Welcome to the User-Centered Security Research Group, a joint working group of the h_da/Faculty of Computer Science and the Institute of Computer Science/WG Identity Management at FU Berlin.

We investigate how to designbuild and evaluate usable and secure interactive/collaborative software and IT-systems that people will trust based on established/novel IT-Security and/or HCI principles and mechanisms. See projects to find out more.

In addition, we support the CTF-Team at our faculty.

We are affiliated with the IT-Security devision at h_da/CS Faculty, the z.a.i, and the Center for Research in Security and Privacy (CRISP).

News

New Project: Use-A-PQClib (german)

Use-A-PQClib: Benutzbare APIs für Post-Quantum Kryptographie Bibliotheken

Darmstadt (August 2018). Das Internet erfordert sichere Verschlüsselungsverfahren, um die Vertraulichkeit von Informationen sicherzustellen. Der Quantencomputer bedroht diese Sicherheit, da ein leistungsfähiger Quantencomputer die klassischen Verschlüsselungsverfahren brechen würde. Das Gebiet der sog. Post-Quantum-Kryptographie (PQC) erforscht Verfahren und Algorithmen, die auch einem Angriff mit Quantencomputern standhalten würden.

Im Rahmen des Projekts Use-A-PQClib wird eine leicht zu benutzende Programmierschnittstelle (API) für PQC-Verfahren entworfen und implementiert. Dieses API-Design wird anschließend in zugehörige Implementierungen integriert. Ziel ist eine gemeinsame Abstraktion von klassischen und PQC-Verfahren. Diese Architektur soll es ermöglichen, bei Verfügbarkeit eines leistungsfähigen Quantencomputers auf einfache Weise klassische Verfahren durch PQC-Verfahren auszutauschen. Software-Entwickler evaluieren die Benutzbarkeit der neuen API.

Das Projekt leistet somit einen Beitrag zur sog. Krypto-AIgilität, die eine einfache und fehlerminimierende Integration bzw. den leichten Austausch von Krypto-Verfahren in IT-Sicherheitsprodukte fordert.

Über eine Laufzeit von 30 Monaten wird das Projekt gemeinschaftlich von der Arbeitsgruppe User-Centered Security (UCS) unter Leitung von Prof. Heinemann (Fachbereich Informatik, Hochschule Darmstadt) und der MTG AG (Darmstadt) durchgeführt. Fördergeber ist das Hessisches Ministerium für Wissenschaft und Kunst (HMWK) über die LOEWE-Förderlinie 3, KMU-Verbundvorhaben.

Paper accepted at GI-Sicherheit 2018

Our paper Auf dem Weg zu sicheren abgeleiteten Identitäten mithilfe der Payment Service Directive 2 by Daniel Träder, Alexander Zeier, and Andreas Heinemann was accepted at the GI-Sicherheit 2018. The conference will take place 25th – 27th of April in Konstanz, Germany.

Auf dem Weg zu sicheren abgeleiteten Identitäten mithilfe der Payment Service Directive 2

Online-Dienste erfordern eine eindeutige Identifizierung der Benutzer und somit eine sichere Authentisierung. Insbesondere eGovernment-Dienste innerhalb der EU erfordern eine starke Absicherung der Benutzeridentität. Auch die mobile Nutzung solcher Dienste wird bevorzugt. Das Smartphone kann hier als einer der Faktoren für eine Zwei-Faktor-Authentifizierung dienen, um eine höhere Sicherheit zu erreichen. Diese Arbeit schlägt vor, den Zugang und die Nutzung einer abgeleiteten Identität mit einem Smartphone zu sichern, um es dem Benutzer zu ermöglichen, sich auf sichere Weise gegenüber einem Online-Dienst zu identifizieren. Dazu beschreiben wir ein Schema zur Ableitung der Identität eines Benutzers mithilfe eines Payment Service Providers (PSP) unter Verwendung der Payment Service Directive 2 (PSD2) der Europäischen Union. PSD2 erfordert eine Schnittstelle für Dritte, die von PSPs implementiert werden muss. Diese Schnittstelle wird genutzt, um auf die beim PSP gespeicherten Kontoinformationen zuzugreifen und daraus die Identität des Kontoinhabers abzuleiten. Zur Sicherung der abgeleiteten Identität ist der Einsatz von FIDO (Fast Identity Online) vorgesehen. Wir bewerten unseren Vorschlag anhand der Richtlinien von eIDAS LoA (Level of Assurance) und zeigen, dass für die meisten Bereiche das Vertrauensniveau substantiell erreicht werden kann. Um diesem Level vollständig gerecht zu werden, ist zusätzlicher Arbeitsaufwand erforderlich: Zunächst ist es erforderlich, Extended Validation-Zertifikate für alle Institutionen zu verwenden. Zweitens muss der PSP sichere TAN-Methoden verwenden. Schließlich kann der Widerruf einer abgeleiteten Identität nicht erfolgen, wenn der Benutzer keinen Zugriff auf sein Smartphone hat, das mit der abgeleiteten ID verknüpft ist. Daher ist ein anderes Widerrufsverfahren erforderlich (z. B. eine Support-Hotline).

Prof. Heinemann gives a talk at OMNISECURE 2018

Prof. Heinemann gives a talk on “Usable Security – A Brief Introduction” at OMNISECURE 2018 in Berlin on 24.01.2018. The talk will provide an overview on past usable security research topics and current trends. More information about OMNISECURE.