P128 - Sicherheit 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI)
Autor*innen mit den meisten Dokumenten
Auflistung nach:
Neueste Veröffentlichungen
- KonferenzbeitragVariants of Bleichenbacher’s Low-Exponent Attack on PKCS#1 RSA Signatures(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Kühn, Ulrich; Pyshkin, Andrei; Tews, Erik; Weinmann, Ralf-PhilippWe give three variants and improvements of Bleichenbacher’s low-exponent attack from CRYPTO 2006 on PKCS#1 v1.5 RSA signatures. For each of these three variants the fake signature representatives are accepted as valid by a flawed implementation. Our attacks work against much shorter keys as Bleichenbacher’s original attack, i.e. even for usual 1024 bit RSA keys. The first two variants can be used to break a certificate chain for vulnerable im- plementations, if the CA uses a public exponent of 3. Such CA certificates are indeed deployed in many browsers like Mozilla, Opera and Konqueror. The third attack works against the Netscape Security Services only, and requires the public exponent 3 to be present in a site’s certificate, not the CA certificate. Using any of these attack vectors, an active adversary can mount a full man-in-the- middle attack on any SSL connection initiated by a vulnerable client.
- KonferenzbeitragOn an Approach to Compute (at least Almost) Exact Probabilities for Differential Hash Collision Paths(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Gebhardt, Max; Illies, Georg; Schindler, WernerThis paper presents a new, generally applicable method to compute the probability of given differential (near-)collision paths in Merkle-Damgard-type hash functions. The path probability determines the expected workload to generate a collision (and thus the true risk potential of a particular attack). In particular, if the expected workload appears to be in a borderline region between practical feasibility and non- feasibility (as for SHA-1 collisions, for instance) it is desirable to know these proba- bilities as exact as possible. For MD5 we verified the accuracy of our approach experimentally. Our results underline both that the number of bit conditions only provides a rough estimate for the true path probability and the impact of the IV. An expanded version of this paper can be found online [GIS4].
- KonferenzbeitragUsing the Concept of Topic Maps for Enhancing Information Privacy in Social Networking Applications(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Weiss, StefanThe growth of online social networking applications (SNA) and the economic potential that might be generated by their underlining business models is getting broad attention recently. Public discussions about the information privacy for SNA users have been revived as a result of some privacy-invasive activities taking place such as identity theft, stalking, discrimination, distortion of facts, embarrassment, and many others. One of the problems why these threats to information privacy are not merely theoretical in nature is the apparent loss of control over the personal information provided and the lack of transparency over its usage on the Internet. This paper suggests a privacy-enhancing technology (PET) that adapts the semantic technique concept of a topic map for the use with SNAs. Topic maps in such a setting would provide the user with more transparency over the status of his information privacy when using SNAs and would provide means to exercise choices on particular data sets. The paper explains how a topic map concept would be adapted as PET, which privacy principles it would cover, and how it would generally solve some of the issues of information privacy in online social networks.
- KonferenzbeitragANOCAST: Rethinking Broadcast Anonymity in the Case of Wireless Communication(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Adelsbach, André; Greveler, Ulrich; Groß, Stephan; Steinbrecher, SandraIn this work we present the ANOCAST environment being an anonymous communication framework based on wireless technology having reached prototype status. By exploiting the availability of current broadcast communication systems (e. g. digital satellites and Wi-Fi) we achieve recipient anonymity and unobservability. We examine our approach by a simulation approach using a prototype implementation, raising several questions concerning its scalability, efficiency and possible application scenarios as well as a discussion on its security accomplishments.The key finding of our work shows that practicability of anonymous communication for the masses can be realised today and the community should rethink the common consensus that enormous traffic overhead jeopardises any practical anonymous communication system.
- KonferenzbeitragUsing ISO/IEC 24727 for mobile devices(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Eichholz, Jan; Hühnlein, Detlef; Bach, ManuelThe forthcoming ISO/IEC 24727 series of standards [ISO24727] defines architectures and application programming interfaces for electronic identity cards (eID). As there are already many initiatives around the globe (e.g. in the USA, Australia and Europe) which are about to use this standard in major eID- projects, it may be expected, that this standard will provide a major contribution for global eID interoperability and will become widely adopted in near future. On the other hand there is an ever increasing trend for mobility and the ubiquitous use of portable devices as well as first national eID-projects, which support mobile devices. Therefore it is natural to investigate how ISO/IEC 24727 may be used with mobile devices. The present contribution provides a brief overview of this standard and discusses different options for using this standard in a mobile environment.
- KonferenzbeitragDetektion von anonym abgerufenen rechtswidrigen Inhalten mit einem hashwertbasierten Datenscanner(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Federrath, Hannes; Pöppl, WolfgangBenutzer von Anonymisierungsdiensten können strafrechtlich relevante Inhalte abrufen, ohne dass nachvollziehbar ist, wer die Inhalte heruntergeladen hat. Als Abrufer kann letztendlich immer nur der Anonymisierer ermittelt werden. Nachforschungen der Strafermittlungsbehörden laufen ins Leere und verursachen nur Arbeitsaufwand auf beiden Seiten. Daher soll die Möglichkeit, Anonymisierungsdienste zum Abruf strafrechtlich relevanter Inhalte verwenden zu können, reduziert werden, ohne die Anonymität des Abrufers zu gefährden. Das Papier diskutiert Möglichkeiten zur Realisierung eines Datenscanners und stellt die konkrete Implementierung eines solche nvor (imFolgenden AnonHash genannt).Über den Anonymisierungsdienst sollen weiterhin alle Informationen und Inhalte aus dem Internet abrufbar bleiben, abgesehen von Inhalten, deren Abruf und Besitz zweifelsfrei eine Straftat nach dem deutschen Strafgesetzbuch darstellt.
- KonferenzbeitragVon Bogenschützen und digitalen Wasserzeichen(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Westfeld, AndreasWasserzeichensysteme werden unter anderem verwendet, um digitale Medien zu schützen. Entfernt man beispielsweise aus einem raubkopierten Film das Wasserzeichen, soll er unbrauchbar werden. Wie robust eine eigens entwickelte Technologie namens „Broken Arrows“ tatsächlich ist, testet das EU-Expertennetzwerk ECRYPT derzeit im weltweit ausgeschriebenen zweiten BOWS-Wettbewerb. Es wird ein allgemeines Angriffsprinzip vorgestellt, das zum Sieg verhalf.
- KonferenzbeitragQualifizierung integrierter Werkzeugumgebungen für die Erstellung sicherheitsrelevanter Software in Kernkraftwerken(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Miedl, Horst; Märtz, JosefIn Kernkraftwerken wird zunehmend analoge Leittechnik durch rechnerbasierte digitale Leittechniksysteme ersetzt. Um für rechnerbasierte digitale Leittechnik die erforderliche Betriebssicherheit bei akzeptablen Entwicklungs- und Qualifizierungskosten zu erreichen, werden verstärkt integrierte Werkzeugumgebungen eingesetzt. Die integrierten Werkzeugumgebungen sind zum Teil für die Entwicklung von Sicherheitstechnik qualifiziert und für nichtnukleare industrielle Anwendungen zertifiziert, deren Qualifikation für den nuklearen Einsatz ist jedoch noch nachzuweisen. Das Papier stellt ein Bewertungsschema vor, das eine tragfähige Qualitätsaussage zu verschiedenen integrierten Werkzeugumgebungen unter Berücksichtigung der Sicherheitskategorie der zu erstellenden anwendungsspezifischen digitalen Sicherheitsleittechnik erlaubt. Das Bewertungsschema zielt auf eine "Vorqualifizierung" integrierter Werkzeugumgebungen, weitgehend losgelöst von den damit zu realisierenden Sicherheitsfunktionen. Damit wird der Sicherheitsnachweis der Anwendungssoftware des Zielsystems unterstützt und entlastet. Ohne Vorqualifizierung müssten die für die Sicherheit des Zielsystems relevanten Dienste der integrierten Werkzeuge jeweils von Grund auf neu qualifiziert werden.
- KonferenzbeitragMoTrust-TCG: Manipulationsschutz für mobile Signaturanwendungen mittels „Trusted Computing“(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Alkassar, Ammar; Gnaida, Utz; Quirin, ThomasGängige Betriebssysteme sind nach wie vor anfällig gegen die verschiedensten Arten von Schadsoftware. Die punktuellen Verbesserungen der Systeme haben die inhärenten Schwächen nicht zu lösen vermocht, wie die regelmäßig veröffentlichten Sicherheitslücken zeigen. Andererseits erfordern bestimmte Anwendungen – beispielsweise solche mit rechtsverbindlichen Transaktionen – den garantierten Ausschluss böswilliger Manipulationen. Dieser Kurzbeitrag zeigt, wie mit Hilfe von Trusted Computing-Mechanismen im Zusammenspiel mit einem High-Assurance Sicherheitskern eine Plattform für vertrauenswürdige Anwendungen auf mobilen Systemen realisierbar ist. In der konkreten Anwendung wird dabei nicht nur eine Signaturanwendung in einer geschützten Umgebung ausgeführt. Zudem werden Informationen über die Integrität des signierenden Systems integriert, die später bei der Verifikation der Signatur eine verlässliche Aussage über die Vertrauenswürdigkeit der Signaturanwendung zum Zeitpunkt der Signaturerstellung möglich macht.