Use-A-PQClib: Benutzbare APIs für Post-Quantum Kryptographie Bibliotheken

Die fortschreitende Entwicklung des Quantencomputers stellt zunehmend eine Gefahr für klassische Krypto-Verfahren dar, die vielfach und vielfältig in heutiger Hard- und Software zum Einsatz kommt. Hier schlägt das Forschungsgebiet der sog. Post-Quantum-Kryptographie Verfahren und Algorithmen vor, die auch einem Angriff mit einem leistungsfähigen Quantencomputer standhalten würden. Im Jahr 2016 hat das US-amerikanische National Institute of Standards and Technology (NIST) einen Aufruf zur Standardisierung solcher PQC-Verfahren gestartet.

Stand heute ist es noch völlig unklar, wie die neuen Verfahren einfach in bestehende und neue Soft- und Hardware integriert werden können. Darüber hinaus sind die neuen PQC-Verfahren in ihrer Handhabe durch einen Software-Entwickler weitaus komplexer und Implementierungsfehler und Fehler im Einsatz sind zu erwarten. Hier setzt das Projekt Use-A-PQClib an. Im Rahmen des Projekts wird eine – aus sich des Entwicklers – leicht zu benutzende API (Programmierschnittstelle) für Post-Quantum-Krypto-Verfahren und die zugehörigen PQC-Implementierungen entwickelt, die im Idealfall eine gemeinsame Abstraktion von klassischer und PQC-Verfahren subsumiert. Damit böte sich eine einfachere und fehlerminimierende Integration dieser Verfahren in aktuelle und zukünftige IT-Sicherheitsprodukte (Hard- und Software) an. Des Weiteren kümmert sich das Projekt um die Implementierung und Bereitstellung eines PQC-Testbeds für Drittanbieter, um die in Zukunft notwendig werdenden Interoperabilitätstests der zukünftigen PQC-Verfahren durchführen zu können.

Das Projekt wird gemeinschaftlich von der Arbeitsgruppe User-Centered Security (UCS) unter Leitung von Prof. Heinemann (Fachbereich Informatik, Hochschule Darmstadt) und der MTG AG (Darmstadt) durchgeführt. UCS übernimmt federführend die wissenschaftlichen Fragestellungen, insbesondere das Design und die Usability-Evaluierung der neu zu erarbeitenden PQC Krypto API und MTG bringt hier seine ausgewiesene Expertise im Bereich der IT-Sicherheitsinfrastrukturen (z.B. Publik-Key-Infrastrukturen) und Know-how zur Implementierung ein. Im Rahmen eines User-Centered Design Ansatzes (genauer Developer-Centered Design) arbeiten UCS und MTG sehr eng in allen Schritten und Arbeitspaketen zusammen.

Das Projekt wird nach unserem Kenntnisstand weltweit die erste PQC Krypto API entwickeln, deren Benutzbarkeit durch Software-Entwickler evaluiert wurde. Die Erkenntnisse sollen wissenschaftlich im Rahmen von wissenschaftlichen Veröffentlichungen und einem Promotionsvorhaben der IT-Sicherheitscommunity zugänglich gemacht werden. Die MTG AG wird die Projektergebnisse in ihre IT-Sicherheitsprodukte integrieren bzw. umsetzen können und damit zu den ersten Anbietern gehören, die PQC-Verfahren dem Markt zugänglich machen.

Mobile Derived Identities for e-Government Services

E-Government services need a secure authentication; thus, written form is often mandatory. For replacing this process electronically, integrity and authentication of the submitted data is required. Existing solutions suffer from a lack of usability. The goal of this project is an easy to use solution based on derived identities. For this purpose, we aim to use the ubiquity of smartphones instead of desktop computers as authentication devices. For this, we need to store a users’ identity on the smartphone which will be securely derived from the German ID-card (neuer Personalausweis). With our solution, it will be possible to use the smartphone for secure identification in modern e-Government and Internet services.

Publications:
  • D. Träder, A. Zeier, and A. Heinemann, “Design- und Implementierungsaspekte mobiler abgeleiteter IDs,” in D-A-CH Security 2017 Tagungsband, 2017, pp. 70-80.
    [BibTeX] [Abstract] [Download PDF]

    Durch die immer weiter voranschreitende Digitalisierung können mehr und mehr unserer alltäglichen Aufgaben online erledigt werden. Dies schließt auch eGovernment-Dienste ein, welche definierte Anforderungen an die Sicherheit stellen. Um diese Anforderungen zu erfüllen, müssen digitale Identitäten an die Bürger ausgestellt werden. Zusätzlich ist eine 2-Faktor-Authentifizierung (2FA) essentiell, um ein ausreichendes Vertrauensniveau zu erreichen. Durch die hohe Verbreitung von Smartphones wird die mobile Nutzung von Online-Diensten immer beliebter. Diese unterstützen die 2FA auf natürliche Weise. Der Begriff mobile abgeleitete Identität bezeichnet eine Identität, die a) auf einem mobilen Gerät verwendet werden kann und b) von einem physikalischen oder digitalen Identitätsnachweis abgeleitet wurde. Diese Arbeit untersucht 21 Systeme, welche mobile abgeleitete Identitäten zur Authentifizierung der Nutzer verwendet. Dabei werden sowohl Systeme betrachtet, die sich bereits im Einsatz befinden (im öffentlichen sowie privaten Sektor) als auch wissenschaftliche Arbeiten. Dabei konnten wir erkennen, dass die bereits genutzten Systeme in der Regel eine Speicherung der Identitäten in der Cloud bevorzugen, während die Forschung eine lokale Speicherung bevorzugt. 2FA wird von beiden gleichermaßen unterstützt, wobei biometrische Verfahren die Ausnahme sind.

    @inproceedings{traeder_maID_2017,
    Abstract = {Durch die immer weiter voranschreitende Digitalisierung k{\"o}nnen mehr und mehr unserer allt{\"a}glichen Aufgaben online erledigt werden. Dies schlie{\ss}t auch eGovernment-Dienste ein, welche definierte Anforderungen an die Sicherheit stellen. Um diese Anforderungen zu erf{\"u}llen, m{\"u}ssen digitale Identit{\"a}ten an die B{\"u}rger ausgestellt werden. Zus{\"a}tzlich ist eine 2-Faktor-Authentifizierung (2FA) essentiell, um ein ausreichendes Vertrauensniveau zu erreichen.
    Durch die hohe Verbreitung von Smartphones wird die mobile Nutzung von Online-Diensten immer beliebter. Diese unterst{\"u}tzen die 2FA auf nat{\"u}rliche Weise.
    Der Begriff mobile abgeleitete Identit{\"a}t bezeichnet eine Identit{\"a}t, die a) auf einem mobilen Ger{\"a}t verwendet werden kann und b) von einem physikalischen oder digitalen Identit{\"a}tsnachweis abgeleitet wurde.
    Diese Arbeit untersucht 21 Systeme, welche mobile abgeleitete Identit{\"a}ten zur Authentifizierung der Nutzer verwendet. Dabei werden sowohl Systeme betrachtet, die sich bereits im Einsatz befinden (im {\"o}ffentlichen sowie privaten Sektor) als auch wissenschaftliche Arbeiten.
    Dabei konnten wir erkennen, dass die bereits genutzten Systeme in der Regel eine Speicherung der Identit{\"a}ten in der Cloud bevorzugen, w{\"a}hrend die Forschung eine lokale Speicherung bevorzugt. 2FA wird von beiden gleicherma{\ss}en unterst{\"u}tzt, wobei biometrische Verfahren die Ausnahme sind.},
    Author = {Tr{\"a}der, Daniel and Zeier, Alexander and Heinemann, Andreas},
    Booktitle = {D-{A}-{CH} {Security} 2017 {Tagungsband}},
    Editor = {Schartner, Peter},
    Pages = {70--80},
    Publisher = {syssec},
    Title = {Design- und {Implementierungsaspekte} mobiler abgeleiteter {IDs}},
    Year = {2017}}

AnonDrop 

Opportunistic networks provide an alternative communication system in cases where Internet access is restricted or (temporarily) unavailable. This can happen due to an Internet shutdown performed by a repressive state or caused by a natural disaster or otherwise inflicted damages to the infrastructure. AnonDrop allows a geographically restricted communication that can predominantly withstand attacks on the identification of participating nodes by using dynamic network addresses (MAC and IP) and other protection measures. A prototype based on Android smartphones and Raspberry Pis was realised, which demonstrates first satisfying results for stress and mobility tests.

Publications:
  • A. Zeier and A. Heinemann, “AnonDrop — Räumlich begrenzte anonyme Informationsverbreitung,” in D-A-CH Security 2016 Tagungsband, 2016, pp. 241-252.
    [BibTeX] [Abstract] [Download PDF]

    Opportunistische Netze bieten ein alternatives Kommunikationssystem in Situationen, in denen ein repressiver Staat die klassische Internetkommunikation filtert oder ganz unterbindet. AnonDrop erlaubt hier eine räumlich begrenzte Kommunikation, die mittels dynamischer Netzadressen (MAC und IP) und weiterer Schutzmaßnahmen Angriffen auf die Identifizierung von Knoten überwiegend standhält. Auf Basis von Android Smartphones wurde ein Prototyp realisiert, der bei ersten Last- und Mobilitätstests zufriedenstellende Ergebnisse zeigt.

    @inproceedings{zeier_anondrop_2016,
    Abstract = {Opportunistische Netze bieten ein alternatives Kommunikationssystem in Situationen, in denen ein repressiver Staat die klassische Internetkommunikation filtert oder ganz unterbindet. AnonDrop erlaubt hier eine r{\"a}umlich begrenzte Kommunikation, die mittels dynamischer Netzadressen (MAC und IP) und weiterer Schutzma{\ss}nahmen Angriffen auf die Identifizierung von Knoten {\"u}berwiegend standh{\"a}lt. Auf Basis von Android Smartphones wurde ein Prototyp realisiert, der bei ersten Last- und Mobilit{\"a}tstests zufriedenstellende Ergebnisse zeigt.},
    Author = {Zeier, Alexander and Heinemann, Andreas},
    Booktitle = {D-{A}-{CH} {Security} 2016 {Tagungsband}},
    Editor = {Schartner, Peter},
    Pages = {241--252},
    Publisher = {syssec},
    Title = {{AnonDrop} -- {R{\"a}umlich} begrenzte anonyme {Informationsverbreitung}},
    Year = {2016}}

AusweisApp2

Our group is involved in improving the usability, accessibility and acceptance of the AusweisApp2, the successor helper application for the German ID card, and its associated service- and support platform. After working for six month close together with the software development department of the Governikus GmbH & Co. KG, a first public trial of the AusweisApp2 started on 01.11.2014.

SecMaaS – Security Management As A Service

Within SecMaaS we investigate novel governing principles and policies in the local government domain in order to ease information security and IT related risk management. See SecMaaS projekt site for more information.