Migration of Signing Algorithms : An investigation in migration of signing algorithms used in certificate authorities.

The migration of signing algorithms is a process which can be used to move from signing algorithms which are regarded as less safe to algorithms which are regarded as safer. The safety of cryptographic algorithms has been compromised before, algorithms such as SHA-1 has been proven to be broken. The...

Full description

Bibliographic Details
Main Author: Hassan, Yusuf
Format: Others
Language:English
Published: KTH, Hälsoinformatik och logistik 2019
Subjects:
Online Access:http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-252762
id ndltd-UPSALLA1-oai-DiVA.org-kth-252762
record_format oai_dc
collection NDLTD
language English
format Others
sources NDLTD
topic signing
algorithm
migration
post-quantum
certificate
x.509
backwards
compatibility
signeringsalgoritm
signeringsalgoritmer
migration
postkvantum
certifikat
x.509
kompatibilitet
Software Engineering
Programvaruteknik
spellingShingle signing
algorithm
migration
post-quantum
certificate
x.509
backwards
compatibility
signeringsalgoritm
signeringsalgoritmer
migration
postkvantum
certifikat
x.509
kompatibilitet
Software Engineering
Programvaruteknik
Hassan, Yusuf
Migration of Signing Algorithms : An investigation in migration of signing algorithms used in certificate authorities.
description The migration of signing algorithms is a process which can be used to move from signing algorithms which are regarded as less safe to algorithms which are regarded as safer. The safety of cryptographic algorithms has been compromised before, algorithms such as SHA-1 has been proven to be broken. The goal of this study was to find criteria that could define a successful migration as well as evaluating a method to perform a migration. The criteria were found by evaluating related works found in an RFC document as well as in a Springer conference paper. The criteria that was found was the following: backwards compatibility, no downtime, no need for mass revocation, no need for strict scheduling and no extra overhead. The evaluated method utilized a construct called a multiple key certificate; it was chosen because it conformed to most of the found criteria. The multiple key certificate utilized two different key pairs, one generated from a conventional algorithm and the other using an alternative algorithm, it also conformed to the x.509 standard. The alternative algorithm could be chosen to be a post quantum algorithm. The prototype was tested for time overhead, memory overhead and backward compatibility. The results of testing to sign and verify 10 000 certificates as well as examining the file size of the certificate showed that the choice of alternative algorithm heavily affects the time overhead of the prototype certificate. The multiple key certificate also proved to be backwards compatible with widely used applications. This solution has proven itself to act in accordance to all the newly established criterion except for the criterion regarding overhead however, alternative algorithms could be strategically chosen to minimize overhead. The multiple key certificate seems to be a successful way to migrate signing algorithms. === Migration av signeringsalgoritmer som används i certifikat är en process som kan behövas när en signeringsalgoritm som är mindre säker ska ersättas med en som är mer säker. Säkerheten som återfinns hos kryptografiska algoritmer har brutits förut, algoritmer såsom SHA-1 har bevisats vara osäkra. Målet med denna studie var att ta fram kriterier som kan definiera en lyckad migration samt evaluera en metod som kan användas för att utföra en migration. Kriterierna togs fram genom att studera tidigare arbeten inom migration av signeringsalgoritmer, dessa arbeten återfinns hos RFC dokument samt konferensrapporter från Springer. Kriterierna som togs fram var följande: kompatibilitet med äldre system, ingen nertid, inget behov av massrevokering, inget behov av strikta tidsscheman samt ingen extra omkostnad. Metoden som utvärderades kallas för flernyckels certifikat. Den valdes för att den följde flest av de nyfunna kriterierna. Lösningen utnyttjar två olika nyckelpar, nämligen ett nyckelpar som har genererats med en konventionell algoritm samt ett nyckelpar som har genererats med en alternativ algoritm. Lösningen följer även x.509 standarden. Den alternativa algoritmen kan väljas så att den är postkvantum. Prototypen testades för omkostnad i tid samt minne genom att signera och verifiera 10 000 certifikat samt att titta på certifikatens filstorlek. Prototypen testades även för kompatibilitet med kända applikationer. Resultaten visade att valet av alternativa algoritmer hade stor påverkan på omkostnaderna. Tester visade att prototypen var kompatibel med applikationer som används i stor utsträckning. Lösningen verkade följa alla nyfunna kriterier förutom kriteriet angående omkostnad men den alternativa algoritmen kan strategiskt väljas för att minimera omkostnaden. Prototypen verkar vara ett lyckat sätt att migrera signeringsalgoritmer.
author Hassan, Yusuf
author_facet Hassan, Yusuf
author_sort Hassan, Yusuf
title Migration of Signing Algorithms : An investigation in migration of signing algorithms used in certificate authorities.
title_short Migration of Signing Algorithms : An investigation in migration of signing algorithms used in certificate authorities.
title_full Migration of Signing Algorithms : An investigation in migration of signing algorithms used in certificate authorities.
title_fullStr Migration of Signing Algorithms : An investigation in migration of signing algorithms used in certificate authorities.
title_full_unstemmed Migration of Signing Algorithms : An investigation in migration of signing algorithms used in certificate authorities.
title_sort migration of signing algorithms : an investigation in migration of signing algorithms used in certificate authorities.
publisher KTH, Hälsoinformatik och logistik
publishDate 2019
url http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-252762
work_keys_str_mv AT hassanyusuf migrationofsigningalgorithmsaninvestigationinmigrationofsigningalgorithmsusedincertificateauthorities
AT hassanyusuf migrationavsigneringsalgoritmerundersokningavmigrationavsigneringsalgoritmersomanvandsavcertifkatauktoriteter
_version_ 1719202530466988032
spelling ndltd-UPSALLA1-oai-DiVA.org-kth-2527622019-06-11T04:39:12ZMigration of Signing Algorithms : An investigation in migration of signing algorithms used in certificate authorities.engMigration av signeringsalgoritmer : Undersökning av migration av signeringsalgoritmer som används av certifkatauktoriteter.Hassan, YusufKTH, Hälsoinformatik och logistik2019signingalgorithmmigrationpost-quantumcertificatex.509backwardscompatibilitysigneringsalgoritmsigneringsalgoritmermigrationpostkvantumcertifikatx.509kompatibilitetSoftware EngineeringProgramvaruteknikThe migration of signing algorithms is a process which can be used to move from signing algorithms which are regarded as less safe to algorithms which are regarded as safer. The safety of cryptographic algorithms has been compromised before, algorithms such as SHA-1 has been proven to be broken. The goal of this study was to find criteria that could define a successful migration as well as evaluating a method to perform a migration. The criteria were found by evaluating related works found in an RFC document as well as in a Springer conference paper. The criteria that was found was the following: backwards compatibility, no downtime, no need for mass revocation, no need for strict scheduling and no extra overhead. The evaluated method utilized a construct called a multiple key certificate; it was chosen because it conformed to most of the found criteria. The multiple key certificate utilized two different key pairs, one generated from a conventional algorithm and the other using an alternative algorithm, it also conformed to the x.509 standard. The alternative algorithm could be chosen to be a post quantum algorithm. The prototype was tested for time overhead, memory overhead and backward compatibility. The results of testing to sign and verify 10 000 certificates as well as examining the file size of the certificate showed that the choice of alternative algorithm heavily affects the time overhead of the prototype certificate. The multiple key certificate also proved to be backwards compatible with widely used applications. This solution has proven itself to act in accordance to all the newly established criterion except for the criterion regarding overhead however, alternative algorithms could be strategically chosen to minimize overhead. The multiple key certificate seems to be a successful way to migrate signing algorithms. Migration av signeringsalgoritmer som används i certifikat är en process som kan behövas när en signeringsalgoritm som är mindre säker ska ersättas med en som är mer säker. Säkerheten som återfinns hos kryptografiska algoritmer har brutits förut, algoritmer såsom SHA-1 har bevisats vara osäkra. Målet med denna studie var att ta fram kriterier som kan definiera en lyckad migration samt evaluera en metod som kan användas för att utföra en migration. Kriterierna togs fram genom att studera tidigare arbeten inom migration av signeringsalgoritmer, dessa arbeten återfinns hos RFC dokument samt konferensrapporter från Springer. Kriterierna som togs fram var följande: kompatibilitet med äldre system, ingen nertid, inget behov av massrevokering, inget behov av strikta tidsscheman samt ingen extra omkostnad. Metoden som utvärderades kallas för flernyckels certifikat. Den valdes för att den följde flest av de nyfunna kriterierna. Lösningen utnyttjar två olika nyckelpar, nämligen ett nyckelpar som har genererats med en konventionell algoritm samt ett nyckelpar som har genererats med en alternativ algoritm. Lösningen följer även x.509 standarden. Den alternativa algoritmen kan väljas så att den är postkvantum. Prototypen testades för omkostnad i tid samt minne genom att signera och verifiera 10 000 certifikat samt att titta på certifikatens filstorlek. Prototypen testades även för kompatibilitet med kända applikationer. Resultaten visade att valet av alternativa algoritmer hade stor påverkan på omkostnaderna. Tester visade att prototypen var kompatibel med applikationer som används i stor utsträckning. Lösningen verkade följa alla nyfunna kriterier förutom kriteriet angående omkostnad men den alternativa algoritmen kan strategiskt väljas för att minimera omkostnaden. Prototypen verkar vara ett lyckat sätt att migrera signeringsalgoritmer. Student thesisinfo:eu-repo/semantics/bachelorThesistexthttp://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-252762TRITA-CBH-GRU ; 2019:034application/pdfinfo:eu-repo/semantics/openAccess