Winter
2020/21

Electronic Identity
Anmeldung in AGNES!

[3313016] SE  (2 SWS)
Mo 11:15-12:45 ONLINE (Zoom)
Instructor: Dr. Wolf Müller

 


Computer Science Department
Systems Architecture Group

 

 
Abstract: The Internet was built without a way to know who and what you are connecting to. This limits what we can do with it and exposes us to growing dangers. If we do nothing, we will face rapidly proliferating episodes of theft and deception that
will cumulatively erode public trust in the Internet. [Kim Cameron, identityblog]


©xkcd
Synopsis:
  • Seminar, Praktische Informatik
  • 2h each week, 2 SWS
  • Students will present a selection of papers that will help you understand which threats exist, judge their significance and learn methods to defend your system against hackers. In addition you will explore the mathematical underpinnings of today's most common security tools and protocols.

Credits:

  In order to obtain credits for this seminar, participants are expected to:

  • Is possible for Bachelor.
  • This seminar can be combined with "VL IT-Sicherheit Grundlagen" "Modul mit Seminar (BSEM)" zur Studienordnung Bachelor Informatik (Mono-Bachelor) [link]
  • Attend regularly (at least 90%).
  • Read each paper before the seminar, to be adequately prepared for discussion.
  • Research an assigned subject; present major findings (30 min presentation; 15 min discussion).
  • Presentations will be evaluated by two members of the audience at the end of each class (Bewertungskriterien-Seminarvortrag.pdf).
  • Presenters summarize their in a term paper (German or English).
  • Presentations may be given in German or English. All documents are in English (exceptions may be granted).

Prerequisites:

  • This seminar is suitable for students of all technical science disciplines who have previously completed courses "GdP" and "algorithms and data structures" or equivalent.

CORONA:

  • Die Plattform: HU-Zoom
    Ich habe mich für die synchrone, interaktive Form der Online-Lehre entschieden. Bitte machen Sie von den Vorteilen (man kann Fragen stellen, Bemerkungen machen) auch regen Gebrauch!
    • Die Wahl ist auf das Werkzeug Zoom gefallen.
    • Die HU hat Lizenzen dafür gekauft und bei Nutzung des HU-Zoom-Zugangs (mit Anmeldung über den "Single Sign-On" Shibboleth-Server) sind die festgelegten Defaulteinstellungen bereits möglich datenschützend. Weiterhin erfolgt die Verteilung der Video+Audio-Ströme über Amazon-Server in Westeuropa.
    • Bitte nutzen Sie diesen Zugangsweg bevorzugt. Informationen über HU-Zoom finden Sie unter: hu.berlin/hu-zoom!
  • Technische Voraussetzungen für Zoom
    • Premium: (Computer + Monitor || Laptop) + stabile Netzwerkanbindung"
    • Ok: (Tablet || Laptop) + (WLAN || LTE mit viel Daten)
    • Notfalls: Folien als Ausdruck + Audio per Telefon (Einwahl in Berliner Ortsnetz, hoffentlich mit Festnetz-Flatrate)
  • Regeln, Netiquette
    Auch wenn ich eigentlich effektive technische Lösungen in der IT-Sicherheit gegenüber Policies vorziehe, so sind wir jedoch in der aktuellen Situation im wesentlichen Teilen von dem Wohlwollen aller Teilnehmenden abhängig, um ein möglichst gutes Ergebnis zu schaffen. Dazu gibt es hier ein paar Regelvorschläge (ich bin für weitere Anregungen offen), die alle befolgen sollten:
    • Wir gehen in Bild, Wort und Schrift respekt- und rücksichtsvoll miteinander um.
      Teilnehmer*innen im Chat oder verbal zu beleidigen ist in keiner Weise akzeptabel.
      Wer etwas in dieser Richtung bemerkt, weise den Seminarleiter bitte unmittelbar über Audio darauf hin!
    • Wie in einer richtigen Vorlesung / Übung sind das gesprochene Wort und das gesehene Bild vertraulich.
      ⇒ Eine Aufzeichnung von Audio oder Video ist sowohl für den Referenten, als auch für die Teilnehmenden
      nicht erlaubt!
    • Wir gehen sparsam mit Bandbreite um, ich werde in der Regel nur Audio+Screensharing, kein Video anbieten.
      Wer Video freigibt und einen künstlichen Hintergrund aktiviert (aus Privacy-Gründen empfehlenswert), sollte einen statischen Hintergrund wählen.
      Wer (Open)VPN benutzt, um auf Dienste in der HU zuzugreifen, der sollte ausschließlich diesen Traffic (also in der Regel 141.20.0.0 255.255.0.0) durch das VPN routen. Das entlastet die VPN-Server und das Peering zwischen dem DFN-Netz und den DSL / Kabelanbietern.
    • Wir sprechen nicht alle durcheinander.
      ⇒ Jeder schaltet (defaultmäßig) sein Mikrofon stumm, außer der der wirklich gerade etwas zu sagen hat.

    • Man kann in Zoom die Hand heben.
      Man kann im Zoom-Chat schreiben, dass man eine Frage oder Bemerkung hat.
    • Wir benutzen die Kommentierfunktion, (wenn diese freigeschaltet ist) zurückhaltend und zielgerichtet (z.B. bei Fragen, Bemerkungen).
    • Wir benutzen unsere echten Namen oder erkennbare Pseudonyme (ANO_*)
      Namen anderer Teilnehmer sind tabu! Diese werden weder als eigener Name verwendet, noch geändert.
    • Wir können uns gerne im Seminar darüber austauschen, welche Schwachstellen oder Probleme wir in der Online-Lehre im Allgemeinen und in Zoom im Besonderen sehen,
      ABER: Wir unterlassen es, dies im regulären Vortrags von Teilnehmenden zu demonstrieren oder auszuprobieren.

Topics:

  • ---Private or Anonymous Communication: Tools, Building blocks & Limits---
  • Password Hashing [html][git][pdf] [Thanh]
  • HASH-basierte Signaturen [https][pdf] [Marc]
  • TOR the onion router [pdf][Attack: pdf][Datagram: pdf] [Khaled]
  • openPGP [RFC][Handbook GNUpg pdf]
  • OTR Off-the-Record Messaging Protocol (version 3) [https]
  • OMEMO (Multi-End Message and Object Encryption) [https][https][https]
  • TLS 1.3 [blog][RFC]
  • Kryptografie mit elliptischen Kurven, ECDSA [pdf]
  • Dragonfly Key Exchange [RFC]
  • Post Quantum Key Exchange [pdf] [Thomas]
  • gnu:net [https]
  • VeraCrypt [https][Probleme]
    ---Authentication: Techniques and Tokens---
  • Mozilla Sync 1.5 API (Theory and Praxis) [https][https] [Johanna]
  • WebAuthn / FIDO2 / U2F / [W3C][Video][https][WireShark-dissector] [Kay]
  • oAuth2 [oauth.net/2 ]
  • Direct Anonymous Attestation (DAA) [pdf]
  • One TPM to Bind Them All: Fixing TPM 2.0 for Provably Secure Anonymous Attestation [pdf] (mathematisch anspruchsvoll)
    ---German electronic IDs---
  • DE-Mail [https]
  • [TR-01201] [Enrico]
  • ePASS [ICAO]
  • nPA: PACE, EAC [TR-03110] [Anja]
  • One-TIME-Passwords [RFC6238][RFC4226][https] [Alexander]
    ---Payment---
  • Bitcoin [whitepaper] [Lily]
  • Vergleich: Sofortüberweisung, Giropay, Paydirekt [https][https][https] [Vladislav]
  • PSD2 Fintech versus klassische Bank [http] [Justin]
    ---Network---
  • WLAN WPA-2 KRACK [https][pdf]
  • Bluetooth Pairing / KNOB-Attack [Specification / 4.2 Security, 4.2.2 Pairing] [https]
  • Bluetooth LE Privacy Concerns [pdf] [pdf] [pdf]
  • SSL/TLS Revocation Mechanismen (CRL, OCSP, OCSP-stapling) in Theorie & Praxis [https]
  • WireGuard VPN [pdf]
  • E2E Encryption for Zoom Meetings [pdf]
  • ... (further topics are possible, also own interesting suggestions are welcome) ...
  • Eternal Blue [pdf] [Sami]

Syllabus:

DatePresentersTopicSlides
02.11.20 dies academicus 
09.11.20  bootstrap / assignment of topics 
16.11.20 consultation (fine tuning of topics) 
23.11.20allelevator speach 
30.11.20 ThanhPassword Hashing[pdf]
07.12.20 MarcHASH-basierte Signaturen[pdf]
14.12.20    
04.01.21 KhaledTOR 
11.01.21ThomasPost Quantum Key Exchange 
18.01.21 Johanna
Kay
Mozilla Sync 1.5
WebAuthn / FIDO2 / U2F
 
25.01.21Anja
Enrico
nPA
DE-Mail
[pdf]
01.02.21 Alexander
Lily
OTP
Bitcoin
 
08.02.21 Vladislav
Justin
Sofortüberweisung, Giropay, Paydirekt
PSD2
 
15.02.21SamiEternal Blue 
22.02.21 reserved 
 Wolf MüllerLiteraturverwaltung (getting started)[pdf]


Recent / Incoming:

Further Readings (Research@SAR & Books):cover

 Links
Cambridge
Ross Anderson's home page
Bruce Schneier
home page
Safe Personal Computing
NIST
Computer Security Resource Center
NIST
Federal Information Standards (FIPS)
CERT
cert.org
 

Legal disclaimer.   © 2020 Humboldt-Universität zu Berlin, Computer Science Department, Systems Architecture Group.Contact: sar@informatik.hu-berlin.de .