Vergangene Abschlusarbeiten

Abschlussarbeiten, die in Zusammenarbeit mit der Arbeitsgruppe entstanden sind und bereits abgeschlossen wurden geben Einblicke in die Forschung der Arbeitsgruppe und dienen als Orientierung für zukünftige Arbeiten.

Fourier Analysis of Arbiter Physical Unclonable Functions

Benjamin Zengin, 2017

Physical Unclonable Functions (PUFs) have emerged as a promising alternative to conventional mobile secure authentication devices. Instead of storing a cryptographic key in non-volatile memory, they provide a device specific challenge-response behavior uniquely determined by manufacturing variations. The Arbiter PUF has become a popular PUF representative due to its lightweight design and potentially large challenge space. Unfortunately, opposed to the PUFs definition, an Arbiter PUF can be cloned using machine learning attacks. Since PUFs can be described as Boolean functions, this thesis applies the concept of the Fourier expansion on Arbiter PUFs, focusing on the notion of influence. Based on this, statements about its Probably Approximately Correct learnability are deduced and discussed.

Masterthesis als PDF (English)

Analyse von Audio-Bypass-Bedrohungen auf Android-Smartphones und Konzeption von Abwehrmaßnahmen

Wolfgang Studier, 2017

Smartphones sind heutzutage ein alltäglicher Begleiter für die meisten Menschen im privaten als auch im beruflichen Umfeld. Dies sorgt dafür, dass Smartphones sich oft in unmittelbarer Nähe von Gesprächen befinden und damit zur Aufzeichnung von Gesprächen verwendet werden können, in denen eine große Vielfalt an Informationen mit verschiedenen Schutzbedürfnissen besprochen werden. In dieser Arbeit wird das Risiko für verschieden sensitive Informationen evaluiert, das von Audio-Bypass Angriffen auf Smartphones ausgeht.

Im Zuge der Analyse werden Audio-Bypass Bedrohungen basierend auf dem Baseband Subsystem sowie Android selbst behandelt. Hierzu werden die Systeme einzeln im Detail vorgestellt, um im späteren Verlauf die Bedrohung durch verschiedene Schwachstellen einschätzen zu können. Die anschließende Analyse der verschiedenen Angriffe, die zu einem Audio-Bypass führen könnten, wird mittels des Angriffspotentialmodells vorgenommen. Abschließend werden verschiedene Abwehrmaßnahmen gegen die möglichen Angriffe konzipiert und die aus den Angriffen entstehenden Risiken für verschieden sensitive Informationsklassen bewertet. Hierbei werden Empfehlungen zu Verhaltensweisen und zum Einsatz von Abwehrmaßnahmen, basierend auf dem Schutzbedürfnis der Informationen, ausgesprochen.

Masterthesis als PDF (Deutsch)

Security Analysis of Strong Physically Unclonable Functions

Tudor Alexis Andrei Soroceanu, 2017

Modern Cryptography is heavily based on the ability to securely store secret information. In the last decade Physical Unclonable Functions (PUFs) emerged as a possible alternative to non-volatile memory. PUFs promise a lightweight and lower-priced option compared to non-volatile memory, which has to be additionally secured and is known to be prone to reverse-engineering attacks. PUFs are traditionally divided into Weak PUFs and Strong PUFs, depending on the number of possible challenges.

One of the more popular Strong PUFs on silicon integrated circuits is that of the Arbiter PUF, in which two signals run through n stages, influenced by a challenge, and an arbiter that decides the output of the PUF depending on where a signal arrives first. As one single Arbiter PUF is easily to model and learn, Suh and Devadas proposed to combine the output of multiple Arbiter PUFs with an XOR, however this construction also turned out to be learnable. In this thesis we will investigate the use of different combining functions for Arbiter PUFs.

As combined Arbiter PUFs show structural similarity to linear feedback shift registers (LFSR) and nonlinear combination generators (the parallel use and combination of multiple LFSRs), we will carry out known attacks targeting the combining function on Arbiter PUFs. We will show that in order to prevent these attacks more sophisticated combining functions than XOR are needed. We propose a new class of Strong PUFs called Bent Arbiter PUFs, using Boolean bent functions as combiner. It turns out that Bent Arbiter PUFs are resistant against such kind of attacks. Future work must contain the analysis of the feasibility of Bent Arbiter PUFs against machine learning attacks. 

Masterthesis als PDF (Englisch)

Analyse eines neuen digitalen Signaturenverfahrens basierend auf Twisted-Edwards-Kurven

Johanna Jung, 2016

Diese Arbeit beschäftigt sich mit der Sicherheit digitaler Signaturverfahren der Elliptische-Kurven-Kryptographie. Das erste betrachtete Signaturverfahren ist der bereits 1998 standardisierte Elliptic Curve Digital Signature Algorithm (ECDSA).
Nach der Entdeckung von Twisted-Edwards-Kurven konzipierten Bernstein et al. den Edwards-curve Digital Signature Algorithm (EdDSA), ein Signaturverfahren auf Grundlage dieser Kurven. Er wurde 2012 veröffentlicht. Neben der Effizienz bietet das Verfahren auch Vorteile bezüglich der Sicherheit.

Ein Vergleich dieser Signaturverfahren zeigte, dass der EdDSA niedrigere Anforderungen an die verwendete Hashfunktion stellt als der ECDSA. Zudem erfordert der Signaturalgorithmus des EdDSA keinen Zufallszahlengenerator. Außerdem ist die Addition auf Twisted-Edwards-Kurven resistenter gegenüber Seitenkanalangriffen als die Addition auf Weierstraß-Kurven, die beim ECDSA eingesetzt werden. Auch die Skalarmultiplikation des EdDSA enthält eine Reihe von Maßnahmen gegen Seitenkanalangriffe.
Des Weiteren konnte die Sicherheit des EdDSA unter der Annahme, dass das Diskreter-Logarithmus-Problem für elliptische Kurven schwer ist, im Random-Oracle-Modell bewiesen werden. 

Masterthesis als PDF (Deutsch)

Security as a Service - Zentralisierte Sicherheitsmechanismen für kleine Institutionen aus Wirtschaft und Verwaltung

Benjamin Swiers, 2016

Die Aufgabe der IT-Sicherheit besteht darin, IT-Systeme, die darin gespeicherten und zu verarbeitenden Information sowie die Menschen, die diese Informationen verarbeiten, zu schützen. Die Etablierung und Umsetzung von IT-Sicherheit erfordert ein umfangreiches Expertenwissen, über das gerade kleine Institutionen aus Wirtschaft und Verwaltung oft nicht verfügen. Angesichts zunehmender Bedrohungen für IT-Systeme und der Knappheit finanzieller sowie personeller Ressourcen, sind besonders kleine Institutionen zunehmend mit der Umsetzung von IT-Sicherheit überfordert. Durch die Auslagerung von Sicherheitsmaßnahmen in ein Cloud-Umfeld, und der Bereitstellung dieser als Dienste, wird versucht dem genannten Problem zu begegnen. Die Auslagerung derartiger Dienste wird als Security as a Service (SecaaS) bezeichnet.

In der vorliegenden Masterarbeit wurde das Potential von Security as a Service für Behörden und kleine Unternehmen untersucht. Ferner wurde die Notwendigkeit derartiger Entwicklungen aufgezeigt. Um die Chancen und Risiken dieser Technologie abschätzen zu können, wurde ein Verfahren entwickelt, mit dem die Eignung von Sicherheitsmaßnahmen für eine bestimmte Umgebung anhand verschiedener Vergleichsmerkmale bestimmt werden kann. Mittels dieses Verfahrens wurden dezentralisierte und zentralisierte Umsetzungen ausgewählter Sicherheitsmaßnahmen anhand eines Fallbeispiels untersucht und verglichen.

Das Ergebnis dieser Untersuchung ergab, dass die Nutzung von Security as a Service verschiedene Vorteile mit sich bringen kann. Es konnte beobachtet werden, dass die Auslagerung von Sicherheitsmaßnahmen - in einigen Fällen - in einer Kostensenkung resultieren kann. Weiterhin führt die Auslagerung von komplizierten Maßnahmen zu einer erheblichen Entlastung des Personals sowie zur Steigerung der Benutzerakzeptanz. Da diese nur noch einfach auszuführende und vertraute Maßnahmen umsetzen müssen, kann die Gefahr von Anwenderfehlern und Umgehungsversuchen reduziert werden. In Kombination mit der Implementierung und Wartung dieser Dienste durch qualifiziertes Personal des Anbieters, kann die Qualität und Wirksamkeit von Sicherheitsmaßnahmen erhöht werden.

Trotz diverser Vorteile, birgt die Nutzung von Security as a Service jedoch auch Risiken. Die Auslagerung von Daten und Diensten in eine Cloud erfordert viel Vertrauen in die Fähigkeiten und die Zuverlässigkeit des Cloud-Anbieters. Infolgedessen bedarf die Auswahl des richtigen Anbieters - sowie die Ausgestaltung vertraglicher Vereinbarungen - eines hohen Maßes an Fachwissen. Trotz der vertraglichen Verpflichtung zur Einhaltung bestimmter Sicherheitsstandards besteht die Gefahr verschiedener Bedrohungen. Im Vergleich zur dezentralisierten Umsetzung von Sicherheitsmaßnahmen wären die Schäden eines erfolgreichen Angriffs, aufgrund der Bündelung der Daten in der Cloud, mitunter deutlich höher und weitreichender.

Untersuchung der Usability eines mobilen Prototypen für die Online-Ausweisfunktion

Sandra Kostic, 2016

Die Online-Ausweisfunktion ist eine Ergänzung zum neuen Personalausweis, mit der es gestattet ist, unter Zuhilfenahme eines separaten Lesegerätes, sich online auszuweisen und nur die Daten weiterzugeben, welche man selber weitergeben möchte. Um die Online-Ausweisfunktion mit einem dem Nutzern bekannten Gerät in Verbindung zu bringen, wurde die Idee entwickelt, statt eines zusätzlichen (kostenpflichtigen) Lesegerätes, ein Gerät zu verwenden, welches nahezu jeder Mensch in Deutschland besitzt - das Smartphone. Um festzustellen, ob der Umgang mit einer App auf dem Smartphone tatsächlich die Benutzbarkeit der Online-Ausweisfunktion verbessert, wurde eine sog. Usability Studie erarbeitet. Diese Usability Studie beruht auf der Vorstellung eines konzeptionellen Prototypen einer App. Dieser Prototyp wurde anschließend von Studienteilnehmern, mit Hilfe einer Umfrage, getestet, um festzustellen, wie gut benutzbar (usable) er ist.

Bachelorthesis als PDF (Deutsch)

Machbarkeitsstudie zur Online-Ausweisfunktion des neuen Personalausweises unter Android

Tim Ohlendorf, 2015

Mit der rapide fortschreitenden Digitalisierung der Gesellschaft gewinnt das Thema digitale Identitäten immer mehr an Relevanz. Die Online-Ausweisfunktion des neuen Personalausweises (nPA) stellt hierbei jedem Bürger der Bundesrepublik Deutschland die Möglichkeit bereit, sich im Internet mit Hilfe der eID-Infrastruktur bei hoheitlichen und nicht-hoheitlichen Dienstanbietern zu identifizieren. Dabei spielt nicht mehr nur die Nutzung am heimischen PC, sondern auch der Identitätsnachweis mit dem mobilen Endgerät eine große Rolle. Um die Online-Ausweisfunktion einer möglichst großen Masse auf Smartphone oder Tablet zugänglich zu machen, sind neue, nutzerzentrierte Ansätze für die mobile Nutzung der eID-Infrastruktur nötig. Die vorliegende Arbeit beschäftigt sich mit der Machbarkeit einer mobilen Applikation für die Nutzung der Online-Ausweisfunktion des nPA auf der Android Plattform. Das dahinterstehende Konzept setzt dabei auf das permanente Speichern, der für den sogenannten eID-Vorgang benötigten, personenbezogenen Ausweisdaten und Zertifikate, sowie Schlüsselmaterial im mobilen Endgerät. Der Benutzer benötigt folglich nur noch sein Smartphone oder Tablet, wenn er sich bei einem Dienstanbieter identifizieren möchte.

Um ein angemessenes Sicherheitsniveau für die schützenswerten Daten des nPA im Gerät gewährleisten zu können, wurde in einer verwandten Arbeit ein Sicherheitskonzept entwickelt, welches von verschiedenen mobilen Sicherheitskomponenten Gebrauch macht. Diese werden im Verlauf der Arbeit neben den Grundlagen zur Online-Ausweisfunktion erläutert und schließlich auf ihre Machbarkeit mit derzeit verfügbarer Hard- und Software unter Android geprüft.

Bachelorthesis als PDF (Deutsch)

Konzeption und Sicherheitsevaluierung einer mobilen Online-Ausweisfunktion

Florian Otterbein, 2015

Am 1. November 2010 wurde der neue Personalausweis in Deutschland eingeführt. Ausgestattet mit einem elektronischen Chip ermöglicht er Bürgern, sich online zu authentisieren. Für die Verwendung dieser Online-Ausweisfunktion ist neben dem Ausweisdokument ebenfalls eine Client-Software und ein Kartenleser notwendig. Ein Nachteil sind die hohen Anschaffungskosten des Kartenlesers, welche viele Nutzer abschrecken.

Parallel dazu gewinnt die Nutzung von Smartphones an Bedeutung. Mobile Bezahlsysteme wie Apple Pay und Android Pay, die sensible Daten der Benutzer verarbeiten und eine sichere Authentisierung anbieten, werden beliebter und von den Nutzern angenommen.
In dieser Thesis wird daher ein Konzept erarbeitet, das die Online-Ausweisfunktion des neuen Personalausweises ohne Kartenleser ermöglicht. Des Weiteren soll die eID-Funktion über das Smartphone zugänglich gemacht werden, um die Akzeptanzrate zu erhöhen. Das hier erläuterte Konzept ermöglicht das Speichern der eigenen Personalausweisdaten und einen anschließenden Authentisierungsprozess durch das Smartphone. In der Arbeit sind sowohl softwarebasierte, als auch hardwarebasierte Sicherheitslösungen für Android OS erläutert, die für besonders sensible Datenverarbeitungsprozesse und Speicherungen genutzt werden können.

In einer anschließenden Sicherheitsevaluierung findet eine Untersuchung des Konzepts auf mögliche Sicherheitsschwächen statt. Es wird gezeigt, dass keine sinnvollen Angriffe möglich sind. Ein Identitätsdiebstahl oder das Abfangen von sensiblen Daten kann ausgeschlossen werden. Weniger sicherheitskritische Angriffe sind möglich und können mit dem aktuellen Stand der Technik nicht ausgeschlossen werden. Eine Nutzung der Online-Ausweisfunktion auf dem Smartphone ist dadurch in der Theorie möglich, auf Grund der heterogenen Android-Landschaft jedoch schwer umsetzbar.

Masterthesis als PDF (Deutsch)