Summer
2012

IT-Sicherheit (Grundlagen)
(Halbkurs, 4VL + 2 UE)
Dr. Wolf Müller


Computer Science Department
Systems Architecture Group
 
 
Zusammenfassung:

A security system is only as strong as its weakest link” Ferguson und Schneier (2003)

Die VL gibt eine breite Übersicht über mögliche Fehler, die bei dem Entwurf sowie der Umsetzung von sicheren Systemen gemacht werden und zeigt Wege auf, wie Risiken analysiert, reduziert oder vermieden werden können. Insbesondere ist die VL dem Zusammenspiel verschiedener Komponenten und Techniken gewidmet, die für ein Gesamtsystem nötig sind, um die jeweiligen Schutzziele effektiv umzusetzen. Es geht also nicht um einzelne kryptografische Protokolle, Techniken und konkrete Algorithmen en détail (wie in VL von Prof. Köbler1 und von Prof. Giessmann[1]), sondern um die praktische Anwendung. Welches Ziel kann ich mit welcher Art von Baustein / Algorithmus realisieren und was muss ich dabei beachten? Relevante Probleme werden anhand von Fallbeispielen vorgestellt. Nachdem im Abschnitt Grundlagen den Studenten Begrifflichkeiten und Konzepte zur Risikoanalyse und zum Entwurf vermittelt wurden, widmet sich der nächste Abschnitt der Frage, wie man „sicher“ Daten von Alice zu Bob übertragen kann. Schließlich werden Maßnahmen zur sicheren Implementierung vermittelt und die gelernten Designprinzipien zusammengefasst.

[1] Die VL von Prof. Giessman („OpenSSL“, „Elektronische Signaturen und Infrastrukturen“, „Chipkarten“) und Prof. Köbler („Einführung in die Kryptologie“), können im Anschluss (Vertiefung, Spezialisierung) an diese VL gehört werden, die VL IT-Sicherheit Grundlagen kann aber auch nach obigen VL gehört werden (konkrete Applikation, Design sicherer IT-Systeme im Ganzen, Testing, Zertifizierung).
 
Synopsis:
  • Half-Course, Praktische Informatik, Hauptstudium.
  • Offered regularly, at least once every two years, usually in spring.
  • 2 lectures per week, 2h each, over one semester (4SWS VL).
  • 1 lab (Praktikum) per week, 2h each, over one semester (2SWS PR).

Credits:

  • There will be a few, short, unannounced, closed-book quizzes to verify your existence and to test your understanding. These will be worth 40 percent of the final grade.
  • An announced final examination will be given at he end of the semester. It will cover all of the relevant readings and material presented and discussed in class. It will be worth 60 percent of the course grade.
  • To qualify for the final examination, you have to complete all lab assignments to the satisfaction of the teaching assistant (70% = 38.5 points).
  • Regular class attendance is expected; frequent absences are grounds for a failing grade regardless of other performance. You may be missing for up to 1 lecture per semester without prior and reasonable excuse. 'prior' means notification by email before the end of business the day before the lecture. 'reasonable' means sickness or study-related events that require your attendance.
  • Lectures begin on time. Students arriving more than 10 minutes late will not be admitted to the lecture and will be counted as 'missing' that day.

Prerequisites:

  • Successful completion of PI-1 or GdP.
  • Decent Java programming skills.
  • At least one semester attendance of  'Development Tools and System Administration in Unix'.

Dates:

Mo, 11.04. Lecture
Th, 14.04. Lecture
Mo, 18.04. Lecture
Th, 21.04. Lecture
Mo, 25.04. Easter
Th, 28.04. Lecture
Mo, 02.05. Lecture
Th, 05.05. Lecture
Mo, 09.05. Lecture
Th, 12.05. 12. Deutscher IT-Sicherheitskongress
Mo, 16.05. Lecture
Th, 19.05. Tag der Informatik
Mo, 23.05. Lecture
Th, 26.05. Lecture
Mo, 30.05. Lecture
Th, 02.06. Himmelfahrt
Mo, 06.06. Lecture
Th, 09.06. Lecture
Mo, 13.06. Pfingsten
Th, 16.06. Lecture
Mo, 20.06. Lecture
Th, 23.06. Lecture
Mo, 27.06. Lecture
Th, 30.06. Lecture
Mo, 04.07. Lecture
Th, 07.07. Lecture
Mo, 11.07. Lecture
Th, 14.07. Lecture

Slides: (pdf)

Demonstrations: (please use with care and conform to CBO)

Syllabus:

  • What is Security Engineering?  How to think about security?
  • Principles and problems
    • Authentication
    • Authorization
    • Access Control
    • Integrity
    • Privacy
  • Solutions
  • Attack types (overview)
    • Man in the middle
    • Social engineering
    • ...
  • Case Studies
    • Access Control in UNIX
    • Access Control in Windows 2000/XP
    • Denial of service attack in internet
    • VISA-Card / Banking Cards
    • Internet Banking
    • Secure Electronic Documents (Acrobat/PDF)
    • Secure Printing and Seals
    • German Passport
    • New German ID-Card (nPA)
  • Advanced problems and solutions
    • Emission Security
    • Security in Distributed Systems
    • Multilateral Security
    • Multilevel Security
    • Electronic and Information Warfare
    • Telecom System Security

Syllabus - Exercise (70% = 38.5 points required):

Slides: (pdf)

1.

Further Readings (Books): cover
 Links
Cambridge
 Ross Anderson's home page
Bruce Schneier
home page
Safe Personal Computing (DE)
NIH
 Computer Security Information
NIST
Computer Security Resource Center
NIST
Federal Information Processing Standards Publications (FIPS)

CERT
 cert.org
BSI
Bundesamt für Sicherheit in der Informations-technik
Biometrics
The Biometric Consortium
Overview (german)
OS specific
Windows-Security
Linux-Security
e-Learning
 CrypTool (de)
Legal disclaimer. .  © 2024 Humboldt-Universität zu Berlin, Computer Science Department, Systems Architecture Group. Contact: sar@informatik.hu-berlin.de .