Invited Speaker1: Dr. Hayyan Slman Hasan
Dept. Computer and automatic control engineering
Faculty of Mechanical and Electrical Engineering
Albaath university Syrian Arab Republic
Model Driven Engineering (MDE) for Android security
Android OS is the most used operation system in the mobile marketplace, and the number of Android users is growing tremendously. As a result, the number of risks that threatens Android users is increasing and cannot be ignored. These risks are coming from the vulnerable applications that have been uploaded every day into google play or into any other online store. Another source of risks is Android malware which have become real and growing risks to Android users. Traditional approaches tried to handle the various Android risks. These approaches used static or dynamic analyses to detect the vulnerable points or malicious payloads in the Android application code.
However, these approaches have many shortcomes in the case of scalability, reusability or integration. Another shortcome is the need to provide suitable and easy way to involve the analyzer in the analysis process. In this speech we highlight the impact of using Model Driven Engineering (MDE) approach on various Android security aspects. Using MDE provides the ability to extract the required information from the Android applications and integrate them into one model. Using models provides high level representations of the extracted information from Android applications and provides the ability to involve the analyzer in the analysis processes to achieve better results with less time and efforts.
|
Invited Speaker2: Dr. Mohammad Ali
Assistant Professor of the Department of Mathematics and computer science, Amirkabir University of Technology
Attribute-based remote data auditing and user authentication for cloud storage systems
Remote data auditing (RDA) protocol enables a cloud server to persuade an auditor that it is storing a data file honestly. Unlike digital signature (DS) schemes, in RDA protocols, the auditor can carry out the auditing procedure without having the entire data file. Therefore, RDA protocols seem to be attractive alternatives to DSs as they can effectively reduce bandwidth consumption. However, existing RDA protocols do not provide adequately powerful tools for user authentication. In this paper, we put forward a novel attribute-based remote data auditing and user authentication scheme. In our proposed scheme, without having a data file outsourced to a cloud server, an auditor can check its integrity and authenticity of its issuer. Indeed, through a challenge-response protocol, the auditor can check whether 1) the cloud server has changed the content of the data file or not; 2) the data owner possesses a specific attribute set or not. We present the formal security definition and prove the security of our scheme under the hardness assumption of the bilinear Diffie-Hellman (BDH) problem. Our experimental results indicate that our scheme is efficient and applicable.
|
Invited Speaker3: Dr. Javad Gharreh Chamani
Hong Kong University of Science and Technology
Secure and Practical Search over Dynamic Encrypted Datasets
We study the problem of dynamic symmetric searchable encryption (DSE) where one or more data owners store their encrypted data on an untrusted remote server, and wishes to efficiently search on it. We specifically focus on dynamic schemes with efficient support for data insertion, deletion, and modification. In particular, it is crucial to minimize the information revealed to the server as a result of not only search queries, but also updates. We present schemes that achieve the two strongest privacy notions for DSE: forward and backward privacy. The first makes it hard for the server to link an update operation with previous queries, while the second limits what the server can learn about entries that were deleted from the database, from queries that happen after the deletion. Our results improve the state-of-the-art in this area across multiple aspects, as we describe next.
First, we introduce novel constructions that are extremely lightweight while also achieving stronger backward privacy notions than existing ones. Our first scheme Mitra achieves Type-II backward privacy and is, to the best of our knowledge, the fastest and easiest to implement DSE scheme to date. Our second scheme Orion achieves even stronger Type-I backward privacy and is the only implemented scheme in the literature of its kind. Finally, our third scheme Horus improves the second one by reducing the number of communication roundtrips during queries but reveals slightly more information to the server (Type-III backward privacy). Second, we explicitly focus on DSE with efficient (optimal/quasi-optimal) search in the presence of deletions, i.e., constructions where the search overhead is within a polylogarithmic multiplicative factor of the theoretical optimal (i.e., the result size of a search). This property is achieved by our schemes Orion and Horus but we next aim at much more practically efficient schemes. Towards that end, we first propose OSSE, the first DSE scheme that can achieve asymptotically optimal search time, improving the previous state-of-the-art by a multiplicative logarithmic factor. We also propose an alternative scheme LLSE, that achieves a sublogarithmic search overhead compared to the optimal. While this is slightly worse than the previous scheme, it still outperforms all prior works, while also achieving faster deletions and smaller server storage. Finally, we prototype all our schemes and open-source their code. We evaluate their performance for different datasets and queryloads, experimentally compare them with prior state-of-the-art DSE schemes, and report the results.
|
سخنران کلیدی چهارم: دکتر مریم زارع زاده
فارغ التحصیل مقطع دکتری رشته فناوری اطلاعات، گرایش امنیت اطلاعات، دانشگاه اصفهان
موضوع سخنرانی: محاسبه امن ضرب اسکالر برای حفظ حریم خصوصی در داده کاوی
محاسبات امن زیرشاخهای از رمزنگاری نوین است که برای دو یا بیش از دو موجودیت این امکان را فراهم میآورد که به طور امن تابع دلخواهی از ورودیهای محرمانه خود را محاسبه کنند. این تابع میتواند هر عمل محاسباتی توزیع شده از محاسبات ساده همچون پرتاب سکه تا محاسبات پیچیده همانند رأیگیری الکترونیکی و حراج الکترونیکی باشد. ضرب امن اسکالر یک نمونه کاربردی از محاسبات امن در بسیاری از زمینههای حفظ کنندهی حریم خصوصی میباشد. به عنوان مثال در دادهکاوی و ادغام دادهها از منابع مختلف، چالشهای امنیتی و حریم خصوصی زیادی وجود دارد. امنیت راهکار حفظ کنندهی حریم خصوصی در عملیات دادهکاوی به امنیت پروتکل ضرب اسکالر بستگی دارد. تاکنون روشهایی برای ضرب امن اسکالر ارائه شده است اما با تهدید کامپیوترهای کوانتومی، موضوع ارائه راهکارهایی امن در مقابل حملهکنندگان کوانتومی مطرح میباشد. به عبارت دیگر حمله کننده، پروتکل ضرب داخلی را اجرا کرده و با کمک کامپیوترهای کوانتومی تلاش میکند ورودی دو بردار در عملیات دادهکاوی را بدست آورد. در این سخنرانی راهکاری برای محاسبه امن ضرب اسکالر به روشی مقیاسپذیر و غیرتعاملی ارائه میگردد.
|
سخنران کلیدی پنجم: دکتر سمیه دولت نژاد
فارغ التحصیل مقطع دکتری رشته مهندسی کامپیوتر دانشگاه صنعتی شریف
راستی آزمایی صحت اجرای توابع تجمعی برونسپاریشده با منابع دادهی توزیعشده
در سالهای اخیر، یکی از موضوعات مورد پژوهش در حوزهی امنیت محاسبات برونسپاری شده، راستیآزمایی صحت احرای محاسبات برونسپاری شده بر روی دادههای دریافتی از چندین منبعداده است. در این ارایه، مسئلهی راستیآزمایی صحت اجرای پرسمانهای درخواستی کاربر در کارساز غیرقابل اعتماد، برای توابع تجمعی بررسی شده است. در خصوص بررسی درستی نتایج اجرای توابع تجمعی، تا کنون راهحلی جامع که انواع توابع آماری همچون بیشینه، کمینه، چند-بالاترین/چند-پایینترین، میانه و پرسمانهای بازهای را پوشش دهد، ارایه نشده است. در این ارایه، ابتدا با استفاده از امضای همریخت RSA، ساختی برای بررسی درستی نتایج اجرای توابع خطی ارایه شده است. به دلیل اینکه هزینه بررسی درستی خروجی توابع خطی در این ساخت ثابت است و با افزایش تعداد منابعداده افزایش نمییابد، در ادامه با استفاده از این ساختار، ساختاری برای بررسی درستی نتایج اجرای توابع تجمعی آماری و پرسمان بازهای ارایه شده است. در انتها، راهحلهای ارایه شده برای پرسمانهای دارای پنجره نیز توسعه داده شدهاند. راهحلهای ارایه شده بر اساس مساله RSA در مدل اوراکل تصادفی، امن و دارای ویژگیهای درستی و اختصار هستند. در راهحلهای ارایه شده، سربار ارتباطی به صورت لگاریتمی به اندازه وروی وابسته است و سربار محاسباتی به پارامترهای ثابت موجود در ساختارها که در زمان راهاندازی تنظیمشدهاند وابسته است.
|
سخنران کلیدی ششم: دکتر مهدی اصفهانی
فارغ التحصیل دوره پسادکتری دانشگاه صنعتی شریف
مروری بر امنیت ریزمعماری پردازنده ها
اخیراً نشت اطلاعات محرمانه از برخی اجزای ریزمعماری پردازندهها با استفاده از روشهای نرمافزاری، دغدغهای جدی بین طراحان و سازندگان پردازندههای اینتل و ARM ایجاد کرده و حتی تبدیل به یک چالش جدی بین تولیدکنندگان نرمافزارهای امنیتی و سیستمعاملها شده است. به وسیلهی آسیبپذیریهای سختافزاری مبتنی بر ریزمعماری، حملاتی مانند Spectre و Meltdown در پردازندههای مدرن شناسایی شدند که مهاجم میتواند با استفاده از این آسیبپذیریها، گذرواژهها و دادههای مخفی در حال پردازش را استخراج کند. در حالت عادی، برنامهها مجوز خواندن دادهی برنامههای دیگر یا سیستمعامل را ندارند اما یک برنامهی مخرب که از آسیبپذیریهای Spectre و Meltdown استفاده میکند، میتواند دادههای مخفی خود سیستمعامل یا برنامههای دیگر را مانند: گذرواژههای ذخیرهشده در مدیریت رمز عبور یا در مرورگرها ، عکسهای شخصی، ایمیلها و ... را استخراج نماید. حملات مبتنی بر Spectre و Meltdown در کامپیوترها، موبایلها و فضای ابر قابل کاربرد است. در سال 2018 اینتل طی گزارشی اعلام کرد که برای مقابله با حملات مبتنی بر Spectre و Meltdown، روی پردازندهها طراحی مجدد انجام داده است. در سال 2019 لیپ و همکارانش حملهای را تحت عنوان Fallout معرفی کردند و نشان دادند پردازندههایی که در برابر Meltdown مقاوماند، هنوز در برابر این نوع حملات آسیبپذیر هستند. در این ارائه ابتدا اهمیت و هدف حملات ریزمعماری پردازندهها مورد بررسی قرار گرفته و سپس مبانی اولیه و تشریح کامل حملات Spectre و Meltdown بیان خواهد شد. اشارهای به واریانتهای مختلف حملات Spectre و Meltdown خواهد شد و امنیت انواع مختلف پردازندههای اینتل و ARM در برابر این حملات مورد بررسی قرار خواهند گرفت.
|