Blokzincir kullanılarak kimlik doğrulama seremonisini ortadan kaldıran bir güvenli mesajlaşma uygulamasının geliştirilmesi

Abstract

Uçtan uca şifreleme, genelde açık anahtar kriptografisine dayanan ve birçok güvenlimesajlaşma uygulamasında kullanılan bir güvenlik özelliğidir. Bu sayede, iletilen me-sajlar, tarafların katkısıyla oluşturulan ortak bir anahtar vasıtasıyla şifrelenerek iletilir.Bu özelliğe sahip bir uygulamada, bir kullanıcının açık anahtarı, cihaz veya SIM kartdeğişikliği ve uygulamanın yeniden kurulması gibi sebeplerle değişebileceği gibi, olasıbir saldırı nedeniyle de farklılık gösterebilir. Bu yüzden, muhtemel saldırıları önlemekve iletişimin güvenli olduğundan emin olmak adına yeni açık anahtarın doğrulanmasıgerekir. Bu amaçla, birçok güvenli mesajlaşma uygulamasında, açık anahtar değişikliğidurumunda `kimlik doğrulama seremonisi` adı verilen ve açık anahtar doğrulamasınınkullanıcılar tarafından farklı bir kanal vasıtasıyla karşılaştırılarak yapıldığı bir meka-nizma bulunur. Ancak, tüm kullanıcıların kimlik doğrulama seremonisini doğru birşekilde tamamlamasını beklemek iyi bir fikir olarak görünmemektedir. Bu nedenle, butezde, blokzincir tabanlı bir açık anahtar altyapısı (PKI) sistemi olan Blockstack plat-formunu kullanarak `BlockSignal` adı verilen Signal Android Messenger tabanlı açıkkaynaklı bir güvenli mesajlaşma uygulaması geliştirildi. Böylece, Signal uygulama-sında da bulunan kimlik doğrulama seremonisinin blokzincir vasıtasıyla ortadan kaldı-rılarak kullanıcıların güvenlik çemberinin dışına çıkarılması sağlandı. Bunun yanısıra,kimlik doğrulama problemi haricinde Signal uygulaması üzerinde literatürde mevcuttehdit olasılıklarının bir araya getirildiği bir tehdit modeli oluşturulmuş, BlockSignal uygulamasının güvenlik analizi yapılarak Signal'da karşılaşılabilecek tehditleri berta-raf edilebilecek kabiliyette olduğu gösterilmiştir.

End-to-end encryption is a security feature that is often based on public key cryp-tography and is used in many secure messaging applications. Thus, the transmittedmessages are transmitted as encrypted with a shared key generated by the contributionof the parties. In an application with this feature, a user's public key may be changedfor reasons such as device or SIM card change and reinstallation of the application, ormay also be different due to a possible attack. Therefore, the new public key needs tobe verified to prevent possible attacks and to ensure that communication is secure. Forthis purpose, many secure messaging applications have a mechanism called `authen-tication ceremony` in the case of public key changes, where public key verification isperformed by users by comparing the keys from a different channel. However, it doesnot seem to be a good idea to expect all users to complete the authentication ceremonycorrectly. Therefore, in this thesis, an open source secure messaging application basedon Signal Android Messenger called `BlockSignal` was developed using Blockstackplatform, a blockchain based public key infrastructure (PKI) system. Thus, the authen-tication ceremony in Signal application was eliminated by the blockchain and the userswere taken out of the security loop. In addition to this, a threat model was formed onthe Signal application, combining the possible threats which exist in the literature apartfrom the authentication ceremony problem, and the security analysis of the BlockSig-nal application was shown to be able to show that it can eliminate the threats that maybe encountered in Signal.