- Gazi Üniversitesi Mühendislik Mimarlık Fakültesi Dergisi
- Volume:34 Issue:4
- Hsiang m-kupon protokolünün güvenlik analizi
Hsiang m-kupon protokolünün güvenlik analizi
Authors : Kerim YILDIRIM, Gökhan DALKILIÇ, Nevcihan DURU
Pages : 1705-1724
Doi:10.17341/gazimmfd.571490
View : 31 | Download : 17
Publication Date : 2019-06-25
Article Type : Research Paper
Abstract :Günümüzde mobil cihazlar üzerlerinde barındırdıkları teknolojiler sayesinde günlük hayatın her alanına girmiştir. Bu uygulamalara örnek olarak yeni bir alan olan ve mobil cihazlarda kullanılan m-kupon uygulaması verilebilir. Mobil kupon kullanımının yaygınlaştırılabilmesi için gerekli olan hususlardan birisi, kullanıcı güvenliğinin sağlanmasıdır. M-kuponun elde edilmesi/kullanılması aşamasındaki güvenlik, sadece bilinen şifreleme algoritmaları kullanılarak sağlanamaz. Şifreleme algoritmaları protokolün olmazsa olmaz bir unsuru olmasına rağmen sadece şifreleme algoritmaları kullanılarak güvenlik garanti altına alınamaz. Bunlara ek olarak sürecin önemli bir parçası olan protokolün de güvenlik analizinin yapılması gerekmektedir. Bu kapsamda bu çalışmada, firmaların özel müşterilerine sağladığı özel indirimlerin müşterilere ulaştırılabilmesi için kullanılan m-kupon protokollerinden, Hsiang tarafından geliştirilen NFC tabanlı protokolün güvenlik analizi, oyun kuramı ve otomatik güvenlik protokolü doğrulama aracı Scyther kullanılarak yapılmıştır. Protokolün doğal elemanları olan kupon sağlayıcı, müşteri ve kasiyer için birer oyuncu ve saldırgan için ayrı bir oyuncu olmak üzere oyun kuramı için dört oyuncu belirlenmiştir. Bu amaçla senaryolar oluşturulmuş ve senaryoların simülasyonu yapılmıştır. Simülasyonda saldırganın, iletişimi dinleyerek elde ettiği paketleri çözüp çözemediği, sistemi manipüle edip edemediği incelenmiştir. İnceleme sonucunda, kuponun oluşturulması aşamasında, güvenlik zafiyeti olduğu, bu açık kullanılarak saldırılar yapılabildiği hem simülasyon ile hem de güvenlik protokollerinin doğrulanması amacıyla kullanılan Scyther aracı ile tespit edilmiş ve tespit edilen açıklar için çözüm önerileri sunulmuştur.Keywords : NFC, m kupon, güvenlik analizi, gizlice dinleme, Scyther