Kontakt

E-Mail: alexander [dot] zeier [at] h-da [dot] de
Büro: D19 / 2.05
Telefon: 06151-16-38489
Sprechzeiten: nach Vereinbarung

Mein Public-Key für PGP verschlüsselte Nachrichten kann hier heruntergeladen werden: Alexander_Zeier_pub.asc
Fingerprint: 23FE 2888 2268 AD73 5012  E419 FA59 1E13 68C6 2F3C

Publications

2018

  • D. Träder, A. Zeier, and A. Heinemann, “Auf dem Weg zu sicheren abgeleiteten Identitäten mit Payment Service Directive 2,” in Sicherheit 2018, Bonn, 2018, pp. 183-196.
    [BibTeX] [Abstract] [Download PDF]

    Online-Dienste erfordern eine eindeutige Identifizierung der Benutzer und somit eine sichere Authentisierung. Insbesondere eGovernment-Dienste innerhalb der EU erfordern eine starke Absicherung der Benutzeridentität. Auch die mobile Nutzung solcher Dienste wird bevorzugt. Das Smartphone kann hier als einer der Faktoren für eine Zwei-Faktor-Authentifizierung dienen, um eine höhere Sicherheit zu erreichen. Diese Arbeit schlägt vor, den Zugang und die Nutzung einer abgeleiteten Identität mit einem Smartphone zu sichern, um es dem Benutzer zu ermöglichen, sich auf sichere Weise gegenüber einem Online-Dienst zu identifizieren. Dazu beschreiben wir ein Schema zur Ableitung der Identität eines Benutzers mithilfe eines Account Servicing Payment Service Provider (ASPSP) unter Verwendung der Payment Service Directive 2 (PSD2) der Europäischen Union. PSD2 erfordert eine Schnittstelle für Dritte, die von ASPSPs implementiert werden muss. Diese Schnittstelle wird genutzt, um auf die beim ASPSP gespeicherten Kontoinformationen zuzugreifen und daraus die Identität des Kontoinhabers abzuleiten. Zur Sicherung der abgeleiteten Identität ist der Einsatz von FIDO (Fast Identity Online) vorgesehen. Wir bewerten unseren Vorschlag anhand der Richtlinien von eIDAS LoA (Level of Assurance) und zeigen, dass für die meisten Bereiche das Vertrauensniveau substantiell erreicht werden kann. Um diesem Level vollständig gerecht zu werden, ist zusätzlicher Arbeitsaufwand erforderlich: Zunächst ist es erforderlich, Extended Validation-Zertifikate für alle Institutionen zu verwenden. Zweitens muss der ASPSP sichere TAN-Methoden verwenden. Schließlich kann der Widerruf einer abgeleiteten Identität nicht erfolgen, wenn der Benutzer keinen Zugriff auf sein Smartphone hat, das mit der abgeleiteten ID verknüpft ist. Daher ist ein anderes Widerrufsverfahren erforderlich (z. B. eine Support-Hotline).

    @inproceedings{traeder2018aID,
    author = {Tr{\"a}der, Daniel AND Zeier, Alexander AND Heinemann, Andreas},
    title = {{Auf dem Weg zu sicheren abgeleiteten Identitäten mit Payment Service Directive 2}},
    booktitle = {SICHERHEIT 2018},
    year = {2018},
    editor = {Langweg, Hanno AND Meier, Michael AND Witt, Bernhard C. AND Reinhardt, Delphine} ,
    pages = { 183-196 },
    publisher = {Gesellschaft für Informatik e.V.},
    address = {Bonn},
    abstract = {Online-Dienste erfordern eine eindeutige Identifizierung der Benutzer und somit eine sichere Authentisierung. Insbesondere eGovernment-Dienste innerhalb der EU erfordern eine starke Absicherung der Benutzeridentität. Auch die mobile Nutzung solcher Dienste wird bevorzugt. Das Smartphone kann hier als einer der Faktoren für eine Zwei-Faktor-Authentifizierung dienen, um eine höhere Sicherheit zu erreichen. Diese Arbeit schlägt vor, den Zugang und die Nutzung einer abgeleiteten Identität mit einem Smartphone zu sichern, um es dem Benutzer zu ermöglichen, sich auf sichere Weise gegenüber einem Online-Dienst zu identifizieren. Dazu beschreiben wir ein Schema zur Ableitung der Identität eines Benutzers mithilfe eines Account Servicing Payment Service Provider (ASPSP) unter Verwendung der Payment Service Directive 2 (PSD2) der Europäischen Union. PSD2 erfordert eine Schnittstelle für Dritte, die von ASPSPs implementiert werden muss. Diese Schnittstelle wird genutzt, um auf die beim ASPSP gespeicherten Kontoinformationen zuzugreifen und daraus die Identität des Kontoinhabers abzuleiten. Zur Sicherung der abgeleiteten Identität ist der Einsatz von FIDO (Fast Identity Online) vorgesehen. Wir bewerten unseren Vorschlag anhand der Richtlinien von eIDAS LoA (Level of Assurance) und zeigen, dass für die meisten Bereiche das Vertrauensniveau substantiell erreicht werden kann. Um diesem Level vollständig gerecht zu werden, ist zusätzlicher Arbeitsaufwand erforderlich: Zunächst ist es erforderlich, Extended Validation-Zertifikate für alle Institutionen zu verwenden. Zweitens muss der ASPSP sichere TAN-Methoden verwenden. Schließlich kann der Widerruf einer abgeleiteten Identität nicht erfolgen, wenn der Benutzer keinen Zugriff auf sein Smartphone hat, das mit der abgeleiteten ID verknüpft ist. Daher ist ein anderes Widerrufsverfahren erforderlich (z. B. eine Support-Hotline).}
    }

2017

  • D. Träder, A. Zeier, and A. Heinemann, “Design and implementation aspects of mobile derived identities,” Arxiv preprint arxiv:1707.06505, 2017.
    [BibTeX] [Abstract] [Download PDF]

    With the ongoing digitalisation of our everyday tasks, more and more eGovernment services make it possible for citizens to take care of their administrative obligations online. This type of services requires a certain assurance level for user authentication. To meet these requirements, a digital identity issued to the citizen is essential. Nowadays, due to the widespread use of smartphones, mobile user authentication is often favoured. This naturally supports two-factor authentication schemes (2FA). We use the term mobile derived identity to stress two aspects: a) the identity is enabled for mobile usage and b) the identity is somehow derived from a physical or digital proof of identity. This work reviews 21 systems that support mobile derived identities. One subset of the considered systems is already in place (public or private sector in Europe), another subset is subject to research. Our goal is to identify prevalent design and implementation aspects for these systems in order to gain a better understanding on best practises and common views on mobile derived identities. We found, that research prefers storing identity data on the mobile device itself whereas real world systems usually rely on cloud storage. 2FA is common in both worlds, however biometrics as second factor is the exception.

    @article{trader2017design,
    Abstract = {With the ongoing digitalisation of our everyday tasks, more and more eGovernment services make it possible for citizens to take care of their administrative obligations online. This type of services requires a certain assurance level for user authentication. To meet these requirements, a digital identity issued to the citizen is essential. Nowadays, due to the widespread use of smartphones, mobile user authentication is often favoured. This naturally supports two-factor authentication schemes (2FA). We use the term mobile derived identity to stress two aspects: a) the identity is enabled for mobile usage and b) the identity is somehow derived from a physical or digital proof of identity. This work reviews 21 systems that support mobile derived identities. One subset of the considered systems is already in place (public or private sector in Europe), another subset is subject to research. Our goal is to identify prevalent design and implementation aspects for these systems in order to gain a better understanding on best practises and common views on mobile derived identities. We found, that research prefers storing identity data on the mobile device itself whereas real world systems usually rely on cloud storage. 2FA is common in both worlds, however biometrics as second factor is the exception.},
    Author = {Tr{\"a}der, Daniel and Zeier, Alexander and Heinemann, Andreas},
    Journal = {arXiv preprint arXiv:1707.06505},
    Title = {Design and Implementation Aspects of Mobile Derived Identities},
    Year = {2017}}

  • D. Träder, A. Zeier, and A. Heinemann, “Design and Implementation Aspects of Mobile Derived Identities,” in Open identity summit, 2017.
    [BibTeX] [Abstract] [Download PDF]

    With the ongoing digitalisation of our everyday tasks, more and more eGovernment services make it possible for citizens to take care of their administrative obligations online. This type of services requires a certain assurance level for user authentication. To met these requirements, a digital identity issued to the citizen is essential. Nowadays, due to the widespread of smartphones, often mobile user authentication is favoured. This naturally supports for two-factor authentication schemes (2FA). We use the term mobile derived identity to stress two aspects: a) the identity is enabled for mobile usage and b) the identity is somehow derived from a physical or digital proof of identity. This work reviews 21 systems that support mobile derived identities. One subset of the considered systems are already in place (public or private sector in Europe), another subset belongs to research. We found that research prefers the storage of identity data on the mobile device itself whereas real world systems rely on cloud storage. 2FA is common in both worlds, however biometrics as second factor is rather the exception.

    @inproceedings{traeder_aspects_2017,
    Abstract = {With the ongoing digitalisation of our everyday tasks, more and more eGovernment services make it possible for citizens to take care of their administrative obligations online. This type of services requires a certain assurance level for user authentication. To met these requirements, a digital identity issued to the citizen is essential. Nowadays, due to the widespread of smartphones, often mobile user authentication is favoured. This naturally supports for two-factor authentication schemes (2FA). We use the term mobile derived identity to stress two aspects: a) the identity is enabled for mobile usage and b) the identity is somehow derived from a physical or digital proof of identity. This work reviews 21 systems that support mobile derived identities. One subset of the considered systems are already in place (public or private sector in Europe), another subset belongs to research. We found that research prefers the storage of identity data on the mobile device itself whereas real world systems rely on cloud storage. 2FA is common in both worlds, however biometrics as second factor is rather the exception.},
    Author = {Tr{\"a}der, Daniel and Zeier, Alexander and Heinemann, Andreas},
    Booktitle = {Open Identity Summit},
    Title = {{Design and Implementation Aspects of Mobile Derived Identities}},
    Year = {2017}}

  • D. Träder, A. Zeier, and A. Heinemann, “Design- und Implementierungsaspekte mobiler abgeleiteter IDs,” in D-A-CH Security 2017 Tagungsband, 2017, pp. 70-80.
    [BibTeX] [Abstract] [Download PDF]

    Durch die immer weiter voranschreitende Digitalisierung können mehr und mehr unserer alltäglichen Aufgaben online erledigt werden. Dies schließt auch eGovernment-Dienste ein, welche definierte Anforderungen an die Sicherheit stellen. Um diese Anforderungen zu erfüllen, müssen digitale Identitäten an die Bürger ausgestellt werden. Zusätzlich ist eine 2-Faktor-Authentifizierung (2FA) essentiell, um ein ausreichendes Vertrauensniveau zu erreichen. Durch die hohe Verbreitung von Smartphones wird die mobile Nutzung von Online-Diensten immer beliebter. Diese unterstützen die 2FA auf natürliche Weise. Der Begriff mobile abgeleitete Identität bezeichnet eine Identität, die a) auf einem mobilen Gerät verwendet werden kann und b) von einem physikalischen oder digitalen Identitätsnachweis abgeleitet wurde. Diese Arbeit untersucht 21 Systeme, welche mobile abgeleitete Identitäten zur Authentifizierung der Nutzer verwendet. Dabei werden sowohl Systeme betrachtet, die sich bereits im Einsatz befinden (im öffentlichen sowie privaten Sektor) als auch wissenschaftliche Arbeiten. Dabei konnten wir erkennen, dass die bereits genutzten Systeme in der Regel eine Speicherung der Identitäten in der Cloud bevorzugen, während die Forschung eine lokale Speicherung bevorzugt. 2FA wird von beiden gleichermaßen unterstützt, wobei biometrische Verfahren die Ausnahme sind.

    @inproceedings{traeder_maID_2017,
    Abstract = {Durch die immer weiter voranschreitende Digitalisierung k{\"o}nnen mehr und mehr unserer allt{\"a}glichen Aufgaben online erledigt werden. Dies schlie{\ss}t auch eGovernment-Dienste ein, welche definierte Anforderungen an die Sicherheit stellen. Um diese Anforderungen zu erf{\"u}llen, m{\"u}ssen digitale Identit{\"a}ten an die B{\"u}rger ausgestellt werden. Zus{\"a}tzlich ist eine 2-Faktor-Authentifizierung (2FA) essentiell, um ein ausreichendes Vertrauensniveau zu erreichen.
    Durch die hohe Verbreitung von Smartphones wird die mobile Nutzung von Online-Diensten immer beliebter. Diese unterst{\"u}tzen die 2FA auf nat{\"u}rliche Weise.
    Der Begriff mobile abgeleitete Identit{\"a}t bezeichnet eine Identit{\"a}t, die a) auf einem mobilen Ger{\"a}t verwendet werden kann und b) von einem physikalischen oder digitalen Identit{\"a}tsnachweis abgeleitet wurde.
    Diese Arbeit untersucht 21 Systeme, welche mobile abgeleitete Identit{\"a}ten zur Authentifizierung der Nutzer verwendet. Dabei werden sowohl Systeme betrachtet, die sich bereits im Einsatz befinden (im {\"o}ffentlichen sowie privaten Sektor) als auch wissenschaftliche Arbeiten.
    Dabei konnten wir erkennen, dass die bereits genutzten Systeme in der Regel eine Speicherung der Identit{\"a}ten in der Cloud bevorzugen, w{\"a}hrend die Forschung eine lokale Speicherung bevorzugt. 2FA wird von beiden gleicherma{\ss}en unterst{\"u}tzt, wobei biometrische Verfahren die Ausnahme sind.},
    Author = {Tr{\"a}der, Daniel and Zeier, Alexander and Heinemann, Andreas},
    Booktitle = {D-{A}-{CH} {Security} 2017 {Tagungsband}},
    Editor = {Schartner, Peter},
    Pages = {70--80},
    Publisher = {syssec},
    Title = {Design- und {Implementierungsaspekte} mobiler abgeleiteter {IDs}},
    Year = {2017}}

2016

  • A. Zeier and A. Heinemann, “AnonDrop — Räumlich begrenzte anonyme Informationsverbreitung,” in D-A-CH Security 2016 Tagungsband, 2016, pp. 241-252.
    [BibTeX] [Abstract] [Download PDF]

    Opportunistische Netze bieten ein alternatives Kommunikationssystem in Situationen, in denen ein repressiver Staat die klassische Internetkommunikation filtert oder ganz unterbindet. AnonDrop erlaubt hier eine räumlich begrenzte Kommunikation, die mittels dynamischer Netzadressen (MAC und IP) und weiterer Schutzmaßnahmen Angriffen auf die Identifizierung von Knoten überwiegend standhält. Auf Basis von Android Smartphones wurde ein Prototyp realisiert, der bei ersten Last- und Mobilitätstests zufriedenstellende Ergebnisse zeigt.

    @inproceedings{zeier_anondrop_2016,
    Abstract = {Opportunistische Netze bieten ein alternatives Kommunikationssystem in Situationen, in denen ein repressiver Staat die klassische Internetkommunikation filtert oder ganz unterbindet. AnonDrop erlaubt hier eine r{\"a}umlich begrenzte Kommunikation, die mittels dynamischer Netzadressen (MAC und IP) und weiterer Schutzma{\ss}nahmen Angriffen auf die Identifizierung von Knoten {\"u}berwiegend standh{\"a}lt. Auf Basis von Android Smartphones wurde ein Prototyp realisiert, der bei ersten Last- und Mobilit{\"a}tstests zufriedenstellende Ergebnisse zeigt.},
    Author = {Zeier, Alexander and Heinemann, Andreas},
    Booktitle = {D-{A}-{CH} {Security} 2016 {Tagungsband}},
    Editor = {Schartner, Peter},
    Pages = {241--252},
    Publisher = {syssec},
    Title = {{AnonDrop} -- {R{\"a}umlich} begrenzte anonyme {Informationsverbreitung}},
    Year = {2016}}