Paper accepted at GI-Sicherheit 2018

Our paper Auf dem Weg zu sicheren abgeleiteten Identitäten mithilfe der Payment Service Directive 2 by Daniel Träder, Alexander Zeier, and Andreas Heinemann was accepted at the GI-Sicherheit 2018. The conference will take place 25th – 27th of April in Konstanz, Germany.

Auf dem Weg zu sicheren abgeleiteten Identitäten mithilfe der Payment Service Directive 2

Online-Dienste erfordern eine eindeutige Identifizierung der Benutzer und somit eine sichere Authentisierung. Insbesondere eGovernment-Dienste innerhalb der EU erfordern eine starke Absicherung der Benutzeridentität. Auch die mobile Nutzung solcher Dienste wird bevorzugt. Das Smartphone kann hier als einer der Faktoren für eine Zwei-Faktor-Authentifizierung dienen, um eine höhere Sicherheit zu erreichen. Diese Arbeit schlägt vor, den Zugang und die Nutzung einer abgeleiteten Identität mit einem Smartphone zu sichern, um es dem Benutzer zu ermöglichen, sich auf sichere Weise gegenüber einem Online-Dienst zu identifizieren. Dazu beschreiben wir ein Schema zur Ableitung der Identität eines Benutzers mithilfe eines Payment Service Providers (PSP) unter Verwendung der Payment Service Directive 2 (PSD2) der Europäischen Union. PSD2 erfordert eine Schnittstelle für Dritte, die von PSPs implementiert werden muss. Diese Schnittstelle wird genutzt, um auf die beim PSP gespeicherten Kontoinformationen zuzugreifen und daraus die Identität des Kontoinhabers abzuleiten. Zur Sicherung der abgeleiteten Identität ist der Einsatz von FIDO (Fast Identity Online) vorgesehen. Wir bewerten unseren Vorschlag anhand der Richtlinien von eIDAS LoA (Level of Assurance) und zeigen, dass für die meisten Bereiche das Vertrauensniveau substantiell erreicht werden kann. Um diesem Level vollständig gerecht zu werden, ist zusätzlicher Arbeitsaufwand erforderlich: Zunächst ist es erforderlich, Extended Validation-Zertifikate für alle Institutionen zu verwenden. Zweitens muss der PSP sichere TAN-Methoden verwenden. Schließlich kann der Widerruf einer abgeleiteten Identität nicht erfolgen, wenn der Benutzer keinen Zugriff auf sein Smartphone hat, das mit der abgeleiteten ID verknüpft ist. Daher ist ein anderes Widerrufsverfahren erforderlich (z. B. eine Support-Hotline).

Prof. Heinemann gives a talk at OMNISECURE 2018

Prof. Heinemann gives a talk on “Usable Security – A Brief Introduction” at OMNISECURE 2018 in Berlin on 24.01.2018. The talk will provide an overview on past usable security research topics and current trends. More information about OMNISECURE.

Paper accepted at Open Identity Summit 2017

Our paper Design and Implementation Aspects of Mobile Derived Identities by Daniel Träder, Alexander Zeier, and Andreas Heinemann was accepted at the Open Identity Summit 2017. The conference will take place 5th and 6th of October in Karlstad, Sweden.

Design and Implementation Aspects of Mobile Derived Identities

With the ongoing digitalisation of our everyday tasks, more and more eGovernment services make it possible for citizens to take care of their administrative obligations online. This type of services requires a certain assurance level for user authentication. To met these requirements, a digital identity issued to the citizen is essential. Nowadays, due to the widespread of smartphones, often mobile user authentication is favoured. This naturally supports for two-factor authentication schemes (2FA). We use the term mobile derived identity to stress two aspects: a) the identity is enabled for mobile usage and b) the identity is somehow derived from a physical or digital proof of identity. This work reviews 21 systems that support mobile derived identities. One subset of the considered systems are already in place (public or private sector in Europe), another subset belongs to research. We found that research prefers the storage of identity data on the mobile device itself whereas real world systems rely on cloud storage. 2FA is common in both worlds, however biometrics as second factor is rather the exception.

Two papers accepted at D-A-CH Security 2017

Our two papers Zur Wirksamkeit von Security Awareness Maßnahmen by G. Schembre and A. Heinemann and Design- und Implementierungsaspekte mobiler abgeleiteter IDs by D. Träder, A. Zeier and A. Heinemann were accepted at the D-A-CH Security 2017. The conference will take place 5th and 6th of September in Munich.

Zur Wirksamkeit von Security Awareness Maßnahmen

Im Rahmen einer elfwöchigen Studie bei einem mittelständigen Unternehmen wurde untersucht, ob das Investment in ein Präsenztraining zur Verbesserung der Security Awareness mit Fokus auf E-Mail- Phishing-Angriffe lohnenswert ist. Das erstellte Präsenztraining wird mit kostengünstig erwerbbaren Online-Lernspielen verglichen. Die Auswertung der Daten zeigt, dass beide Maßnahmen sich positiv auf das Verhalten der Mitarbeiter auswirken, jedoch die Verbesserungen durch das Präsenztraining überwiegen. Hierbei ist auffällig, dass bei einer freiwilligen Teilnahme die Motivation, eigenständig ein Online-Lernspiel zu absolvieren sehr gering ist. Bemerkenswert ist ebenfalls, dass allein das Versenden von fingierten Phishing-E-Mails zu einer Sensibilisierung der Mitarbeiter führt.

Design- und Implementierungsaspekte mobiler abgeleiteter IDs

Durch die immer weiter voranschreitende Digitalisierung können mehr und mehr unserer alltäglichen Aufgaben online erledigt werden. Dies schließt auch eGovernment-Dienste ein, welche definierte Anforderungen an die Sicherheit stellen. Um diese Anforderungen zu erfüllen, müssen digitale Identitäten an die Bürger ausgestellt werden. Zusätzlich ist eine 2-Faktor-Authentifizierung (2FA) essentiell, um ein ausreichendes Vertrauensniveau zu erreichen. Durch die hohe Verbreitung von Smartphones wird die mobile Nutzung von Online-Diensten immer beliebter. Diese unterstützen die 2FA auf natürliche Weise. Der Begriff mobile abgeleitete Identität bezeichnet eine Identität, die a) auf einem mobilen Gerät verwendet werden kann und b) von einem physikalischen oder digitalen Identitätsnachweis abgeleitet wurde. Diese Arbeit untersucht 21 Systeme, welche mobile abgeleitete Identitäten zur Authentifizierung der Nutzer verwendet. Dabei werden sowohl Systeme betrachtet, die sich bereits im Einsatz befinden (im öffentlichen sowie privaten Sektor) als auch wissenschaftliche Arbeiten. Dabei konnten wir erkennen, dass die bereits genutzten Systeme in der Regel eine Speicherung der Identitäten in der Cloud bevorzugen, während die Forschung eine lokale Speicherung bevorzugt. 2FA wird von beiden gleichermaßen unterstützt, wobei biometrische Verfahren die Ausnahme sind.

Daniel Träder defended his Master’s Thesis on “FIDO-konforme abgeleitete eID im E-Government”

We congratulate Daniel Träder for successfully defending his Master’s Thesis with the title “FIDO-konforme abgeleitete eID im E-Government” last Tuesday.

Abstract: An online identification of a user often works with user name and password. This method is increasingly viewed as unsafe, but alternative technologies are not yet widely used. The Identity Card (nPA) in Germany also includes these alternative technologies. This provides the user with a standardized method of being identified in on-line procedures compliant with the official directives. This offer is currently not well accepted by the citizens. One reason is a lack of usability, which is caused by the provided system. The poor circulation of card readers is a challenge. In this context, the work examines the possibility of addressing new user groups by means of derived identities and making the authentication more user-friendly. Challenges are presented in the integration and implementation of a system with derived identities. In particular, substantial assurance level according to BSI definition is aimed at. Various solutions for derived identities, which are used in the European states and scientific work on the subject, are considered. The result is an architecture that uses a bank as identity provider. The Payment Services Directive 2 (PSD2) of the European Union was selected as the basis and an interface was designed and implemented according to this. This architecture fulfills the prerequisites for the assurance level substantial. In addition, the introduction of the new assurance level substantial is discussed for the “Servicekonto”, the necessary changes are described and implemented in the prototype. It is shown that an online authentication can be made trustworthy and usable, and at the same time more user groups can be addressed. For the achievement of the substantial assurance level, changes are essential to the system in which the prototype is to be integrated.

CASED Distinguished Lectures in Cybersecurity – Winter 2014/15

The next season of the CASED Distinguished Lectures Series (DLS) is settled.

Where and when: On selected Thursdays from 4:15 to 5:15 p.m. in room C110 (TU Darmstadt/Piloty-Building S2|02).Each lecture is followed by an informal get-together with snacks in the Athene Bistro.

Program

20.11.2014 Greg Morrisett, Harvard University, USA, Host: Neeraj Suri
Title: “Securing Code in a More Trustworthy Fashion”

11.12.2014 Gene Tsudik, UC Irvine, USA, Host : Michael Waidner
Title: “Challenges in Remote Attestation of Low-End Embedded Devices“

22.01.2015 Jean-Pierre Seifert, TU Berlin; Host : Michael Waidner
Title: “A thorough analysis of the arbiter PUF promise”

12.02.2015 Ernie Brickell, Intel Labs, USA, Host: Matthias Schunter/Ahmad Sadeghi
Title: “Intel´s Security Architecture Vision”

Use this opportunity to discuss current research topics with leading scientists! We are looking forward to seeing you there.

For further information please visit:
http://www.cased.de/news/dlectures/dlectures.html

CASED Distinguished Lectures Series – Summer 2014

The next season of the CASED Distinguished Lectures Series (DLS) is settled.

Where and when: On selected Thursdays from 4:15 to 5:15 p.m. in room C110 (Piloty-Building S2|02, TU Darmstadt).

Organization: Prof. Michael Waidner, Prof. Ahmad-Reza Sadeghi
Each lecture is followed by an informal get-together with snacks in the Athene Bistro.

Programm 

24.04.2014 Fred Schneider, Cornell University, USA
Title: “Toward a Science of Security”
Please note: this lecture takes place in room C205!

11.06.2014 Farinaz Koushanfar, Rice University, USA
Title: “Big Data, Big Security, Bigger Challenges and Opportunities”
Please note: this lecture takes place on a Wednesday!

26.06.2014 Adrian Perrig, ETH Zürich, Schweiz
Title: “SCION: Scalability, Control and Isolation On Next-Generation Network”

Use this opportunity to discuss current research topics with leading scientists! We are looking forward to seeing you there.

For further information please visit: http://www.cased.de/news/dlectures/dlectures.html

UCS Site goes online

We are happy to announce, that our brand new home on the Web is finally online. There are still a number of placeholders and missing/incomplete information. Well, things will evolve over time …