Implementation of practical and secure methods for storage of cryptographic keys in applications

Abstract

Encryption has been essential to protect modern systems and services. It became the security foundation of databases, payment systems, cloud services, and others. Cryptography enabled the creation and validation of digital signatures, where the protection of the private key is very important to prevent false signatures. Cryptocur rencies rely on this mechanism. Crypto wallets hold private keys used to sign transactions and prove ownership of a digital asset. These have to keep the private key secure, but accessible to its owner, as it may be needed frequently. With the increasing number of decentralized web applications that interact with a blockchain, this subject has become more prevalent, as they usually require frequent signatures from the user. The mass adoption of cryptocurrencies by non-technical users urged the creation of crypto wallets that are secure but prioritize usability. Some of these are hosted services that store the private keys in their servers and others are non-hosted, where the user is responsible for storing it. When implemented as a browser plugin, these wallets allow the user to seamlessly interact with a web application. The rise of cloud technology brought forth multi-signature on the cloud, by combining different cloud services owned by the user. These give the user control of his private key and are less vulnerable to cyber attacks. In this work, it is presented a comprehensive analysis of existing crypto wallet approaches in usability and security to understand the existing problems. The next step was to propose multiple possible solutions to those problems and produce their implementations. These take advantage of previously studied multi-cloud technology and are used to attempt to improve usability and security. To evaluate the proposed solutions and to compare them to the existing ones, we have developed a framework that consisted of various objective tests based on previous work, which have the goal of evaluating security and usability. Finally, the proposed and existing solutions were compared using the proposed framework.

A encriptação tem sido fundamental para proteger serviços e sistemas modernos, tornando-se essencial para proteger bases de dados, sistemas de pagamento, serviços de nuvem, entre outros. A criptografia permitiu a criação e validação de assinaturas digitais, onde a proteção da chave privada é bastante importante para impedir assinaturas falsas. As criptomoedas dependem deste mecanismo. As carteiras digitais contém chaves privadas que são usadas para assinar transações e provar a posse de um artefacto digital. Estas guardam a chave privada de forma segura e acessível ao seu proprietário, pois pode ser necessária frequentemente. Com o aumento do número de aplicações web descentralizadas que interagem com blockchains, este assunto tem ganho relevância, pois estas podem necessitar assinaturas frequentes por parte do utilizador. A adoção em massa de criptomoedas por utilizadores não técnicos levou à necessidade de criar carteiras digitais seguras, mas que priorizam a usabilidade. Algumas destas carteiras classificam-se como serviços hosted, que guardam as chaves privadas nos seus servidores, e outras como non-hosted, onde o utilizador é responsável por as guardar. Quando implementadas como um browser plugin, estas carteiras permitem o uti lizador interagir fluidamente com uma aplicação web. A ascensão da tecnologia nuvem permitiu o aparecimento da múltipla assinatura na nuvem, através da combinação de diferentes serviços de nuvem já possuídos pelo utilizador. Estes dão ao utilizador controlo total da sua chave privada e são menos vulneráveis a ciberataques. Neste trabalho, é feita uma análise compreensiva à usabilidade e segurança dos vários tipos de carteiras digitais, para perceber os seus problemas existentes. O próximo passo foi propor várias possíveis soluções aos problemas encontrados e também fazer a sua implementação. Estas utilizam trabalho previamente estudado sobre tecnologia multi-nuvem e são usadas para com intuito de melhorar a usabilidade e segurança. Para fazer uma avaliação das soluções propostas e compará-las a produtos existentes, desenvolvemos uma framework para testar segurança e usabilidade com vários testes objetivos, baseados em trabalho previamente estudado. No final, as soluções propostas e as já existentes foram comparadas utilizando o framework proposto.