CAST/GI Promotionspreis IT-Sicherheit 2021

Termin: 2.2.2021
Dauer: 13:50-16:00
Ort: ONLINE - virtuelle Veranstaltung im Rahmen des 17. Dt. IT-Sicherheitskongress des Bundesamtes für Sicherheit in der Informationstechnik (BSI)
Anmeldung über die Seiten des BSI
(siehe unten)

Programm

WICHTIGER HINWEIS FÜR DIE TEILNEHMER

 

Session 1 wird über die digitale Veranstaltungsplattform des BSI stattfinden, Session 2 jedoch über das virtuelle Konferenzsystem des CAST e.V.

 

Für die Anmeldung und technischen Voraussetzungen zu Session 1 informieren Sie sich bitte auf den Webseiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

 

Zur BSI Veranstaltungsseite des 17. Deutschen IT-Sicherheitskongress (inkl. Anmeldung)

 

CAST setzt für Session 2 auf das System BigBlueButton. Als Browser empfehlen wir Google Chrome. Der Zugang zu den Chaträumen wird am Tag der Veranstaltung freigeschaltet (siehe unten unter Programmpunkt ab 15.20h). Eine Anmeldung/Registrierung für die Session 2 ist nicht erforderlich.

 

13:50 Session 1: Begrüßung /Anmoderation / Vorträge
13:50
Andreas Heinemann
CAST e.V.
Andreas Heinemann
Begrüßung und Anmoderation
13:55
Daniel Demmler
TU Darmstadt
Daniel Demmler
Towards Practical Privacy-Preserving Protocols

Der Schutz der Privatsphäre von Nutzerdaten in digitalen Systemen wird immer schwieriger. Zwei Techniken, die dieses Problem angehen und darauf abzielen praktische Berechnungen unter gleichzeitigem Schutz der Privatsphäre zu ermöglichen, sind sichere Mehrparteienberechnung (MPC) und Private Information Retrieval (PIR).

Diese Dissertation präsentiert Ergebnisse, die zeigen wie Anwendungen aus der Praxis mit Privatsphäre-Schutz unter gleichzeitiger Erhaltung der Praktikabilität versehen werden können. Dies ist nicht nur der Wunsch vieler Anwender, sondern auch auf einer starken rechtlichen Basis verankert.Diese Arbeit liefert dabei zahlreiche Werkzeuge, die es ermöglichen Privatsphäre-schützende Techniken zu implementieren und zu evaluieren. In der Arbeit wird außerdem an mehreren Beispielen aus der Praxis demonstriert, wie Privatsphäre-Schutz mittels MPC oder PIR effizient und sicher umgesetzt werden kann. Dazu zählen beispielsweise private Routenberechnung im Internet, die private Auslagerung und das geschützte Durchsuchen von Genomdatenbanken, anonyme Kommunikation oder die private Kontaktfindung in Nachrichten-Apps.

14:15
Vincent Immler
TU München
Vincent Immler
Higher-Order Alphabet Physical Unclonable Functions

Im Rahmen von Herstellungsprozessen ist eine gewisse Streuung innerhalb vorgegebener Fertigungstoleranzen unvermeidbar. Diese Art von nicht kontrolliertem Zufall kann man sich -- ähnlich dem Fingerabdruck eines Menschen -- zur Aufbewahrung kryptographischer Schlüssel zu Nutze machen, indem dieser Zufall gemessen wird und daraus der Schlüssel nur bei Bedarf erzeugt wird. Das nennt man Physical Unclonable Function (PUF).

Dieser Grundgedanke wurde in der vorliegenden Arbeit weiterentwickelt, um damit eine PUF-basierte Tamperschutzumhüllung zu realiseren, d.h. ein Schutzgehäuse welches ein physikalisches Eindringen von außen erkennen kann. Bei einem Angriffsversuch würden die zufälligen PUF-Charakteristika der Umhüllung verändert, so dass der Versuch den ursprünglichen Schlüssel herzustellen scheitert. Als Teil der Arbeit wird dabei das vollständige Spektrum dieses Ansatzes untersucht, beginnend mit der physikalischen Konstruktion und Architektur der PUF, über Eigenschaften der Messschaltung, hin zur algorithmischen Datennachverarbeitung sowie hierzu notwendiger theoretischer Grundlagen.

Die erreichten Ergebnisse sind vielfältig: eine neue Klasse von PUF Konstruktionen mit klar begründetem Design zur Erreichung der Tamperschutz-Anforderungen, mehrere Beiträge zur Verbesserung der Ausfallsicherheit von PUFs, zuzüglich angepasster und neuer Metriken um die neuartige PUF zu bewerten. Dies wird vervollständigt durch zwei Implementierungen inklusive einer ausführlichen statistischen Analyse, Umgebungstests, und einer praktisch durchgeführten Sicherheitsanalyse.

14:35
Guido Schmitz
Universität Stuttgart
Guido Schmitz
Privacy-Preserving Web Single Sign-On: Formal Security Analysis and Design

Viele Dienste im Web bieten ihren Nutzer*innen an, zum Login ihre Konten bei Drittanbietern zu verwenden, z.B. mittels Facebook Login oder Google Sign-In. Die dazu verwendeten Verfahren werden Web-Single-Sign-On (Web-SSO) genannt und finden auch außerhalb des Webs immer mehr Anwendung. Beispielsweise ermöglichen sie inzwischen Zustelldiensten ein fremdes Auto öffnen, um darin ein Paket abzulegen. Hier stellen sich grundlegende Fragen: Sind diese Systeme sicher? Wie ist es dabei um Privacy bestellt?

In meiner Dissertation habe ich diese Fragestellungen eingehend untersucht und neue Methoden entwickelt, solche Eigenschaften formal zu analysieren. Grundlage für meinen Ansatz ist das aktuell umfassendste Modell für die Web-Infrastruktur (WIM), welches ich mitentwickelt und im Rahmen meiner Dissertation so erweitert habe, dass damit auch Privacy-Eigenschaften analysiert werden können.

Mit diesem Ansatz habe ich verschiedene Web-SSOs analysiert und mehrere schwerwiegende Sicherheitslücken aufgedeckt. Zusammen mit Standardisierungsorganisationen habe ich auch an der Verbesserung der entsprechenden Spezifikationen gearbeitet. Insbesondere in Bezug auf Privacy habe ich jedoch festgestellt, dass das bisher einzige Privacy-freundliche Web-SSO-System "BrowserID" dieses Ziel nicht erreicht.

Um diese Lücke zu schließen, habe ich ein neues Web-SSO entwickelt: SPRESSO (Secure Privacy-REspecting Single Sign-On). Meinen Designprozess habe ich kontinuierlich mit einer formalen Analyse begleitet und formal bewiesen, dass mein System starke Sicherheits- und Privacy-Eigenschaften bietet. SPRESSO ist damit das erste Web-SSO, das diese Eigenschaften beweisbar garantiert.

14:55
Johannes Späth
Universität Paderborn
Johannes Späth
Synchronized Pushdown Systems for Pointer and Data-Flow Analysis

Statische Datenflussanalysen untersuchen das Verhalten von Software ohne die Software jemals auszuführen. Eine statische Analyse analysiert alle möglichen Ausführungspfade einer Software und eignet sich damit unter anderem um Sicherheitslücken frühzeitig, bereits während der Softwareentwicklung, aufzudecken. Allerdings ist es eine technische Herausforderung, die Analysen präzise und gleichzeitig effizient zu gestalten. Enthalten die Ergebnisse der Analysen viele Falsch Positive und liefern die Analysen die Ergebnisse erst nach Stunden, führt dies unabdingbar dazu, dass EntwicklerInnen die Werkzeuge langfristig nicht nutzen.

Die Herausforderung der statischen Datenflussanalyse ist es ein "unentscheidbares Problem" zu lösen. Der Ansatz Synchronized Pushdown Systems (SPDS) liefert einen neuen Weg, dieses unentscheidbare Problem auf präzise und effiziente Weise zu lösen und liefert Analysezeiten der gesamten Software (inklusive Abhängigkeiten) im Bereich von Sekunden bis zu wenigen Minuten. Zur Anwendung gekommen sind SPDS unter anderem bereits im Open-Source Werkzeug Eclipse CogniCrypt, mit dessem Hilfe bereits mehrere kryptographische Sicherheitslücken aufgedeckt und behoben werden konnten.

15:15
Andreas Heinemann
CAST e.V.
Andreas Heinemann
Überleitung zur Fragerunde

Überleitung zur Fragerunde an die Finalisten mit anschließender Stimmabgabe. Hierbei wechseln die Finalisten und interessierte Teilnehmer in virtuelle Konferenzräume des CAST e.V.

15:20 Session 2: Diskussion und Fragerunde
15:20
Alle Finalisten
Diskussion und Fragerunde mit den Finalisten
  • Die Finalisten stellen sich im Chat den Fragen der Zuhörer
  • Stimmabgabe der Zuhörer
  • Bekanntgabe des Siegers am 2. Tag des Kongresses gegen 14.00h
16:00 Verabschiedung (Bekanntgabe des Gewinners am 3.2. gegen 14.00h)

Informationen und Kontakt

Wenn Sie noch Fragen haben, wenden Sie sich bitte an:

Moderation

Andreas Heinemann
CAST e.V. / Hochschule Darmstadt
Tel.: +49 6151 16 3 8482
E-Mail:

Bernhard C. Witt
GI e.V.
Tel.: +49 731 20589-11
E-Mail:

Administration

Claudia Prediger
CAST e.V.
Tel.: +49 6151 869-230
E-Mail:

CAST Online Workshops

Gerade in Zeiten der COVID-19-Beschränkungen bleiben Fragen zur Cybersicherheit hochaktuell. CAST möchte seinen Beitrag leisten und veranstaltet ab Juli 2020 die CAST-Workshops online als virtuelle Veranstaltungen. Damit wird der Wissensaustausch zu aktuellen Themen der Cybersicherheit kontinuierlich sichergestellt.

Die CAST-Workshops im digitalen Format werden mit dem Open-Source-Webkonferenzsystem BigBlueButton umgesetzt, welches zur Wahrung des Datenschutzes mit einem in Darmstadt platzierten CAST-eignen Server betrieben wird.

Sobald die COVID-19-Beschränkungen es zulassen, wird CAST zum gewohnten Workshop-Format zurückkehren und freut sich schon jetzt darauf Sie wieder persönlich in Darmstadt begrüßen zu dürfen.

Kommende CAST Veranstaltungen

hot topic: In Hardware We Trust: Challenges and Opportunities of Hardware Security 22.04.2021
Mobile und Embedded Security 06.05.2021
Cloud Security 17.06.2021
Quantentechnologie und Quantencomputer-resistente Sicherheit 02.09.2021
20th International Conference of the Biometrics Special Interest Group (BIOSIG 2021) 15.-17.09.2021

Registrierung für die Volksverschlüsselung

Zusammen mit dem CAST e.V. bietet das Fraunhofer SIT im Rahmen der CAST-Workshops die Möglichkeit der Vor-Ort-Registrierung an. Möchten Sie diese Gelegenheit wahrnehmen, so bringen Sie hierfür bitte ein gültiges Ausweisdokument mit und tragen Vorname(n) und Nachname aus Ihrem Ausweis, sowie Ihre E-Mail-Adresse, für die Sie ein Zertifikat der Volksverschlüsselung beantragen möchten, in das Formuar ein. Sie können das Registrierungsformular auch vorab ausfüllen und zur Veranstaltung mitbringen.

Weitere Informationen finden Sie unter volksverschluesselung.de.