Implementation and evaluation of TLS enabled web server without trusting the operating system
Issued Date
2024
Copyright Date
2017
Resource Type
Language
eng
File Type
application/pdf
No. of Pages/File Size
ix, 41 leaves : ill.
Access Rights
open access
Rights
ผลงานนี้เป็นลิขสิทธิ์ของมหาวิทยาลัยมหิดล ขอสงวนไว้สำหรับเพื่อการศึกษาเท่านั้น ต้องอ้างอิงแหล่งที่มา ห้ามดัดแปลงเนื้อหา และห้ามนำไปใช้เพื่อการค้า
Rights Holder(s)
Mahidol University
Bibliographic Citation
Thesis (M.Sc. (Computer Science))--Mahidol University, 2017
Suggested Citation
Chiraphat Chaiphet Implementation and evaluation of TLS enabled web server without trusting the operating system. Thesis (M.Sc. (Computer Science))--Mahidol University, 2017. Retrieved from: https://repository.li.mahidol.ac.th/handle/20.500.14594/92477
Title
Implementation and evaluation of TLS enabled web server without trusting the operating system
Alternative Title(s)
การพัฒนาและประเมินเครื่องแม่ข่ายเว็บที่ใช้ TLS โดยไม่เชื่อถือระบบปฏิบัติการ
Author(s)
Abstract
Web servers use SSL/TLS protocol to establish secure communication between clients and servers. The mechanism of SSL/TLS relies on a key pair to validate the server and to protect the confidentiality of the data. However, many websites are running on third-party servers or on cloud environments where website owners have no control over the physical servers or the software including the operating systems but still need to trust and store the private key on the servers it is common to store the encrypted key on the disk, the web server still needs a decrypted key inside the memory during the operation. Thus, an adversary could obtain the private key residing on the web server's memory. We proposed a secure enclave for a web server running the high p code that handles the secret keys inside an encrypted memory area by utilizing Intel Software Guard Extension (SGX). This secure enclave protects the key from an adversary by preventing external access to the secret keys memory area. The evaluation results showed 19% to 38% reduced throughput depending on which cipher suite is used and how a session key is handled
เครื่องแม่ข่ายของเว็บไซต์ในปัจจุบันใช้ SSL/TLS เป็นมาตรฐานในการเชื่อมต่ออย่าง ปลอดภัยระหว่างเครื่องแม่ข่ายและเครื่องลูกข่าย ซึ่งกระบวนการของ SSL/TLS นั้นอาศัยคู่ของกุญเจ (Public Key / Private Key) เพื่อพิสูจน์ตัวตนของเครื่องแม่ข่ายและเพื่อปกป้องความลับของข้อมูล อย่างไรก็ตามเว็บไซด์ในปัจจุบันมักใช้บริการเครื่องแม่ข่ายจากผู้ให้บริการอื่น เจ้าของเว็บไซต์ไม่มีสิทธิ์ในการควบคุมหรือเข้าถึงตัวเครื่องได้ แต่เจ้าของเว็บไซต์ก็ยังจำต้องไว้วางใจและ ฝากกุญแจส่วนตัว (Private key) ไว้กับครื่องแม่ข่ายของผู้ให้บริการ ถึงแม้ว่าจะสามารถเก็บกุญแจ ที่ถูกเข้ารหัสไว้บนดิสก็ได้ แต่เครื่องแม่ข่ายของเว็บไซต์ยังคงต้องการกุญแจที่ถอดรหัสแล้วใน หน่วยความจำระหว่างให้บริการ ดังนั้นผู้ประสงค์ร้ายจะมีโอกาสเข้าถึงกุญแจส่วนตัวที่อยู่ใน หน่วยความจำของเครื่องแม่ข่าขของว็บไซต์ได้หากระบบมีช่องโหว่ด้านความปลอดภัย วิทยานิพนธ์เล่มนี้นำเสนอการใช้เทคโนโลยี Intel Software Guard Extension (SGX) เพื่อแบ่งพื้นที่หน่วยความจำบางส่วนเป็นพื้นที่เข้ารหัส ซึ่งจะมีเพียงเฉพาะชุดโปรแกรมที่ ได้รับอนุญาตที่สามารถเข้าถึงข้อมูลได้โดยไม่ต้องการใช้เครื่องมือพิศษนอกจากหน่วยประมวลผล ของเครื่องแม่ข่ายเอง กระบวนการเข้ารหัสหน่วขยความจำนี้สามารถป้องกันไม่ให้ผู้ประสงค์ร้าย นำเอากุญแจออกจากเครื่องแม่ข่ายได้ จกผลการประเมินประสิทธิภาพ พบว่าวิธีการนี้ทำให้ ประสิทธิภาพของเครื่องแม่ข่ายลดลงร้อยละ 19 ถึงร้อยละ 38 ขึ้นอยู่กับว่าใช้กรรมวิธีเข้ารหัสและ ลักษณะการจัดการกุญแจอย่างไร เพื่อแลกกับความปลอดภัยบองกุญแจเข้ารหัสที่สูงขึ้น
เครื่องแม่ข่ายของเว็บไซต์ในปัจจุบันใช้ SSL/TLS เป็นมาตรฐานในการเชื่อมต่ออย่าง ปลอดภัยระหว่างเครื่องแม่ข่ายและเครื่องลูกข่าย ซึ่งกระบวนการของ SSL/TLS นั้นอาศัยคู่ของกุญเจ (Public Key / Private Key) เพื่อพิสูจน์ตัวตนของเครื่องแม่ข่ายและเพื่อปกป้องความลับของข้อมูล อย่างไรก็ตามเว็บไซด์ในปัจจุบันมักใช้บริการเครื่องแม่ข่ายจากผู้ให้บริการอื่น เจ้าของเว็บไซต์ไม่มีสิทธิ์ในการควบคุมหรือเข้าถึงตัวเครื่องได้ แต่เจ้าของเว็บไซต์ก็ยังจำต้องไว้วางใจและ ฝากกุญแจส่วนตัว (Private key) ไว้กับครื่องแม่ข่ายของผู้ให้บริการ ถึงแม้ว่าจะสามารถเก็บกุญแจ ที่ถูกเข้ารหัสไว้บนดิสก็ได้ แต่เครื่องแม่ข่ายของเว็บไซต์ยังคงต้องการกุญแจที่ถอดรหัสแล้วใน หน่วยความจำระหว่างให้บริการ ดังนั้นผู้ประสงค์ร้ายจะมีโอกาสเข้าถึงกุญแจส่วนตัวที่อยู่ใน หน่วยความจำของเครื่องแม่ข่าขของว็บไซต์ได้หากระบบมีช่องโหว่ด้านความปลอดภัย วิทยานิพนธ์เล่มนี้นำเสนอการใช้เทคโนโลยี Intel Software Guard Extension (SGX) เพื่อแบ่งพื้นที่หน่วยความจำบางส่วนเป็นพื้นที่เข้ารหัส ซึ่งจะมีเพียงเฉพาะชุดโปรแกรมที่ ได้รับอนุญาตที่สามารถเข้าถึงข้อมูลได้โดยไม่ต้องการใช้เครื่องมือพิศษนอกจากหน่วยประมวลผล ของเครื่องแม่ข่ายเอง กระบวนการเข้ารหัสหน่วขยความจำนี้สามารถป้องกันไม่ให้ผู้ประสงค์ร้าย นำเอากุญแจออกจากเครื่องแม่ข่ายได้ จกผลการประเมินประสิทธิภาพ พบว่าวิธีการนี้ทำให้ ประสิทธิภาพของเครื่องแม่ข่ายลดลงร้อยละ 19 ถึงร้อยละ 38 ขึ้นอยู่กับว่าใช้กรรมวิธีเข้ารหัสและ ลักษณะการจัดการกุญแจอย่างไร เพื่อแลกกับความปลอดภัยบองกุญแจเข้ารหัสที่สูงขึ้น
Description
Computer Science (Mahidol University 2017)
Degree Name
Master of Science
Degree Level
Master's degree
Degree Department
Faculty of Information and Communication Technology
Degree Discipline
Computer Science
Degree Grantor(s)
Mahidol University