Please use this identifier to cite or link to this item:
http://www.monografias.ufop.br/handle/35400000/6772
Title: | Implementação de software para demonstração de prova de posse em serviços Web. |
Authors: | Costa, Thiago Camargo da |
metadata.dc.contributor.advisor: | Cavalcanti, Carlos Frederico Marcelo da Cunha |
metadata.dc.contributor.referee: | Cavalcanti, Carlos Frederico Marcelo da Cunha Sica, Fernando Cortez Reis, Agnaldo José da Rocha |
Keywords: | Autenticação Criptografia de dados - computação Web - medidas de segurança Segurança de sistemas |
Issue Date: | 2024 |
Citation: | COSTA, Thiago Camargo da. Implementação de software para demonstração de prova de posse em serviços Web. 2024. 40 f. Monografia (Graduação em Ciência da Computação) - Instituto de Ciências Exatas e Biológicas, Universidade Federal de Ouro Preto, Ouro Preto, 2024. |
Abstract: | Protocolos e mecanismos de Autenticação, Autorização e Auditoria (AAA) são utilizados em sistemas computacionais para garantir a integridade e o não repúdio em rotinas de troca de informação. Demonstração de prova de posse busca evitar a utilização de informações, roubadas ou vazadas, por entidades ilegítimas. Um contexto das áreas de criptografia e sistemas computacionais é apresentado junto de dois dos padrões de autorização utilizados atualmente. O mecanismo apresentado no RFC 9449 é objeto de estudo deste trabalho. Uma análise de requisitos é conduzida com base na especificação do mecanismo contido no RFC 9449. Algumas das funcionalidades do mecanismo são implementadas e validadas por meio de testes automatizados. Para inviabilizar token replay attacks e token export attacks são implementados, respectivamente, um método para geração de nonces e um método para a obtenção do jkt de uma chave pública. Em relação ao fluxo representado na figura 1 do RFC 9449, têm-se que é possível construir requisições por tokens de acesso utilizando provas DPoP. A validação das reivindicações de um DPoP-Proof JWT não é possível de ser realizada de forma programática pela implementação elaborada. |
metadata.dc.description.abstracten: | Authentication, Authorization, and Accountability (AAA) protocols and mechanisms are used in computer systems to guarantee integrity and non-repudiation in information exchange routines. Demonstrating proof of possession seeks to prevent the usage of stolen or leaked information by illegitimate entities. A context about cryptography and computer systems is provided, along with two currently used authorization standards. The mechanism presented in RFC 9449 is the object of study in this work. A requirements analysis is conducted based on the specification contained in RFC 9449. Some of its functionalities are implemented and validated through automated testing. A method for generating nonces and one for obtaining the jkt of a public key are implemented to address token replay attacks and token export attacks. Concerning the flow represented in Figure 1 of RFC 9449, it is possible to construct requests for access tokens using DPoP proofs. It is not possible to programmatically validate the claims contained in a DPoP-Proof JWT by the implementation provided in this work. |
URI: | http://www.monografias.ufop.br/handle/35400000/6772 |
Appears in Collections: | Ciência da Computação |
Files in This Item:
File | Description | Size | Format | |
---|---|---|---|---|
MONOGRAFIA_ImplementacaoSoftwareDemonstracao.pdf | 406,81 kB | Adobe PDF | View/Open |
Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.