraestrutura de comunicação, levando a um cenário mais independente de qualquer entidade controladora que possa interferir no fluxo de mensagens. Para isso, o sistema proposto combina tecnologias como PGP (Pretty Good Privacy), comunicações peer-to-peer (P2P) e um mecanismo de encadeamento de hashes com privacidade seletiva. Os diferentes módulos que compõem a solução são independente de arquitetura e, portanto, podem ser integrados de forma individual a qualquer aplicativo de mensagem instantânea. Os testes documentados neste trabalho mostraram-se satisfatórios em termos de tempos de execução inferiores a dois segundos e robustez da solução de auditoria independente.

AVISO - A consulta a este documento fica condicionada na aceitação das seguintes condições de uso:
Este trabalho é somente para uso privado de atividades de pesquisa e ensino. Não é autorizada sua reprodução para quaisquer fins lucrativos. Esta reserva de direitos abrange a todos os dados do documento bem como seu conteúdo. Na utilização ou citação de partes do documento é obrigatório mencionar nome da pessoa autora do trabalho.

AndreaErinaKomoCorr23.pdf (2.23 Mbytes)

Data de Publicação

2023-05-23

Trabalhos decorrentes

AVISO: Saiba o que são os trabalhos decorrentes clicando aqui.