Use-A-PQClib: Benutzbare APIs für Post-Quantum Kryptographie Bibliotheken

Die fortschreitende Entwicklung des Quantencomputers stellt zunehmend eine Gefahr für klassische Krypto-Verfahren dar, die vielfach und vielfältig in heutiger Hard- und Software zum Einsatz kommt. Hier schlägt das Forschungsgebiet der sog. Post-Quantum-Kryptographie Verfahren und Algorithmen vor, die auch einem Angriff mit einem leistungsfähigen Quantencomputer standhalten würden. Im Jahr 2016 hat das US-amerikanische National Institute of Standards and Technology (NIST) einen Aufruf zur Standardisierung solcher PQC-Verfahren gestartet.

Stand heute ist es noch völlig unklar, wie die neuen Verfahren einfach in bestehende und neue Soft- und Hardware integriert werden können. Darüber hinaus sind die neuen PQC-Verfahren in ihrer Handhabe durch einen Software-Entwickler weitaus komplexer und Implementierungsfehler und Fehler im Einsatz sind zu erwarten. Hier setzt das Projekt Use-A-PQClib an. Im Rahmen des Projekts wird eine – aus sich des Entwicklers – leicht zu benutzende API (Programmierschnittstelle) für Post-Quantum-Krypto-Verfahren und die zugehörigen PQC-Implementierungen entwickelt, die im Idealfall eine gemeinsame Abstraktion von klassischer und PQC-Verfahren subsumiert. Damit böte sich eine einfachere und fehlerminimierende Integration dieser Verfahren in aktuelle und zukünftige IT-Sicherheitsprodukte (Hard- und Software) an. Des Weiteren kümmert sich das Projekt um die Implementierung und Bereitstellung eines PQC-Testbeds für Drittanbieter, um die in Zukunft notwendig werdenden Interoperabilitätstests der zukünftigen PQC-Verfahren durchführen zu können.

Das Projekt wird gemeinschaftlich von der Arbeitsgruppe User-Centered Security (UCS) unter Leitung von Prof. Heinemann (Fachbereich Informatik, Hochschule Darmstadt) und der MTG AG (Darmstadt) durchgeführt. UCS übernimmt federführend die wissenschaftlichen Fragestellungen, insbesondere das Design und die Usability-Evaluierung der neu zu erarbeitenden PQC Krypto API und MTG bringt hier seine ausgewiesene Expertise im Bereich der IT-Sicherheitsinfrastrukturen (z.B. Publik-Key-Infrastrukturen) und Know-how zur Implementierung ein. Im Rahmen eines User-Centered Design Ansatzes (genauer Developer-Centered Design) arbeiten UCS und MTG sehr eng in allen Schritten und Arbeitspaketen zusammen. Fördergeber des Projekts ist das Hessisches Ministerium für Wissenschaft und Kunst (HMWK) über die LOEWE-Förderlinie 3, KMU-Verbundvorhaben.

Das Projekt wird nach unserem Kenntnisstand weltweit die erste PQC Krypto API entwickeln, deren Benutzbarkeit durch Software-Entwickler evaluiert wurde. Die Erkenntnisse sollen wissenschaftlich im Rahmen von wissenschaftlichen Veröffentlichungen und einem Promotionsvorhaben der IT-Sicherheitscommunity zugänglich gemacht werden. Die MTG AG wird die Projektergebnisse in ihre IT-Sicherheitsprodukte integrieren bzw. umsetzen können und damit zu den ersten Anbietern gehören, die PQC-Verfahren dem Markt zugänglich machen.

Training Security Awareness on the Job

Bei der Betrachtung von IT-Sicherheit in Unternehmen, Behörden, öffentlichen Einrichtungen und anderen Organisationen spielt neben technischen Maßnahmen (z. B. Firewalls, Virenschutz etc.) die Sensibilisierung der Mitarbeiter eine wichtige Rolle, insbesondere da Phishing-Angriffe (z. B. in Form von E-Mails) weit verbreitet sind und eine ernstzunehmende Bedrohung darstellen. Unternehmen stehen somit vor der Herausforderung ihre Mitarbeiter entsprechend zu schulen, damit Social Engineering Angriffe, welche u. a. auf die Leichtgläubigkeit des Nutzers abzielen, ins Leere laufen. Hier setzen Security Awareness Maßnahmen an, die ein Zusammenspiel aus Wissen, Können und Wollen in Bezug auf IT-sicherheitsrelevante Aspekte schulen. Die Entwicklung, Durchführung und Auswertung geeigneter Security Awareness Maßnahmen besitzt noch einen erheblichen Forschungsbedarf. Es ist nicht ausreichend, einem Nutzer ausschließlich Wissen über die Gefahren eines Phishing-Angriffs zu vermitteln, um eine nachhaltige Verhaltensänderung herbeizuführen.

Mit diesem Projekt soll untersucht werden, wie das IT-Sicherheitsverhalten von Anwendern im Rahmen ihrer täglichen Arbeit verbessert und geschult werden kann. Hierbei verfolgen wir als Ziel die Beantwortung der folgenden, noch offenen Forschungsfragen.

  • Wie lassen sich Security Awareness Maßnahmen möglichst natürlich in Arbeitsabläufe von Mitarbeitern integrieren?
  • Können sog. teachable moments im Arbeitsablauf identifiziert und genutzt werden?
  • Ob und wie lässt sich der Erfolg oder Misserfolg einer Security Awareness Maßnahme bzgl. Cyberangriffen messen?

Als weiteres Ziel soll ein belastbares Verständnis über das IT-Sicherheits-Know-How von typischen IT-Anwendern erarbeitet werden, um als Grundlage etwaiger zukünftiger Personalentwicklungsmaßnahmen in Unternehmen zu dienen.

Mobile Derived Identities for e-Government Services

E-Government services need a secure authentication; thus, written form is often mandatory. For replacing this process electronically, integrity and authentication of the submitted data is required. Existing solutions suffer from a lack of usability. The goal of this project is an easy to use solution based on derived identities. For this purpose, we aim to use the ubiquity of smartphones instead of desktop computers as authentication devices. For this, we need to store a users’ identity on the smartphone which will be securely derived from the German ID-card (neuer Personalausweis). With our solution, it will be possible to use the smartphone for secure identification in modern e-Government and Internet services.

Publications:
  • D. Träder, A. Zeier, and A. Heinemann, “Design- und Implementierungsaspekte mobiler abgeleiteter IDs,” in D-A-CH Security 2017 Tagungsband, 2017, pp. 70-80.
    [BibTeX] [Abstract] [Download PDF]

    Durch die immer weiter voranschreitende Digitalisierung können mehr und mehr unserer alltäglichen Aufgaben online erledigt werden. Dies schließt auch eGovernment-Dienste ein, welche definierte Anforderungen an die Sicherheit stellen. Um diese Anforderungen zu erfüllen, müssen digitale Identitäten an die Bürger ausgestellt werden. Zusätzlich ist eine 2-Faktor-Authentifizierung (2FA) essentiell, um ein ausreichendes Vertrauensniveau zu erreichen. Durch die hohe Verbreitung von Smartphones wird die mobile Nutzung von Online-Diensten immer beliebter. Diese unterstützen die 2FA auf natürliche Weise. Der Begriff mobile abgeleitete Identität bezeichnet eine Identität, die a) auf einem mobilen Gerät verwendet werden kann und b) von einem physikalischen oder digitalen Identitätsnachweis abgeleitet wurde. Diese Arbeit untersucht 21 Systeme, welche mobile abgeleitete Identitäten zur Authentifizierung der Nutzer verwendet. Dabei werden sowohl Systeme betrachtet, die sich bereits im Einsatz befinden (im öffentlichen sowie privaten Sektor) als auch wissenschaftliche Arbeiten. Dabei konnten wir erkennen, dass die bereits genutzten Systeme in der Regel eine Speicherung der Identitäten in der Cloud bevorzugen, während die Forschung eine lokale Speicherung bevorzugt. 2FA wird von beiden gleichermaßen unterstützt, wobei biometrische Verfahren die Ausnahme sind.

    @inproceedings{traeder_maID_2017,
    Abstract = {Durch die immer weiter voranschreitende Digitalisierung k{\"o}nnen mehr und mehr unserer allt{\"a}glichen Aufgaben online erledigt werden. Dies schlie{\ss}t auch eGovernment-Dienste ein, welche definierte Anforderungen an die Sicherheit stellen. Um diese Anforderungen zu erf{\"u}llen, m{\"u}ssen digitale Identit{\"a}ten an die B{\"u}rger ausgestellt werden. Zus{\"a}tzlich ist eine 2-Faktor-Authentifizierung (2FA) essentiell, um ein ausreichendes Vertrauensniveau zu erreichen.
    Durch die hohe Verbreitung von Smartphones wird die mobile Nutzung von Online-Diensten immer beliebter. Diese unterst{\"u}tzen die 2FA auf nat{\"u}rliche Weise.
    Der Begriff mobile abgeleitete Identit{\"a}t bezeichnet eine Identit{\"a}t, die a) auf einem mobilen Ger{\"a}t verwendet werden kann und b) von einem physikalischen oder digitalen Identit{\"a}tsnachweis abgeleitet wurde.
    Diese Arbeit untersucht 21 Systeme, welche mobile abgeleitete Identit{\"a}ten zur Authentifizierung der Nutzer verwendet. Dabei werden sowohl Systeme betrachtet, die sich bereits im Einsatz befinden (im {\"o}ffentlichen sowie privaten Sektor) als auch wissenschaftliche Arbeiten.
    Dabei konnten wir erkennen, dass die bereits genutzten Systeme in der Regel eine Speicherung der Identit{\"a}ten in der Cloud bevorzugen, w{\"a}hrend die Forschung eine lokale Speicherung bevorzugt. 2FA wird von beiden gleicherma{\ss}en unterst{\"u}tzt, wobei biometrische Verfahren die Ausnahme sind.},
    Author = {Tr{\"a}der, Daniel and Zeier, Alexander and Heinemann, Andreas},
    Booktitle = {D-{A}-{CH} {Security} 2017 {Tagungsband}},
    Editor = {Schartner, Peter},
    Pages = {70--80},
    Publisher = {syssec},
    Title = {Design- und {Implementierungsaspekte} mobiler abgeleiteter {IDs}},
    Year = {2017}}

AnonDrop 

Opportunistic networks provide an alternative communication system in cases where Internet access is restricted or (temporarily) unavailable. This can happen due to an Internet shutdown performed by a repressive state or caused by a natural disaster or otherwise inflicted damages to the infrastructure. AnonDrop allows a geographically restricted communication that can predominantly withstand attacks on the identification of participating nodes by using dynamic network addresses (MAC and IP) and other protection measures. A prototype based on Android smartphones and Raspberry Pis was realised, which demonstrates first satisfying results for stress and mobility tests.

Publications:
  • A. Zeier and A. Heinemann, “AnonDrop — Räumlich begrenzte anonyme Informationsverbreitung,” in D-A-CH Security 2016 Tagungsband, 2016, pp. 241-252.
    [BibTeX] [Abstract] [Download PDF]

    Opportunistische Netze bieten ein alternatives Kommunikationssystem in Situationen, in denen ein repressiver Staat die klassische Internetkommunikation filtert oder ganz unterbindet. AnonDrop erlaubt hier eine räumlich begrenzte Kommunikation, die mittels dynamischer Netzadressen (MAC und IP) und weiterer Schutzmaßnahmen Angriffen auf die Identifizierung von Knoten überwiegend standhält. Auf Basis von Android Smartphones wurde ein Prototyp realisiert, der bei ersten Last- und Mobilitätstests zufriedenstellende Ergebnisse zeigt.

    @inproceedings{zeier_anondrop_2016,
    Abstract = {Opportunistische Netze bieten ein alternatives Kommunikationssystem in Situationen, in denen ein repressiver Staat die klassische Internetkommunikation filtert oder ganz unterbindet. AnonDrop erlaubt hier eine r{\"a}umlich begrenzte Kommunikation, die mittels dynamischer Netzadressen (MAC und IP) und weiterer Schutzma{\ss}nahmen Angriffen auf die Identifizierung von Knoten {\"u}berwiegend standh{\"a}lt. Auf Basis von Android Smartphones wurde ein Prototyp realisiert, der bei ersten Last- und Mobilit{\"a}tstests zufriedenstellende Ergebnisse zeigt.},
    Author = {Zeier, Alexander and Heinemann, Andreas},
    Booktitle = {D-{A}-{CH} {Security} 2016 {Tagungsband}},
    Editor = {Schartner, Peter},
    Pages = {241--252},
    Publisher = {syssec},
    Title = {{AnonDrop} -- {R{\"a}umlich} begrenzte anonyme {Informationsverbreitung}},
    Year = {2016}}

AusweisApp2

Our group is involved in improving the usability, accessibility and acceptance of the AusweisApp2, the successor helper application for the German ID card, and its associated service- and support platform. After working for six month close together with the software development department of the Governikus GmbH & Co. KG, a first public trial of the AusweisApp2 started on 01.11.2014.

SecMaaS – Security Management As A Service

Within SecMaaS we investigate novel governing principles and policies in the local government domain in order to ease information security and IT related risk management. See SecMaaS projekt site for more information.