THE USABILITY AND SECURITY OF ENCRYPTION APPLICATIONS USING TOKEN-BASED AUTHENTICATION

AlMahawes, Riham Suleiman Mohammed ; المهوس, رهام سليمان محمد ; الحربي, فهد محمد عباس . مشرف (2019-04-02)

رسالة (ماجستير)-جامعة نايف العربية للعلوم الأمنية، كلية أمن الحاسب والمعلومات، قسم أمن المعلومات، تخصص أمن المعلومات،

142 ورقة :

مستخلص المادة العلمية :

The distribution of sensitive documents can be considered a fundamental process in any organization. As the governmental organizations in Saudi Arabia are gradually being transferred to electronic systems, the threat of compromising sensitive documents has increased. The current research focuses on evaluating the usability and security of Entrust Managed Services PKI™ which is used in most of the Saudi governments' organizations. Entrust Managed Services PKI™ is a public key infrastructure application. Moreover, this application offers security services which are public key encryption and digital signatures. The Entrust Managed Services PKI™ application is integrated with SafeNet application in order to implement a token-based authentication mechanism. As the application is used for transferring sensitive documents, exposing the security of this application could lead to the release of sensitive documents of the Saudi government. On the other hand, some security applications are no longer used because of their difficulties. Consequently, this research evaluates the usability and security of the application. The goal of this research is to ensure the user usability of the application is on an acceptable level. The evaluation of the application's usability was conducted by measuring the usability components of efficiency, effectiveness, and satisfaction. Furthermore, Six Sigma's DMAIC methodology was implemented to improve the usability of Entrust Managed Services PKI™ processes. In addition, reference was made to the possible actions that can compromise the application's security. Furthermore, the vulnerabilities of the application were identified and analysed by implementing the OWASP risk rating methodology. Moreover, relevant suggestions and recommendations were provided. Besides, penetration testing was used in order to evaluate the application's security by implementing the NIST methodology. This research contributes to improving Entrust Managed Services PKI™ application's usability and security by providing enhancements to its provider. The present research contributes to the knowledge of evaluating the usability and security of PKI applications. Moreover, the usability results highlight that the Entrust Managed Services PKI™ application is easy to use and consistent by achieving 80% usability according to usability measurements. However, the application is still burdened with some usability issues that should be improved. On the other hand, the obtained security results show that the application has several vulnerabilities that are required to be fixed. The most critical vulnerability is that the users can encrypt a malicious document which make it undetectable by anti-virus software. In addition, when a user decrypts a file, there is no security scan functionality which scans and ensures that the document is a safe document. In addition, the application should prevent the use of previous or default passwords for the tokens. These vulnerabilities have a medium severity level which are required to be fixed to prevent their exploitation.

تبادل الوثائق السرية بين المنظمات يعتبر ركيزة أساسية في عمل أي منظمة. ونتيجة لرؤية المملكة ل 2030 فأن المنظمات الحكومية في المملكة العربية السعودية تعمل تدريجياً إلى نقل أنظمتها إلى الأنظمة الإلكترونية، ولذلك ازداد خطر التعرض لأمن هذه الوثائق. يهدف البحث على تقييم أمن وقابلية استخدام تطبيق خدمات البنية التحتية للمفتاح العام المدار من قبل (Entrust PKI ™️) والمعتمد من قبل معظم المنظمات الحكومية السعودية. وتتضمن خدمات الامن لتطبيق (Entrust PKI ™️) خدمات التشفير باستخدام المفتاح العام والتوقيع الرقمي. اضافةً الى ذلك، تم دمج هذا التطبيق مع تطبيق SafeNet من أجل تطبيق آلية المصادقة المستندة إلى الرمز المميز. ونظرًا لاستخدام تطبيق (Entrust PKI ™️) لنقل الوثائق الحساسة، فإن الكشف عن أمان هذا التطبيق يؤدي الى الكشف عن الوثائق الحساسة لأنظمة الحكومة السعودية. وعلاوة على ذلك، هنالك الكثير من التطبيقات الأمنية التي لم تعد تستخدم بسبب صعوباتها. وبناء على ما تم ذكره، يقوم هذا البحث بتقييم قابلية الاستخدام وأمن تطبيق (Entrust PKI ™️). ولتحقيق أحد أهداف الرسالة بقياس قابلية استخدام التطبيق، فقد تم قياس مكونات قابلية الاستخدام وهي الكفاءة والفعالية والرضا. وتم تطبيق منهجية Six Sigma الخاصة بـ DMAIC لتحسين قابلية استخدام عمليات التطبيق. وقد تم قياس أمن تطبيق (Entrust PKI ™️) لإتمام الهدف الثاني من الدراسة. وذلك بالإشارة إلى الإجراءات المحتملة التي يمكن أن تهدد أمان التطبيق. وتم تحديد نقاط الضعف فيه وتحليلها من خلال تطبيق منهجية تصنيف المخاطر OWASP. بالإضافة إلى ذلك، تم استخدام اختبار الاختراق من أجل تقييم أمان التطبيق من خلال تطبيق منهجية NIST. ونتيجة لمنهجية الدراسة تم تقديم الاقتراحات والتوصيات لتطوير سهولة استخدام التطبيق وأمانه. وعلاوة على ذلك، نتج من دراسة قابلية الاستخدام أن تطبيق (Entrust PKI ™️) سهل الاستخدام من خلال تحقيق 80٪ بعد إجراء قياسات قابلية الاستخدام. ومع ذلك، لا يزال التطبيق محملاً ببعض مشكلات قابلية الاستخدام التي يجب تحسينها. من ناحية أخرى، تظهر نتائج الأمان التي نتجت من الدراسة أن التطبيق يحتوي على العديد من الثغرات الأمنية الموصي بإصلاحها. ونتيجة لتجربة الدراسة والنتائج التي تم الوصول إليها فإن هذا البحث يساهم في معرفة تقييم الأمن وسهولة الاستخدام لجميع تطبيقات البنية التحتية للمفتاح العام.