Winter
2021/22

Electronic Identity
Registration by AGNES!

[3313015] SE  (2 SWS)
Mo 11:15-12:45 RUD 26, 1.306 (now via Zoom)
Instructor: Dr. Wolf Müller

 


Computer Science Department
Systems Architecture Group

 

 
Abstract: The Internet was built without a way to know who and what you are connecting to. This limits what we can do with it and exposes us to growing dangers. If we do nothing, we will face rapidly proliferating episodes of theft and deception that
will cumulatively erode public trust in the Internet. [Kim Cameron, identityblog]


©xkcd
Synopsis:
  • Seminar, Praktische Informatik
  • 2h each week, 2 SWS
  • Students will present a selection of papers that will help you understand which threats exist, judge their significance and learn methods to defend your system against hackers. In addition you will explore the mathematical underpinnings of today's most common security tools and protocols.

Credits:

  In order to obtain credits for this seminar, participants are expected to:

  • Is possible for Bachelor.
  • This seminar can be combined with "VL IT-Sicherheit Grundlagen" "Modul mit Seminar (BSEM)" zur Studienordnung Bachelor Informatik (Mono-Bachelor) [link]
  • Attend regularly (at least 90%).
  • Read each paper before the seminar, to be adequately prepared for discussion.
  • Research an assigned subject; present major findings (30 min presentation; 15 min discussion).
  • Presentations will be evaluated by two members of the audience at the end of each class (Bewertungskriterien-Seminarvortrag.pdf).
  • Presenters summarize their in a term paper (German or English).
  • Presentations may be given in German or English. All documents are in English (exceptions may be granted).

Prerequisites:

  • This seminar is suitable for students of all technical science disciplines who have previously completed courses "GdP" and "algorithms and data structures" or equivalent.

COVID-19:

  • Wir wechseln ab jetzt, bis auf Weiteres auf das Onlineformat via Zoom.
  • Die Zugangsdaten habe ich an Ihre in Agnes hinterlegte E-Mail-Adresse verschickt. Bitte beachten Sie die nachfolgenden Regeln.
  • Regeln, Netiquette
    Auch wenn ich eigentlich effektive technische Lösungen in der IT-Sicherheit gegenüber Policies vorziehe, so sind wir jedoch in der aktuellen Situation im wesentlichen Teilen von dem Wohlwollen aller Teilnehmenden abhängig, um ein möglichst gutes Ergebnis zu schaffen. Dazu gibt es hier ein paar Regelvorschläge (ich bin für weitere Anregungen offen), die alle befolgen sollten:
    • Wir gehen in Bild, Wort und Schrift respekt- und rücksichtsvoll miteinander um.
      Teilnehmer*innen im Chat oder verbal zu beleidigen ist in keiner Weise akzeptabel.
      Wer etwas in dieser Richtung bemerkt, weise den Seminarleiter bitte unmittelbar über Audio darauf hin!
    • Wie in einem Präsenzseminar sind das gesprochene Wort und das gesehene Bild vertraulich.
      ⇒ Eine Aufzeichnung von Audio oder Video ist sowohl für den Referenten, als auch für die Teilnehmenden
      nicht erlaubt!
    • Wir gehen sparsam mit Bandbreite um, wer Video freigibt und einen künstlichen Hintergrund aktiviert (aus Privacy-Gründen empfehlenswert), sollte einen statischen Hintergrund wählen.
      Wer (Open)VPN benutzt, um auf Dienste in der HU zuzugreifen, der sollte ausschließlich diesen Traffic (also in der Regel 141.20.0.0 255.255.0.0) durch das VPN routen. Das entlastet die VPN-Server und das Peering zwischen dem DFN-Netz und den DSL / Kabelanbietern.
    • Wir sprechen nicht alle durcheinander.
      ⇒ Jeder schaltet (defaultmäßig) sein Mikrofon stumm, außer der der wirklich gerade etwas zu sagen hat.
    • Man kann in Zoom die Hand heben.
      Man kann im Zoom-Chat schreiben, dass man eine Frage oder Bemerkung hat.
    • Wir benutzen die Kommentierfunktion, (wenn diese freigeschaltet ist) zurückhaltend und zielgerichtet (z.B. bei Fragen, Bemerkungen).
    • Wir benutzen unsere echten Namen oder erkennbare Pseudonyme (ANO_*)
      Namen anderer Teilnehmer sind tabu! Diese werden weder als eigener Name verwendet, noch geändert.
    • Wir können uns gerne im Seminar darüber austauschen, welche Schwachstellen oder Probleme wir in der Online-Lehre im Allgemeinen und in Zoom im Besonderen sehen,
      ABER: Wir unterlassen es, dies im regulären Vortrags von Teilnehmenden zu demonstrieren oder auszuprobieren.

Topics (20/20 assigned):

  • ---Private or Anonymous Communication: Tools, Building blocks & Limits---
  • Password Hashing [html][git][pdf] (Martin K.)
  • HASH-basierte Signaturen [https][pdf] (Ole)
  • One-TIME-Passwords [RFC6238][RFC4226][https] (Jörn)
  • TOR the onion router [pdf][Attack: pdf][Datagram: pdf] (Pedram)
  • openPGP [RFC][Handbook GNUpg pdf]
  • OTR Off-the-Record Messaging Protocol (version 3) [https] (Benjamin)
  • OMEMO (Multi-End Message and Object Encryption) [https][https][https]
  • Kryptografie mit elliptischen Kurven, ECDSA [pdf]
  • Dragonfly Key Exchange [RFC] (Nguyen)
  • Post Quantum Key Exchange [pdf]
  • VeraCrypt [https][Probleme]
    ---Authentication: Techniques and Tokens---
  • Mozilla Sync 1.5 API (Theory and Praxis) [https][https] (Marc)
  • WebAuthn / FIDO2 / U2F / [W3C][Video][https][WireShark-dissector][Demo] (Linus)
  • oAuth2 [oauth.net/2 ]
  • Direct Anonymous Attestation (DAA) [pdf]
  • One TPM to Bind Them All: Fixing TPM 2.0 for Provably Secure Anonymous Attestation [pdf] (mathematisch anspruchsvoll)
    ---German electronic IDs---
  • ePASS [ICAO] (Corinna)
  • nPA: PACE, EAC [TR-03110] (Alex)
  • Digital Seal / JAB-Code [TR-03137][TR-03137-2] (Carolin)
    ---Payment---
  • Bitcoin [whitepaper] (Sehej)
    ---Network---
  • WLAN WPA-2 KRACK [https][pdf] (Martin R.)
  • Bluetooth Pairing / KNOB-Attack [Specification / 4.2 Security, 4.2.2 Pairing] [https]
  • TLS 1.3 [blog][RFC]
  • TLS Revocation Mechanismen (CRL, OCSP, OCSP-stapling) in Theorie & Praxis [https] (Gerrit)
  • OpenVPN [pdf][https][https][https] (Israa)
  • WireGuard VPN [pdf] (Luise)
  • E2E Encryption for Zoom Meetings [pdf] (Jannik)
  • --- (further topics are possible, also own interesting suggestions are welcome) ---
  • Internet-ID (Moritz)
  • Hello for Business (Stefanie)
  • Decentralized Identifiers [https] (Felix)
  • Verifying COVID-19-QR-Codes (QR -->base45-->uncompress-->cose-->CBOR) [https][git]
     

Syllabus:

DatePresentersTopicSlides
18.10.21 dies academicus 
25.10.21 bootstrap / assignment of topics 
01.11.21(optional)consultation (fine tuning of topics) 
08.11.21allelevator speeches 
15.11.21Martin K.
Ole
Password Hashing
HASH-basierte Signaturen

[pdf]
22.11.21CarolinDigital Seal / JAB-Code 
29.11.21Linus
Stefanie
WebAuthn
Hello for Business
 
06.12.21Moritz
Felix
Internet-ID
Decentralized Identifiers
 
13.12.21Corinna
Alex
ePass
nPA, PACE, EAC
 
03.01.22Jörn
Sehej
One-TIME-Passwords
Bitcoin
 
10.01.22GerritTLS Revocation 
17.01.22(optional)Diskussion 
24.01.22Jannik E2E Encryption for Zoom  
31.01.22Pedram
Benjamin
TOR
OTR
 
07.02.22Martin R.
Nguyen
WLAN WPA-2 KRACK
Dragonfly Key Exchange
 
14.02.22Wolf Müllerreserved Literaturverwaltung (getting started)[pdf]


Recent / Incoming:

Further Readings (Research@SAR & Books):cover

 Links
Cambridge
Ross Anderson's home page
Bruce Schneier
home page
Safe Personal Computing
NIST
Computer Security Resource Center
NIST
Federal Information Standards (FIPS)
CERT
cert.org
 

Legal disclaimer.   © 2021 Humboldt-Universität zu Berlin, Computer Science Department, Systems Architecture Group.Contact: sar@informatik.hu-berlin.de .