<div dir="ltr">Hi,<div><br></div><div>Here is the first implementation of sending payload using SSL on github(<a href="https://github.com/grgvineet/kdeconnect-android/tree/ssl">https://github.com/grgvineet/kdeconnect-android/tree/ssl</a>).</div><div>It currently uses hard coded keystore which needs to saved on sdcad, but working quite fine. Speed also quite fast and payload is fully encrypted, tested with a text file and wireshark, no plaintext appeared.</div><div>This is just a test so may be code is little bit dirty :P</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 4, 2015 at 11:30 PM, vineet garg <span dir="ltr"><<a href="mailto:grgvineet@gmail.com" target="_blank">grgvineet@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<div><br><div>I want to work to improve KDEConnect encryption in this GSOC. I am thinking to implement following scheme:</div><div>1. Instead of using normal TCP we can use SSL/TLS to create session.</div><div>2. SSL/TLS, certificate for each device will be generated programmatically upon first use of application.</div><div>3. Instead of sharing public key on pairing, we can share certificates which will be stored on other device like we currently store public key.</div><div>4. Using a three way pairing so that user can verify other device's certificate by just verifying SHA fingerprint.</div><div><br></div><div>What we will be results :</div><div>1. Full packet encryption.</div><div>2. No need to encrypt manually, SSL will take care.</div><div>3. No replay attacks, due to nonces in SSL.</div><div>4. No man in the middle attack, because fingerprint will be changed if there is attack in pairing or certificates will not match if there is attack afterward.</div><div>5. Fast, as asymmetric cryptography only used for SSL handshake, after that symmetric cryptography will be used which is quite fast.</div><div>6. Payload encryption, as it is fast.</div><div><br></div><div>How I will do this:</div><div>1. Android supports SSL sockets and SSL server sockets throught Bouncycastle library.</div><div>2 We can generate certificate using Bouncycastle based on devices information programmatically.</div><div>3. Apache mina supports SSL filter over session.</div><div>4. QCA supports SSL/TLS.</div><div>5. We may implement openSSL (if possible, currently not sure).</div><div><br></div><div>I have already started working on it and look forward to further improve it and to discover vulnerabilities in this scheme.</div><div><br></div><div>Thanks</div></div></div>
</blockquote></div><br></div>