Synopsis:
- Seminar, Praktische Informatik
- 2h each week, 2 SWS
- Students will present a selection of papers that
will help you understand which threats exist, judge their
significance and learn methods to defend your system against
hackers. In addition you will explore the mathematical underpinnings
of today's most common security tools and protocols.
Credits:
In order to obtain credits for this seminar,
participants are expected to:
- Is possible for Bachelor.
- This seminar can be combined
with "VL
IT-Sicherheit Grundlagen" "Modul mit Seminar (BSEM)" zur Studienordnung
Bachelor Informatik (Mono-Bachelor) [link]
- Attend regularly (at least 90%).
- Read each paper before the seminar, to be
adequately prepared for discussion.
- Research an assigned subject; present major findings (30
min presentation; 15 min discussion).
- Presentations will be evaluated by two members of the
audience at the end of each class (Bewertungskriterien-Seminarvortrag.pdf).
- Presenters summarize their in a term paper (German
or English).
- Presentations may be given in German or English. All
documents are in English (exceptions may be granted).
Prerequisites:
- This seminar is suitable for students of all
technical science disciplines who have previously completed courses
"GdP" and "algorithms and data structures" or equivalent.
COVID-19:
- Wir wechseln ab jetzt, bis auf
Weiteres auf das Onlineformat via Zoom.
-
Die Zugangsdaten habe
ich an Ihre in Agnes hinterlegte E-Mail-Adresse verschickt. Bitte
beachten Sie die nachfolgenden Regeln.
- Regeln, Netiquette
Auch wenn ich eigentlich effektive technische Lösungen in der IT-Sicherheit gegenüber Policies vorziehe, so sind wir jedoch in der aktuellen Situation im wesentlichen Teilen von dem Wohlwollen aller Teilnehmenden abhängig, um ein möglichst gutes Ergebnis zu schaffen. Dazu gibt es hier ein paar Regelvorschläge (ich bin für weitere Anregungen offen), die alle befolgen sollten:
- Wir gehen in Bild, Wort und Schrift
respekt- und rücksichtsvoll miteinander um.
Teilnehmer*innen im Chat oder verbal zu beleidigen ist in keiner Weise akzeptabel.
Wer etwas in dieser Richtung bemerkt,
weise den Seminarleiter bitte unmittelbar über Audio darauf hin!
- Wie in einem
Präsenzseminar sind das gesprochene Wort und das gesehene Bild vertraulich.
⇒ Eine Aufzeichnung von Audio oder Video ist sowohl für den Referenten, als auch für die Teilnehmenden
nicht erlaubt!
- Wir gehen sparsam mit Bandbreite um,
wer Video freigibt und einen künstlichen Hintergrund aktiviert (aus Privacy-Gründen empfehlenswert), sollte einen statischen Hintergrund wählen.
Wer (Open)VPN benutzt, um auf Dienste in der HU zuzugreifen, der sollte ausschließlich diesen Traffic (also in der Regel 141.20.0.0 255.255.0.0) durch das VPN routen. Das entlastet die VPN-Server und das Peering zwischen dem DFN-Netz und den DSL / Kabelanbietern.
- Wir sprechen nicht alle durcheinander.
⇒ Jeder schaltet (defaultmäßig) sein Mikrofon stumm, außer der der wirklich gerade etwas zu sagen hat.
- Man kann in Zoom die Hand heben.
Man kann im Zoom-Chat schreiben, dass man eine Frage oder Bemerkung hat.
- Wir benutzen die
Kommentierfunktion, (wenn diese freigeschaltet ist) zurückhaltend und zielgerichtet (z.B. bei Fragen, Bemerkungen).
- Wir benutzen unsere
echten Namen oder erkennbare Pseudonyme (ANO_*)
Namen anderer Teilnehmer sind tabu! Diese werden weder als eigener Name verwendet, noch geändert.
- Wir können uns gerne
im Seminar darüber austauschen, welche Schwachstellen oder Probleme wir in der Online-Lehre im Allgemeinen und in Zoom im Besonderen sehen,
ABER: Wir unterlassen es, dies im regulären Vortrags von
Teilnehmenden zu demonstrieren oder auszuprobieren.
Topics (20/20
assigned): - ---Private or Anonymous Communication: Tools, Building blocks & Limits---
- Password Hashing [html][git][pdf]
(Martin K.)
- HASH-basierte Signaturen [https][pdf]
(Ole)
- One-TIME-Passwords [RFC6238][RFC4226][https]
(Jörn)
- TOR the onion router [pdf][Attack: pdf][Datagram: pdf]
(Pedram)
- openPGP [RFC][Handbook GNUpg pdf]
- OTR Off-the-Record Messaging Protocol (version 3) [https]
(Benjamin)
- OMEMO (Multi-End Message and Object Encryption) [https][https][https]
- Kryptografie mit elliptischen Kurven, ECDSA [pdf]
- Dragonfly Key Exchange [RFC]
(Nguyen)
- Post Quantum Key Exchange [pdf]
- VeraCrypt [https][Probleme]
---Authentication: Techniques and Tokens---
- Mozilla Sync 1.5 API (Theory and Praxis) [https][https]
(Marc)
- WebAuthn / FIDO2 / U2F / [W3C][Video][https][WireShark-dissector][Demo]
(Linus)
- oAuth2 [oauth.net/2
]
- Direct Anonymous Attestation (DAA) [pdf]
-
One TPM to Bind Them All: Fixing TPM 2.0 for Provably Secure Anonymous Attestation [pdf]
(mathematisch anspruchsvoll)
---German electronic IDs--- -
ePASS [ICAO]
(Corinna)
- nPA: PACE, EAC [TR-03110]
(Alex)
- Digital Seal / JAB-Code [TR-03137][TR-03137-2]
(Carolin)
---Payment---
- Bitcoin [whitepaper]
(Sehej)
---Network---
- WLAN WPA-2 KRACK [https][pdf]
(Martin R.)
- Bluetooth Pairing / KNOB-Attack [Specification / 4.2 Security, 4.2.2 Pairing] [https]
- TLS 1.3 [blog][RFC]
- TLS Revocation Mechanismen (CRL, OCSP, OCSP-stapling) in Theorie & Praxis [https]
(Gerrit)
- OpenVPN [pdf][https][https][https]
(Israa)
- WireGuard VPN [pdf]
(Luise)
- E2E Encryption for Zoom Meetings [pdf]
(Jannik)
- --- (further topics are possible, also own interesting suggestions are welcome)
---
- Internet-ID
(Moritz)
- Hello for Business
(Stefanie)
- Decentralized Identifiers
[https]
(Felix)
- Verifying COVID-19-QR-Codes (QR
-->base45-->uncompress-->cose-->CBOR)
[https][git]
Syllabus:
|
Date |
Presenters | Topic | Slides |
|
18.10.21 |
|
dies academicus |
|
|
25.10.21 |
|
bootstrap / assignment of topics | |
|
01.11.21 |
(optional) |
consultation (fine tuning of topics) |
|
|
08.11.21 |
all |
elevator speeches | |
|
15.11.21 |
Martin K.
Ole |
Password Hashing
HASH-basierte Signaturen |
[pdf] |
|
22.11.21 |
Carolin |
Digital Seal / JAB-Code |
|
|
29.11.21 |
Linus
Stefanie |
WebAuthn
Hello for Business | |
|
06.12.21 |
Moritz
Felix |
Internet-ID
Decentralized Identifiers | |
|
13.12.21 |
Corinna
Alex |
ePass
nPA, PACE, EAC | |
|
03.01.22 |
Jörn
Sehej |
One-TIME-Passwords
Bitcoin |
[pdf] |
|
10.01.22 |
Gerrit |
TLS Revocation |
|
|
17.01.22 |
(optional) |
Diskussion |
|
|
24.01.22 |
Jannik
|
E2E Encryption for Zoom
|
|
|
31.01.22 |
Pedram
Benjamin |
TOR
Signal Protocol |
|
|
07.02.22 |
Nguyen |
Dragonfly Key Exchange |
|
|
14.02.22 |
Martin R.
Wolf Müller |
WLAN WPA-2 KRACK
References (getting started) |
[pdf] |
Recent / Incoming:
Further Readings (Research@SAR & Books):
|
|
