Synopsis:- Seminar, Praktische Informatik
- 2h each week, 2 SWS
- Students will present a selection of papers that will help you understand which threats exist, judge their significance and learn methods to defend your system against hackers. In addition you will explore the mathematical underpinnings of today's most common security tools and protocols.
Credits: In order to obtain credits for this seminar, participants are expected to: - Is possible for Bachelor.
- This seminar can be combined with "VL IT-Sicherheit Grundlagen" "Modul mit Seminar (BSEM)" zur Studienordnung Bachelor Informatik (Mono-Bachelor) [link]
- Attend regularly (at least 90%).
- Read each paper before the seminar, to be adequately prepared for discussion.
- Research an assigned subject; present major findings (30 min presentation; 15 min discussion).
- Presentations will be evaluated by two members of the audience at the end of each class (Bewertungskriterien-Seminarvortrag.pdf).
- Presenters summarize their in a term paper (German or English).
- Presentations may be given in German or English. All documents are in English (exceptions may be granted).
Prerequisites: - This seminar is suitable for students of all technical science disciplines who have previously completed courses "GdP" and "algorithms and data structures" or equivalent.
COVID-19: - Wir wechseln ab jetzt, bis auf Weiteres auf das Onlineformat via Zoom.
- Die Zugangsdaten habe ich an Ihre in Agnes hinterlegte E-Mail-Adresse verschickt. Bitte beachten Sie die nachfolgenden Regeln.
- Regeln, NetiquetteAuch wenn ich eigentlich effektive technische Lösungen in der IT-Sicherheit gegenüber Policies vorziehe, so sind wir jedoch in der aktuellen Situation im wesentlichen Teilen von dem Wohlwollen aller Teilnehmenden abhängig, um ein möglichst gutes Ergebnis zu schaffen. Dazu gibt es hier ein paar Regelvorschläge (ich bin für weitere Anregungen offen), die alle befolgen sollten:
- Wir gehen in Bild, Wort und Schrift respekt- und rücksichtsvoll miteinander um.
Teilnehmer*innen im Chat oder verbal zu beleidigen ist in keiner Weise akzeptabel. Wer etwas in dieser Richtung bemerkt, weise den Seminarleiter bitte unmittelbar über Audio darauf hin! - Wie in einem Präsenzseminar sind das gesprochene Wort und das gesehene Bild vertraulich.
⇒ Eine Aufzeichnung von Audio oder Video ist sowohl für den Referenten, als auch für die Teilnehmenden nicht erlaubt! - Wir gehen sparsam mit Bandbreite um, wer Video freigibt und einen künstlichen Hintergrund aktiviert (aus Privacy-Gründen empfehlenswert), sollte einen statischen Hintergrund wählen.
Wer (Open)VPN benutzt, um auf Dienste in der HU zuzugreifen, der sollte ausschließlich diesen Traffic (also in der Regel 141.20.0.0 255.255.0.0) durch das VPN routen. Das entlastet die VPN-Server und das Peering zwischen dem DFN-Netz und den DSL / Kabelanbietern. - Wir sprechen nicht alle durcheinander.
⇒ Jeder schaltet (defaultmäßig) sein Mikrofon stumm, außer der der wirklich gerade etwas zu sagen hat. - Man kann in Zoom die Hand heben.
Man kann im Zoom-Chat schreiben, dass man eine Frage oder Bemerkung hat. - Wir benutzen die Kommentierfunktion, (wenn diese freigeschaltet ist) zurückhaltend und zielgerichtet (z.B. bei Fragen, Bemerkungen).
- Wir benutzen unsere echten Namen oder erkennbare Pseudonyme (ANO_*)
Namen anderer Teilnehmer sind tabu! Diese werden weder als eigener Name verwendet, noch geändert. - Wir können uns gerne im Seminar darüber austauschen, welche Schwachstellen oder Probleme wir in der Online-Lehre im Allgemeinen und in Zoom im Besonderen sehen,
ABER: Wir unterlassen es, dies im regulären Vortrags von Teilnehmenden zu demonstrieren oder auszuprobieren.
Topics (20/20 assigned): - ---Private or Anonymous Communication: Tools, Building blocks & Limits---
- Password Hashing [html][git][pdf] (Martin K.)
- HASH-basierte Signaturen [https][pdf] (Ole)
- One-TIME-Passwords [RFC6238][RFC4226][https] (Jörn)
- TOR the onion router [pdf][Attack: pdf][Datagram: pdf] (Pedram)
- openPGP [RFC][Handbook GNUpg pdf]
- OTR Off-the-Record Messaging Protocol (version 3) [https] (Benjamin)
- OMEMO (Multi-End Message and Object Encryption) [https][https][https]
- Kryptografie mit elliptischen Kurven, ECDSA [pdf]
- Dragonfly Key Exchange [RFC] (Nguyen)
- Post Quantum Key Exchange [pdf]
- VeraCrypt [https][Probleme]
---Authentication: Techniques and Tokens--- - Mozilla Sync 1.5 API (Theory and Praxis) [https][https] (Marc)
- WebAuthn / FIDO2 / U2F / [W3C][Video][https][WireShark-dissector][Demo] (Linus)
- oAuth2 [oauth.net/2 ]
- Direct Anonymous Attestation (DAA) [pdf]
- One TPM to Bind Them All: Fixing TPM 2.0 for Provably Secure Anonymous Attestation [pdf] (mathematisch anspruchsvoll)
---German electronic IDs--- - ePASS [ICAO] (Corinna)
- nPA: PACE, EAC [TR-03110] (Alex)
- Digital Seal / JAB-Code [TR-03137][TR-03137-2] (Carolin)
---Payment--- - Bitcoin [whitepaper] (Sehej)
---Network--- - WLAN WPA-2 KRACK [https][pdf] (Martin R.)
- Bluetooth Pairing / KNOB-Attack [Specification / 4.2 Security, 4.2.2 Pairing] [https]
- TLS 1.3 [blog][RFC]
- TLS Revocation Mechanismen (CRL, OCSP, OCSP-stapling) in Theorie & Praxis [https] (Gerrit)
- OpenVPN [pdf][https][https][https] (Israa)
- WireGuard VPN [pdf] (Luise)
- E2E Encryption for Zoom Meetings [pdf] (Jannik)
- --- (further topics are possible, also own interesting suggestions are welcome) ---
- Internet-ID (Moritz)
- Hello for Business (Stefanie)
- Decentralized Identifiers [https] (Felix)
- Verifying COVID-19-QR-Codes (QR -->base45-->uncompress-->cose-->CBOR) [https][git]
Syllabus: Date | Presenters | Topic | Slides | 18.10.21 | | dies academicus | | 25.10.21 | | bootstrap / assignment of topics | | 01.11.21 | (optional) | consultation (fine tuning of topics) | | 08.11.21 | all | elevator speeches | | 15.11.21 | Martin K. Ole | Password Hashing HASH-basierte Signaturen | [pdf] | 22.11.21 | Carolin | Digital Seal / JAB-Code | | 29.11.21 | Linus Stefanie | WebAuthn Hello for Business | | 06.12.21 | Moritz Felix | Internet-ID Decentralized Identifiers | | 13.12.21 | Corinna Alex | ePass nPA, PACE, EAC | | 03.01.22 | Jörn Sehej | One-TIME-Passwords Bitcoin | [pdf] | 10.01.22 | Gerrit | TLS Revocation | | 17.01.22 | (optional) | Diskussion | | 24.01.22 | Jannik | E2E Encryption for Zoom | | 31.01.22 | Pedram Benjamin | TOR Signal Protocol | | 07.02.22 | Nguyen | Dragonfly Key Exchange | | 14.02.22 | Martin R. Wolf Müller | WLAN WPA-2 KRACK References (getting started) | [pdf] |
Recent / Incoming:
Further Readings (Research@SAR & Books): | |