End-to-end security for mobile devices

Abstract

öz Kişisel sayısal asistanlar ve mobil telefonların yaygın olarak kullanılmasıyla birlikte uçtan uca güvenlik, mobil cihazlar için acil bir ihtiyaç haline gelmiştir. Taşıma Katmanı Protokolü (TLS), atası olan SSL protokolü ile birlikte, Internet'te yaygın olarak kullanılan bir uçtan uca güvenlik protokolüdür. TLS protokolü mobil dünyada kullanılarak, bu protokolün kanıtlanmış güvenlik modeli avantajından yarar lamlabi lir. J2ME (Java 2 Micro Edition) mobil cihazlar için defakto uygulama platformu olmuştur. Bu tez, TLS 1.0 spesifikasyonuna dayalı ve J2ME MIDP (Mobil Bilgi Cihaz Profili) ortamında çalışabilecek, uçtan uca güvenlik protokolü gerçekleştirimi sağlamayı hedefler. TLS içinde kullanılan kaynak yoğun açık anahtar işlemleri nedeniyle, bu protokol yüksek kaynaklara ihtiyaç duyar ve düşük bir performansa sahiptir. Tez için diğer bir motivasyon da, protokol gerçekleştiriminin istemci ve sunucu modda kullanımının mümkün olduğunu göstermektir. MIDP ortamında eksik olan standart Java nesne dizi yayınlaması yerine, alternatif bir dizi yayınlama mekanizması kullanılmıştır. Mobil uçtan uca güvenlik protokolünün sürdürülebilirlik ve genişletilebilirlik gibi ana tasarım hususları bulunmaktadır. Kriptografi işlemleri ücretsiz bir dışsal kütüphane olan Bouncy Castle Kriptografi Paketi tarafından gerçekleştirilmektedir. Protokol gerçekleştiriminin nesneye yönelik mimarisi, bu kütüphanenin başka kriptografi paketleriyle değiştirilmesini kolaylaştırır. Mobil uçtan uca güvenlik protokolü, mobil hastane rezervasyon sistemi uygulaması ile test edilmiştir. Test vakaları, protokol gerçekleştirimin farklı şifre tabmları ve platformları ile performansını ölçmek için hazırlanmıştır. El sıkışma operasyonu ve belirlenen zaman aralıklarının ölçülen değerleri tablolarla verilmiş ve grafiklerle karşılaştırılmıştır. iv

ABSTRACT End-to-end security has been an emerging need for mobile devices with the widespread use of personal digital assistants and mobile phones. Transport Layer Security Protocol (TLS) is an end-to-end security protocol that is commonly used in Internet, together with its predecessor, SSL protocol. By using TLS protocol in mobile world, the advantage of the proven security model of this protocol can be taken. TM J2ME (Java 2 Micro Edition) has been the de facto application platform used in mobile devices. This thesis aims to provide an end-to-end security protocol implementation based on TLS 1.0 specification and that can run on J2ME MIDP (Mobile Information Device Profile) environment. Because of the resource intensive public-key operations used in TLS, this protocol needs high resources and has low performance. Another motivation for the thesis is to adapt the protocol for mobile environment and to show that it is possible to use the protocol implementation in both client and server modes. An alternative serialization mechanism is used instead of the standard Java object serialization that is lacking in MIDP. In this architecture, XML is used to transmit object data. The mobile end-to-end security protocol has the main design issues of maintainability and extensibility. Cryptographic operations are performed with a free library, Bouncy Castle Cryptography Package. The object-oriented architecture of the protocol implementation makes the replacement of this library with another cryptography package easier. Mobile end-to-end security protocol is tested with a mobile hospital reservation system application. Test cases are prepared to measure the performance of the protocol implementation with different cipher suites and platforms. Measured values of all handshake operation and defined time spans are given in tables and compared with graphs. m