Logo des Repositoriums

P345 - Sicherheit 2024 - Sicherheit, Schutz und Zuverlässigkeit

Autor*innen mit den meisten Dokumenten  

Auflistung nach:

Neueste Veröffentlichungen

1 - 10 von 25
  • Konferenzbeitrag
    An overview of symmetric fuzzy PAKE protocols
    (Sicherheit 2024, 2024) Ottenhues, Johannes
    Fuzzy password authenticated key exchange (fuzzy PAKE) protocols enable two parties to securely exchange a session-key for further communication. The parties only need to share a low entropy password. The passwords do not even need to be identical, but can contain some errors. This may be due to typos, or because the passwords were created from noisy biometric readings. In this paper we provide an overview and comparison of existing fuzzy PAKE protocols. Furthermore, we analyze certain security properties of these protocols and argue that the protocols can be expected to be slightly more secure in practice than can be inferred from their theoretical guarantees.
  • Konferenzbeitrag
    Sicherheit in der Digitalisierung des Alltags: Definition eines ethnografisch-informatischen Forschungsfeldes für die Lösung alltäglicher Sicherheitsprobleme
    (Sicherheit 2024, 2024) Eckhardt, Dennis; Freiling, Felix; Herrmann, Dominik; Katzenbeisser, Stefan; Pöhls, C. Henrich
    In den vergangenen Jahrzehnten hat es unübersehbar zahlreiche Fortschritte im Bereich der IT-Sicherheitsforschung gegeben, etwa in den Bereichen Systemsicherheit und Kryptographie. Es ist jedoch genauso unübersehbar, dass IT-Sicherheitsprobleme im Alltag der Menschen fortbestehen. Mutmaßlich liegt dies an der Komplexität von Alltagssituationen, in denen Sicherheitsmechanismen und Gerätefunktionalität sowie deren Heterogenität in schwer antizipierbarer Weise mit menschlichem Verständnis und Alltagsgebrauch interagieren. Um die wissenschaftliche Forschung besser auf Menschen und deren IT-Sicherheitsbedürfnisse auszurichten, müssen wir daher den Alltag der Menschen besser verstehen. Das Verständnis von Alltag ist in der Informatik jedoch noch unterentwickelt. Dieser Beitrag möchte das Forschungsfeld „Sicherheit in der Digitalisierung des Alltags“ definieren, um Forschenden die Gelegenheit zu geben, ihre Anstrengungen in diesem Bereich zu bündeln. Wir machen dabei Vorschläge einerseits zur inhaltlichen Eingrenzung der informatischen Forschung. Andererseits möchten wir durch die Einbeziehung von Forschungsmethoden aus der Ethnografie, die Erkenntnisse aus der durchaus subjektiven Beobachtung des „Alltags“ vieler einzelner Individuen zieht, zur methodischen Weiterentwicklung interdisziplinärer Forschung in diesem Feld beitragen. Die IT-Sicherheitsforschung kann dann Bestehendes gezielt für eine richtige Alltagstauglichkeit optimieren und neue grundlegende Sicherheitsfunktionalitäten für die konkreten Herausforderungen im Alltag entwickeln.
  • Konferenzbeitrag
    KIM: Kaos In der Medizin
    (Sicherheit 2024, 2024) Saatjohann, Christoph; Ising, Fabian; Schinzel, Sebastian
    Die sichere E-Mail-Infrastruktur für Ärzt*innen, Apotheker*innen, Krankenversicherungen und Kliniken in Deutschland, KIM - Kommunikation im Gesundheitswesen - ist mit über 200 Millionen E-Mails in den vergangenen zwei Jahren eine der am meisten genutzten Anwendungen in der Telematikinfrastruktur. Mit dem Ausgeben von S/MIME-Zertifikaten für alle medizinische Beteiligten in Deutschland verspricht KIM sichere Ende-zu-Ende-Verschlüsselung von E-Mails zwischen Heilberufler*innen in ganz Deutschland. In diesem Paper analysieren wir die KIM-Spezifikation sowie eine beispielhafte KIM-Installation in einer deutschen Zahnarztpraxis. Wir zeigen, dass KIM kryptografisch ein sehr hohes Sicherheitslevel erfüllt, doch in der Verarbeitung der E-Mails bei den Clients eine schwerwiegende Sicherheitslücke besteht. Weiterhin zeigen wir zwei Sicherheitslücken in dem KIM-Verarbeitungsmodul eines großen deutschen Unternehmens für medizinische Software. Diese Defizite zeigen außerdem Mängel in dem verpflichtenden Zulassungsprozess der KIM-Komponenten auf.
  • Konferenzbeitrag
    Self-Tracking & Running a Marathon: Is your Privacy in Danger?
    (Sicherheit 2024, 2024) Gordejeva, Jelizaveta; Mayer, Andreas; Pobiruchin, Monika
    Running has become one of the most popular workout activities in the past years. Runners track themselves during training and big events like marathons races with dedicated wearable devices or smartphones. We analyzed freely accessible and supposedly anonymous respectively pseudonymous tracking data of three marathon events. Tracking data were collected by a single live GPS tracking provider, here Racemap. All data were publicly available. Thereby, we found out that it is possible to link these data sources with other public online resources to re-identify a person and to gather further sensible personal information (e.g., private or working addresses). Furthermore, we propose measures that participants, providers and organizers could carry out in order to ensure data privacy.
  • Konferenzbeitrag
    Cryptanalysis of the Record Linkage Protocol used by German Cancer Registries
    (Sicherheit 2024, 2024) Heng, Youzhe; Schnell, Rainer; Armknecht, Frederik
    For linking sensitive or medical data in Germany, the widely accepted protocol of the German cancer registries (GCRs) is often used as a baseline model for privacy-preserving record linkage (PPRL). Despite its popularity, no cryptographic analysis of the GCR protocol has been published so far. Given the recent advances in the cryptanalysis of PPRL methods and the resulting increase in privacy demands of PPRL protocols, an evaluation of the GCR protocol is needed. Using the same assumptions as recent attacks on modern PPRL methods, we show that the current GCR protocol cannot protect against attacks. Using a public available database, up to 90% of the encoded records can be correctly re-identified. Therefore, the GCR protocol should no more be used as a blueprint for future registers.
  • Konferenzbeitrag
    Tracking or being tracked: How much do self-trackers care about their data’s privacy?
    (Sicherheit 2024, 2024) Floris, Alice; Astfalk, Stefanie; Sellung, Rachelle; Roßnagel, Heiko
    The advancement of tracking technology has given people new ways to understand and rediscover themselves. These technologies provide new and unique challenges to individual privacy, particularly when privacy breaches become less apparent, and users are not adequately aware of privacy regulations and risks. Nonetheless, research on privacy concerns with self-tracking data remains inconclusive and poorly understood. Moreover, the fundamental concept of data self determination — the cornerstone of information privacy — is under attack as users fail to take the necessary precautions to protect themselves. The current study used a quantitative method to examine the overall profile of self-trackers as well as their attitudes, preferences, concerns, and hurdles to (better) privacy protection. Self-trackers, according to the findings, seek control over both their bodies (i.e., self-optimization) and their data. Additionally, people just expect to have full control over their data and are disinterested in enforcing it or devoting effort to it. This suggests that, while privacy is still associated with control, users' actions and decisions make them more susceptible to loss of data control. We contend that these findings are consistent with the privacy paradox as well as the failure of privacy self-management, as defined by [So13].
  • Konferenzbeitrag
    A Study of Deanonymization Attacks of Onion Services
    (Sicherheit 2024, 2024) Tippe, Pascal
    Tor is an overlay anonymization network that provides anonymity for clients surfing the web but also allows hosting anonymous services called onion services. These enable whistleblowers and political activists to express their opinion and resist censorship. Administrating an onion service is not trivial and requires extensive knowledge because Tor uses a comprehensive protocol and relies on volunteers. Meanwhile, attackers can spend significant resources to decloak onion services. So far, research is rather focused on improving the Tor protocol than on measures that onion service operators can take individually. This paper analyzes related academic work and evaluates publicly available court documents from 22 criminal cases to determine risks for onion services. The rationale to use court documents is that real-world attacker strategies provide a better threat model for onion service operators. We find that investigative methods used in the court documents deviate from the academic deanonymization attacks.
  • Konferenzbeitrag
    5G UnCovert: Hiding Information in 5G New Radio
    (Sicherheit 2024, 2024) Walter, Markus; Keller, Jörg
    Mobile communication has become an indispensable part of our daily lives and the requirements are constantly increasing. 5G, the fifth generation of mobile networks, introduced an enhanced radio access technology, called 5G New Radio, to meet the requirements of several new use cases. We analyze the protocol stack of the 5G air interface to assess its suitability for information hiding. Network covert channels hide the very existence of a data transmission within an overt network communication in a way that is not intended for transferring data. The proposed hiding method exploits reserved bits in the header of the Packet Data Convergence Protocol (PDCP) to create a novel covert channel in 5G New Radio. The covert parties are located in the 5G base station and in the mobile device. Our implementation of the covert channel demonstrates that it is possible to achieve a high covert capacity for broadband transmissions. However, we also show that detection and elimination of the covert channel is relatively simple if a network analyzer is used. Therefore, the feasability of the proposed hiding method depends on the particular application scenario.
  • Konferenzbeitrag
    Chancen zur Effizienzsteigerung bei der Umsetzung einer Regulatorik-konformen Zugriffskontrolle
    (Sicherheit 2024, 2024) Heinemann, Markus; Mayerl, Christian
    Die regulatorischen Vorgaben zum Schutz von Informationen und somit zur Kontrolle des Zugriffs auf diese Informationen steigen stetig an. Die Umsetzung dieser regulatorischen Vor gaben ist zum einen herausfordernd, bietet zum anderen aber auch Chancen, Effizienzsteigerungen in der Ablauforganisation oder durch technische Automatisierungen zu realisieren. Aus der Praxiserfahrung eines Projekts zum Berechtigungsmanagement bei einer Bank sind diese Herausforderungen sowie Chancen zur Effizienzsteigerung mit den korrespondierenden Lösungsansätzen an konkreten Beispielen skizziert. Beispielhaft wurden das gemeinsame Zielbild zum Berechtigungsmanagement, etablierte Rolle-Rechte-Strukturen sowie realisierte effizienzsteigernde Maßnahmen für den vorliegenden Bericht ausgewählt. Abschließend wird auf die wesentlichen Aspekte bei der Übergabe der Projektergebnisse in den Regelbetrieb eingegangen.
  • Konferenzbeitrag
    Attribution von verdeckten (Informations-)Kanälen im Bereich kritischer Infrastrukturen und Potentiale für Prävention und Reaktion (ATTRIBUT)
    (Sicherheit 2024, 2024) Dittmann, Jana; Krätzer, Christian; Kiltz, Stefan; Altschaffel, Robert; Vielhauer, Claus; Wendzel, Steffen; Wefel, Sandro; Nitsch, Holger
    Dieser Beitrag beschreibt Motivation, Perspektiven und Möglichkeiten der Attribution bei StegoMalware im Projekt ATTRIBUT - Attribution von verdeckten (Informations-)Kanälen im Bereich kritischer Infrastrukturen und Potentiale für Prävention und Reaktion. Das Projekt ist durch die Agentur für Innovation in der Cybersicherheit GmbH: Forschung zu “Existenzbedrohenden Risiken aus dem Cyber- und Informationsraum – Hochsicherheit in sicherheitskritischen und verteidigungsrelevanten Szenarien” (HSK) – https://www.cyberagentur.de/tag/hsk/, siehe auch in https://attribut. cs.uni-magdeburg.de/ beauftragt.