PR_System Security – Fakultät für Technische Wissenschaften

FR, 15.1.2015: Gastvortrag DI Walter Strametz: Reisebericht eines Absolventen der Klagenfurter Informatik

Petra Wiesner — Thu, 14 Jan 2016 07:20:31 +0000

DI Walter Strametz is an alumni of Alpen-Adria-Universität Klagenfurt. He is the CTO and Member of the Executive board of the Zurich based IT service provider ti&m (head of Mobile/IoT, Architecture and Agile). He has been working on agile projects as an architect and product owner, scrum master and agile coach. Agility brought him to customer centricity and innovation, which gave birth to the concept of the garage. You may follow him on LinkedIn, Xing or Twitter (@WalterStrametz) for further articles.

You may also virtually join like Walter via Google Hangouts

https://plus.google.com/hangouts/_/e4pd3mv2muc3z7dxssfdihkeuqa

http://de.slideshare.net/WalterStrametz/folien-zur-vorlesung-wirtschaftsinformatik

Save the date: FR 15.1.2015 , 15.00 Uhr, HS 2

Softwarepraktikum/Bakkalaureatsarbeit: Private Information Retrieval

Stefan Rass — Mon, 26 Jan 2015 16:52:40 +0000

Private Information Retrieval (PIR) Verfahren sind Protokolle, welche die Abfrage einer Datenbank ermöglichen, wobei die konkret abgefragten Datensätze selbst der DB verborgen bleiben. Ein PIR erreicht somit Vertraulichkeit einer Datenabfrage nicht nur auf dem Übertragungskanal (dies wäre durch einfache Verschlüsselung leicht zu realisieren), sondern auch gegenüber der Datenquelle selbst.

Es existieren eine Reihe geeigneter kryptographischer Protokolle, welche derartige Abfragen durchführen lassen. Ziel des Softwarepraktikums ist es, eines dieser Verfahren zu implementieren und praktisch zu evaluieren.

Der zu entwickelnde Prototyp dient dabei als Unterstützung der laufenden Forschungen am Institut für Angewandte Informatik und als Ausgangspunkt für weiterführende Betrachtungen, im Rahmen derer auch Master- oder Diplomarbeiten erstellt werden können.

Die zu erstellende Software soll im Einzelnen folgende Aufgaben erfüllen:

Umsetzung eines PIR-Protokolls in Form einer Client/Server Architektur
Gesicherte Abfrage von Datensätzen aus einer serverseitig gespeicherten Textdatei
Konzeption und ggf. Umsetzung einer Anbindung an eine relationale Datenbank als Datenquelle im Hintergrund.

Hinweis: Die Umsetzung dieser Aufgaben erfordert keine tiefgehenden Kenntnisse im Bereich der Kryptographie!

Der Kreativität bei der Umsetzung sind keine Grenzen gesetzt. Das Projekt kann als Software-Praktikum in einem Team von 2-3 Personen abgewickelt werden.

Projektverlauf und Aufgaben:

Einarbeitung in die Grundideen von Private Information Retrieval
Spezifikation der Software
Implementierung der relevanten Protokolle

Rahmenbedingungen:

Projektstart: Ab sofort!
Projektende:6-8 Monate nach Beginn (excl. Einarbeitungszeit)

Voraussetzungen:

Kenntnisse der Programmiersprache Java
Grundkenntnisse der Kryptologie und der linearen Algebra
Kreativität

Ansprechpartner und Betreuer:

Stefan Rass (E.1.52, DW 3715, e-Mail: stefan.rass@aau.at)

Softwarepraktikum/Bakkalaureatsarbeit: Verschlüsselte Lookup-Tabellen

Stefan Rass — Mon, 26 Jan 2015 16:46:10 +0000

Allgemein dient Verschlüsselung der Geheimhaltung von Information und verhindern damit u.a. effektiv die Verarbeitung von verschlüsselten Daten. Insbesondere Public-Key Verschlüsselungsverfahren erlauben jedoch häufig die Ausführung einer einzelnen Operation (etwa Multiplikation, XOR, etc.) auf einem verschlüsselten Klartext.

Solche sogenannten (gruppen-)homomorphen Verschlüsselungsverfahren werden durch die jüngst gefundenen voll-homomorphen Verschlüsselungsverfahren im Hinblick auf mehrere erlaubte Operationen verallgemeinert.

Ziel des Softwarepraktikums ist die Umsetzung eines experimentellen Prototyps, welcher auf Basis einer herkömmlichen einfachen homomorphen Verschlüsselung (etwa RSA oder ElGamal) die Berechnung beliebiger einstelliger Funktionen (mit kleinen Wertebereichen) auf verschlüsselten Klartexten erlaubt. Dies erfordert keine komplexe neue Verschlüsselungstechnik, sondern ist bereits mit einfacher Verschlüsselung (off-the-shelf) Verfahren realisierbar.

Konkret soll eine Funktion hierbei als Lookup-Tabelle ausgeführt werden, wobei die Verschlüsselung zur Verschleierung des Wertes dient, welcher in der Lookup-Tabelle gesucht werden soll.

Die zu erstellende Software soll folgende Aufgaben erfüllen:

Unterstützung des Verschlüsselungsverfahren nach ElGamal.
Erstellung von verschlüsselten Lookup Tabellen nach beliebiger Vorgabe von Wertepaaren durch den/die BenutzerIn.
Implementierung der Auswertungslogik, um verschlüsselte Werte mit Hilfe der erstellten Lookup-Tabelle in verschlüsselte Ergebniswerte zu transformieren.

Hinweis: Die Umsetzung dieser Aufgaben erfordert keine tiefgehenden Kenntnisse im Bereich der Kryptographie!

Der Kreativität bei der Umsetzung sind keine Grenzen gesetzt. Das Projekt kann als Software-Praktikum in einem Team von 1-2 Personen abgewickelt werden.

Projektverlauf und Aufgaben:

Einarbeitung in die Grundideen homomorpher Verschlüsselung
Spezifikation der Software
Implementierung von verschlüsselten Lookup-Tabellen

Rahmenbedingungen:

Projektstart: Ab sofort!
Projektende:6-8 Monate nach Beginn (excl. Einarbeitungszeit)

Voraussetzungen:

Kenntnisse der Programmiersprache Java
Grundkenntnisse der Kryptologie und der linearen Algebra
Kreativität

Ansprechpartner und Betreuer:

Stefan Rass (E.1.52, DW 3715, e-Mail: stefan.rass@aau.at)

Softwarepraktikum WS 13/14: Side-Channel Angriffe

Dagmar Cechak — Mon, 16 Sep 2013 07:41:52 +0000

Chipkarten dienen üblicherweise der Speicherung und sicheren Verwaltung von geheimen Informationen, wie etwa kryptographischen Schlüsseln. Im Fall der Bürgerkarte etwa, speichert die Chipkarte einen geheimen Signaturschlüssel und berechnet eine digitale Signatur für ein extern zugeführtes Dokument. Obgleich hierbei keine Information über den geheimen Schlüssel auf direktem Weg die Chipkarte verlassen, können Messungen des Magnetfeldes um den Chip, sowie Messungen der Stromaufnahme der Karte Rückschlüsse auf die internen Abläufe (Berechnungen) innerhalb des Chips, und somit auf geheime Informationen liefern, welche gerade verarbeitet werden. Im schlechtesten Fall lässt dies direkte Rückschlüsse auf private kryptographische Schlüssel zu.

Solche als Seitenkanal-Angriffe bekannten Attacken stellen aktuell eine der größten Bedrohungen für die Sicherheit von Chipkarten bzw. kryptographischer Hardware im Allgemeinen dar.

Um Seitenkanalangriffe zu verstehen und auch verhindern zu können, müssen kryptographische Protokolle implementiert, und Seitenkanal-Informationsflüsse explizit simuliert werden. Ziel der Arbeit (Wahlfachprojekt / Diplom- / Master- / Bakk-Arbeit) ist die Konzeption und Schaffung einer Testumgebung, in welcher ein kryptographisches Verfahren implementiert, und Seitenkanal-Abhörangriffe einfach simuliert werden können. Die Ziele der Arbeit sind im Einzelnen:

Aufarbeitung der Konzepte und Ideen von Seitenkanalangriffen
Konzeption einer Testumgebung, in welcher Seitenkanalangriffe simuliert werden können
Test und Bewertung von bekannten Gegenmaßnahmen gegen Seitenkanalangriffe, mit Hilfe der implementierten Testumgebung („spielen Sie den Angreifer, und versuchen Sie ein Krypto-Verfahren durch einen Seitenkanal zu knacken“).

Der Kreativität sind keine Grenzen gesetzt. Der/m Studierenden steht es nach Absprache mit dem Betreuer frei, die verwendete Programmiersprache frei zu wählen. Das Projekt kann als Wahlfachprojekt auch im Team abgewickelt werden. Tiefgehende Kenntnisse der Kryptographie sind nicht erforderlich. Benötigt wird jedoch ein gutes Verständnis von Rechnerorganisation, sowie Boole’scher Schaltungen.

Projektverlauf und Aufgaben:

Einarbeitung in die Ideen und Konzepte von Side-Channel Angriffen
Konzeption der Simulationsumgebung
Implementierung, Beschreibung und (Performance-) Test

Rahmenbedingungen:

Projektstart: Ab sofort!
Projektende: 6-8 Monate nach Beginn (excl. Einarbeitungszeit)

Voraussetzungen:

Ausgezeichnete Kenntnisse der Programmiersprache Java
Grund-Kenntnisse der Kryptographie
Gute Kenntnisse im Bereich der Rechnerorganisation
(programmiertechnische) Kreativität

Ansprechpartner und Betreuer:

Dr. Stefan Rass (E.1.52, DW 3715, e-Mail: stefan.rass@uni-klu.ac.at)

Softwarepraktikum WS 13/14: Anonymisierungsdienste

Dagmar Cechak — Mon, 16 Sep 2013 07:36:38 +0000

Kommunikation über das Internet hinterlässt im allgemeinen unvermeidbare Spuren. Standard-Sicherheitsmechanismen wie etwa Verschlüsselung verbergen zwar den Inhalt einer Kommunikation, jedoch nicht die Existenz der Kommunikationsbeziehung selbst. Hierfür sind über Verschlüsselung hinausreichende Sicherheitsvorkehrungen notwendig, welche meist durch spezielle Routing-Protokolle über Overlay-Netzwerke umgesetzt werden.

Crowds ist ein sogenanntes probabilistisches Kommunikationsverfahren, welches den Absender einer Nachricht sowohl vor dem Emfpänger, als auch vor allen Knoten im Netzwerk verbirgt, indem eine Nachricht nach dem Zufallsprinzip im Netz weitergeleitet wird, bevor sie den eigentlichen Addressaten erreicht. Anonymität für den Sender entsteht hierbei aus der einfachen Tatsache, dass ein Knoten nicht zweifelsfrei entscheiden kann, ob das ankommende Paket vom tatsächlichen Sender stammt, oder ob der aktuelle Sender des Pakets nur selbst ein weiterleitender Knoten war.

Für praktische Anwendungen ist häufig neben Sender- auch Empfänger-Anonymität von Interesse. Dies ist in Crowds aufgrund der Konstruktion des Protokolls jedoch nicht direkt möglich, kann aber durch Modifikationen des Protokolls erreicht werden. Ziel der Bakkalaureats- bzw. Masterarbeit ist die Untersuchung und Implementierung des Crowds-Protokolls. Neben der Simulation der eigentlichen Übertragung ist auch die Simulation von Angriffen ein Ziel der zu implementierenden Testumgebung. Im Einzelnen sind die Ziele der Arbeit wie folgt:

Aufarbeitung der theoretischen und praktischen Konzepte von anonymer Kommunikation im Allgemeinen, und von Crowds im Speziellen.
Darstellung und Untersuchung des Crowds-Protokolls (und Varianten davon)
Konzeption und Implementierung einer Testumgebung für anonyme Kommunikation, welche neben der Durchführung der eigentlichen Kommunikation auch die Simulation von Angriffen auf das Protokoll gestattet.

Die Implementierung soll in Java bzw. C++ erfolgen, unter zuhilfenahme der dort verfügbaren kryptographischen Bibliotheken. Tiefgehende Kenntnisse der Kryptographie oder Systemsicherheit sind nicht erforderlich, lediglich ein Grundverständnis für die Anwendung von Sicherheitsmechanismen (wie Public-Key Verschlüsselungen) und Grundkenntnisse im Bereich von verteilten Systemen, insbesondere Rechnernetzen.

Projektverlauf und Aufgaben:

Aufarbeitung der Konzepte und Verfahren für anonyme Kommunikation
Konzeption der praktischen Umsetzung einer Testumgebung

Rahmenbedingungen:

Projektstart: Ab sofort!
Projektende: 6-8 Monate nach Beginn (excl. Einarbeitungszeit)

Voraussetzungen:

Ausgezeichnete Kenntnisse der Programmiersprache Java
Grund-Kenntnisse kryptographischer Basismechanismen (Verschlüsse-lung etc.)
Kenntnisse im Bereich von Rechnernetzen
(programmiertechnische) Kreativität

Ansprechpartner und Betreuer:

Dr. Stefan Rass (E.1.52, DW 3715, e-Mail: stefan.rass@uni-klu.ac.at)

Softwarepraktikum WS 13/14: Cloud Storage

Dagmar Cechak — Mon, 16 Sep 2013 07:26:50 +0000

Im Kontext von Cloud Computing ist ein viel genützter Dienst die Auslagerung von Daten in eine Cloud (remote storage). Hierfür ist es zweckmäßig, dem/r Kunden/in eine Kontrollmöglichkeit zu geben, welche ihn/sie die konsistente Existenz der Daten am Server überprüfen lässt. Ein trivialer Ansatz hierfür ist der simple Download der gesamten Datenmenge, jedoch ist dies bei großen Datenmengen ineffizient. Ein besserer Ansatz wird von sogenannten Proofs of Retrievability Protokollen geboten. Dies sind Challenge-Response Verfahren, mit welchen die Existenz und Verfügbarkeit von Daten auf einem Server effizient nachgewiesen werden kann. Im einfachsten Fall besteht ein solches PoR Protokoll aus der Abfrage eines schlüsselabhängigen Hashwertes der Daten, welche der Server nur dann korrekt berechnen kann, wenn die Daten zum Zeitpunkt der Abfrage in konsistenter (integrer) Form vorliegen.

Ziel der Arbeit (Wahlfachprojekt / Diplom- / Master- / Bakk-Arbeit) ist die Aufarbeitung der theoretischen Grundlagen von Proofs of Retrievability, sowie eine Implementierung eines einfachen PoR Protokolls. Bestehende Verfahren lassen sich grob in statische und dynamische PoR einteilen, wobei erstere die Unveränderlichkeit der Daten über deren Lebensdauer annehmen (rein statische Daten), und letztere (dynamische) PoR Veränderungen an den Daten gestatten. Diese sind insbesondere für das Outsourcing von Datenbankdiensten in die Cloud konzepiert. Ein solches PoR-Verfahren soll im Rahmen der Arbeit implementiert werden. Der Schwerpunkt der Betrachtung liegt auf der Auslagerung und Abfrage von Daten aus XML-Dokumenten liegen, deren Verfügbarkeit und Korrektheit mittels PoR nachgewiesen werden soll.

Die Implementierung soll in Java bzw. C++ erfolgen, unter Zuhilfenahme der dort verfügbaren kryptographischen Bibliotheken. Tiefgehende Kenntnisse der Kryptographie oder Systemsicherheit sind nicht erforderlich, lediglich ein Grundverständnis für die Anwendung von Sicherheitsmechanismen (wie Hashfunktionen oder Verschlüsselungen) und Grundkenntnisse im Bereich von verteilten Systemen (Client-Server Kommunikation).

Der Kreativität sind keine Grenzen gesetzt. Der/m Studierenden steht es nach Absprache mit dem Betreuer frei, die Inhalte der Arbeit und Funktionalitäten der Implementierung um die erforderlichen Kernthemen herum zu erweitern. Das Projekt kann auch als Software-Praktikum abgewickelt werden.

Projektverlauf und Aufgaben:

Aufarbeitung der Grundideen und Konzepte von PoR
Implementierung eines einfachen PoR Protokolls
Entwurf und Umsetzung einer Testumgebung

Rahmenbedingungen:

Projektstart: Ab sofort!
Projektende: 6-8 Monate nach Beginn (excl. Einarbeitungszeit)

Voraussetzungen:

Gute Kenntnisse der Programmiersprache Java oder C++
Grundkenntnisse der Kryptographie
(programmiertechnische) Kreativität

Ansprechpartner und Betreuer:

Dr. Stefan Rass (E.1.52, DW 3715, e-Mail: stefan.rass@uni-klu.ac.at)