Veranstaltung: Message-Level Security

Nummer:
141252
Lehrform:
Vorlesung und Übungen
Medienform:
Moodle, rechnerbasierte Präsentation
Verantwortlicher:
Prof. Dr. Jörg Schwenk
Dozenten:
Dr.-Ing. Christian Mainka (ETIT), Dr.-Ing. Vladislav Mladenov (ETIT)
Sprache:
Deutsch
SWS:
4
LP:
5
Angeboten im:
Wintersemester

Termine im Wintersemester

  • Beginn: Freitag den 12.10.2018
  • Vorlesung Freitags: ab 09:15 bis 10.45 Uhr im ID 03/411
  • Übung Freitags: ab 11:15 bis 12.45 Uhr im ID 03/411

Prüfung

Prüfungsform:schriftlich
Prüfungsanmeldung:FlexNow
Datum:18.02.2019
Beginn:08:30
Dauer:120min
Räume: ID 04/459,  ID 04/471
Die Hörsaalaufteilung wird vom Lehrstuhl bekannt gegeben.

Ziele

Die Studierenden haben ein Verstädnis über den Nutzen, die Verwendung und damit verbundenen Probleme von Nachrichtensicherheit.

Inhalt

Die Vorlesung behandelt das Thema Message-Level Security. Anders als bei SSL/TLS, welches einen sicheren Transportkanal aufbaut, geht es bei Message-Level Security darum, Nachrichten - wie beispielsweise HTTP Requests – auf Nachrichtenebene zu schützen. Hierbei kommt es auf die korrekte Verwendung von kryptographischen Verfahren als auch eine sichere Bereitstellung von API-Schnittstellen an.

Im Rahmen der Vorlesung werden verschiedene Verfahren von Message-Level Security beleuchtet.

Die Vorlesung behandelt dabei verschiedene Verfahren von Message-Level Security:

  • JSON ist eine universelle Datenbeschreibungssprache, die unter anderem von jedem modernen Browser unterstützt wird. Mithilfe von JSON-Signature und JSON-Encryption JSON Nachrichten direkt geschützt werden. Doch reicht das aus oder können diese Sicherheitsmechanismen umgangen werden?
  • OAuth ist eine sehr weit verbreitete Technologie zum Delegieren von Berechtigungen und wird heutzutage von allen großen Webseiten wie Facebook, Google, Twitter, Github, uvm. eingesetzt. Die Vorlesung erklärt tief-gehende Details und gängige Fehler/Angriffe, die bei der Verwendung von OAuth entstehen können.
  • OpenID Connect ist eine Erweiterung für OAuth, um Benutzer auf Webseiten mithilfe eines Drittanbietes zu authentifizieren (Single Sign-On, z.B. Google Login). OpenID Connect hat sich in den letzten Jahren zum defacto Standard für Web-Logins über Drittanbieter etabliert. In der Vorlesung wird detailliert erklärt, was die Unterschiede zu OAuth sind und welche Angriffe auf OpenID Connect möglich sind.
  • SAML steht für Security Assertion Markup Language und ist ein Single Sign-On Standard, der weitere Verbreitung in Business-Szenerien findet. Allerdings existieren zahlreiche Angriffe von Identitätsdiebstahl bis hin zu Remote Code Execution.
  • PDF ist das vermutlich am weitesten verbreitetste universelle Dokumentenaustauschformat. In der Vorlesung werden die Sicherheitseigenschaften von PDFs beleuchtet. Insbesondere werden hierbei digitale Signaturen untersucht, welche z.B. bei Verträgen zum Einsatz kommen. Wird es uns gelingen, signierte Dokumente zu fälschen?

Den Studenten wird ein tief-gehendes Verständnis der Systeme vermittelt. Zu allen untersuchten Systemen werden Angriffe vorgestellt, die sowohl aus der akademischen Welt als auch aus der Pentesting-Community stammen. Die Übungen bieten die Möglichkeit, das erlernte Wissen praktisch auszuprobieren. Hierzu erhalten die Studenten eine virtuelle Maschine.

Empfohlene Vorkenntnisse

  • Grundkenntnisse HTTP, HTML und Kryptographie