polito.it
Politecnico di Torino (logo)

Progetto, sviluppo e sperimentazione di un autenticatore innovativo su piattaforma Android basato sul fingerprint univoco della fotocamera = Design, development and testing of an innovative authenticator on Android platform relying on unique camera fingerprint.

Salvatore La Torre, Fabio Pandolfo

Progetto, sviluppo e sperimentazione di un autenticatore innovativo su piattaforma Android basato sul fingerprint univoco della fotocamera = Design, development and testing of an innovative authenticator on Android platform relying on unique camera fingerprint.

Rel. Giovanni Malnati, Daniele Apiletti. Politecnico di Torino, Corso di laurea magistrale in Ingegneria Informatica (Computer Engineering), 2019

Abstract:

Al giorno d'oggi il phishing rappresenta uno dei maggiori problemi nell'ambito della sicurezza del Web, basti pensare che nel 2018 circa l'80% delle violazioni relative ad account online sono imputabili a password deboli o mal custodite. La risposta collettiva del mondo IT a questa problematica è stata, fino ad oggi, la multi-factor authentication. Tale soluzione, tuttavia, rimane piuttosto frammentata e non risolve adeguatamente il problema in esame. A tal proposito, il World Wide Web Consortium (W3C), un'organizzazione non governativa internazionale che si occupa dello sviluppo delle potenzialità del World Wide Web, ha creato e standardizzato un protocollo phishing-resistant che può essere utilizzato da qualsiasi applicazione Web. L'elemento cardine di tale protocollo è rappresentato dalle Web Authentication API (WebAuthn), le quali consentono di implementare meccanismi di autenticazione forti che sfruttano la crittografia asimmetrica piuttosto che le tradizionali password, offrendo quella che tecnicamente viene definita come passwordless experience. L'obiettivo di questo lavoro di tesi è quello di realizzare un autenticatore software, conforme allo standard WebAuthn e che sfrutti il protocollo di trasporto Bluetooth Low Energy. Tale scelta ha lo scopo di fornire agli utenti un autenticatore da avere con sé in qualunque momento, sul proprio smartphone Android, eliminando la necessità di dover ricorrere a dispositivi hardware specifici, come i classici token. Tramite il protocollo CTAP (Client to Authenticator Protocol), l'applicazione è in grado di comunicare con varie piattaforme che ospitano browser Web compatibili con WebAuthn, ad esempio PC, tablet e smartphone. Per la generazione delle chiavi crittografiche necessarie al processo di autenticazione, è stata utilizzata un'innovativa tecnologia sviluppata da ToothPic S.r.l, che sfrutta le caratteristiche fisiche dei sensori della fotocamera per determinare una fingerprint univoca per ogni device, permettendo di utilizzare questa informazione per proteggere in modo sicuro la chiave privata dell’utente. Sono stati condotti degli esperimenti in diversi contesti e su molteplici dispositivi al fine di raccogliere dati statistici e monitorare il comportamento dell’applicazione in diversi scenari. A tale scopo è stata progettata un’architettura, composta da un database NoSQL (Firebase) ed un'interfaccia Web, che permette di collezionare e visualizzare in modo dinamico i dati raccolti. La tecnologia ToothPic è stata inoltre utilizzata per condurre degli studi sperimentali ai fini di analisi forense, allo scopo di identificare, a partire da una foto, la fotocamera che l'ha scattata. I risultati ottenuti a seguito del lavoro e degli esperimenti svolti, mostrano che utilizzando la tecnologia Toothpic è possibile realizzare un autenticatore software conforme allo standard WebAuthn, e condurre, sotto condizioni commercialmente utili, analisi forense con risultati promettenti.

Relatori: Giovanni Malnati, Daniele Apiletti
Anno accademico: 2018/19
Tipo di pubblicazione: Elettronica
Numero di pagine: 80
Informazioni aggiuntive: Tesi secretata. Fulltext non presente
Soggetti:
Corso di laurea: Corso di laurea magistrale in Ingegneria Informatica (Computer Engineering)
Classe di laurea: Nuovo ordinamento > Laurea magistrale > LM-32 - INGEGNERIA INFORMATICA
Aziende collaboratrici: NON SPECIFICATO
URI: http://webthesis.biblio.polito.it/id/eprint/10950
Modifica (riservato agli operatori) Modifica (riservato agli operatori)