Veranstaltung: Message-Level Security

Nummer:
141252
Lehrform:
Vorlesung
Medienform:
Moodle, rechnerbasierte Präsentation
Verantwortlicher:
Prof. Dr. Jörg Schwenk
Dozent:
Dr.-Ing. Christian Mainka (ETIT)
Sprache:
Deutsch
SWS:
4
LP:
5
Angeboten im:
Wintersemester

Termine im Wintersemester

  • Beginn: Freitag den 12.10.2018
  • Vorlesung Freitags: ab 09:15 bis 10.45 Uhr im ID 03/411
  • Übung Freitags: ab 11:15 bis 12.45 Uhr im ID 03/411

Ziele

Die Studierenden haben ein Verstädnis über den Nutzen, die Verwendendung und damit verbundenen Probleme von Nachrichtensicherheit.

Inhalt

Die Vorlesung behandelt das behandelt das Thema Message-Level Security. Anders als bei SSL/TLS, welches einen sicheren Transportkanal zur Verfügung stellt, geht es bei Message-Level Security darum, Nachrichten - wie beispielsweise HTTP Requests - direkt zu schützen. Hierbei kommt es auf die korrekte Verwendung von kryptographischen Verfahren als auch eine sichere Bereitstellung von API-Schnittstellen an.

Im Rahmen der Vorlesung werden verschiedene Verfahren von Message-Level Security beleuchtet.

Die Vorlesung beleuchtet dabei verschiedene Verfahren von Message-Level Security

  • OAuth ist eine sehr weit verbreitete Web Schnittstelle zum delegieren von Berechtigungen und wird heutzutage von allen großen Webseiten wie Facebook, Google, Twitter, Github, uvm. angeboten. Die Vorlesung erklärt tief-gehende Details und gängige Fehler/Angriffe, die bei der Verwendung von OAuth entstehen können.
  • OpenID Connect ist eine Erweiterung für OAuth, um Benutzer auf Webseiten mithilfe eines Drittanbietes etinzuloggen (Single Sign-On, z.B. Google Login). OpenID Connect hat sich in den letzten Jahren zum defacto Standard für Web-Logins über Drittanbieter etabliert. In der Vorlesung wird detailliert erklärt, was die Unterschiede zu OAuth sind und welche Angriffe auf OpenID Connect möglich sind.
  • SAML steht für Security Assertion Markup Language und ist ein Single Sign-On Standard, der weitere Verbreitung in Business-Szenerien findet. Allerdings existieren unzählige Angriffe von Identitätsdiebstahl bis hin zu Remote Code Execution.

Den Studenten wird ein tief-gehendes Verständnis der Systeme vermittelt. Zu allen untersuchten Systemen werden Angriffe vorgestellt, die sowohl aus der akademischen Welt als auch aus der pentesting Community stammen. Die Übungen bieten die Möglichkeit, das erlernte Wissen praktisch auszuprobieren. Hierzu erhalten die Studenten eine virtuelle Maschine.

Empfohlene Vorkenntnisse

  • Grundkenntnisse HTTP, HTML und Kryptographie