Springe direkt zu Inhalt

Vergangene Abschlusarbeiten

Abschlussarbeiten, die in Zusammenarbeit mit der Arbeitsgruppe entstanden sind und bereits abgeschlossen wurden geben Einblicke in die Forschung der Arbeitsgruppe und dienen als Orientierung für zukünftige Arbeiten.

Entwurf eines hybriden Verschlüsselungsverfahrens aus einem klassischen und einem Post-Quanten-Verfahren

Marian Sigler, 2019

Die vorraussichtlich bevorstehende Entwicklung von großen Quantencomputern macht herkömmliche asymmetrische Verschlüsselungsverfahren wie RSA und Diffie-Hellman unsicher. Es sollte daher zeitnah auf quantencomputerresistente Verfahren, sogenannte Post-Quanten-Verfahren, umgestiegen werden. In dieser Arbeit werden einige solche Verfahren vorgestellt und verglichen.

Um trotz Bedenken hinsichtlich ihrer Sicherheit schnellstmöglich auf Post-Quanten-Kryptografie umsteigen zu können, können diese neuen Verfahren mit einem etablierten Verfahren zu einem Hybrid-Verfahren kombiniert werden. Es werden verschiedene Arten der Umsetzung eines solchen Verfahrens verglichen und zwei Vorzugsvarianten konkret definiert.

Masterthesis als PDF (Deutsch)

Differential Privacy: General Survey and Analysis of Practicability in the Context of Machine Learning

Franziska Boenisch, 2019

In recent years with data storage becoming more affordable, every day, increasingly large amounts of data are collected about everyone by different parties. The data collection allows to perform data analyses that help to improve software, track user behavior, recommend products, or even make large advances in the medical field. At the same time, the concern about privacy preservation is growing. Differential Privacy (DP) offers a solution to the potential conflict of interest between the wish for privacy preservation and the need to perform data analyses. Its goal is to allow expressive data analyses on a whole population while achieving a mathematically accurate definition of privacy for the individual.
This thesis aims to provide an understandable introduction to the field of DP and to the mechanisms that can be used to achieve it. It furthermore depicts DP in the context of different privacy preserving data analysis and publication methods. The main focus of the work lies on examining the practicability of DP in the context of
data analyses. We, therefore, present implementations of two differentially private linear regression methods and analyze the trade-offs between privacy and accuracy. We found that the adaptation of such a machine learning method to implement DP is non-trivial and that even when applied carefully, privacy always comes at the price of accuracy. On our dataset, even the better-performing differentially private linear regression with a reasonable level of privacy produces a mean squared error twice as high as the normal linear regression on non-privatized data. We, moreover, present two real-world applications of DP, namely Google’s RAPPOR algorithm and Apple’s implementation of DP in order to analyze the practicability at a large scale and to find possible limitations and drawbacks.

Masterthesis als PDF (English)

Benutzerfreundliches Werkzeug zur Codeanalyse zur Erkennung von Sicherheitslücken

Sandra Kostic, 2018

Es gibt dutzende von Analysewerkzeugen zur Erkennung von Sicherheitslücken in bereits verfasstem Code, sei es in Form von Plug-ins oder selbstständigen Werkzeugen. Trotz dessen existiert weiterhin das Problem, dass noch immer unnötige Sicherheitslücken in veröffentlichten Codes vorhanden sind, welche unter anderem Endnutzer erreichen, in Form einer App oder Desktop Anwendung und so Angreifern Zugang zu den privaten Daten des Endnutzers ermöglichen.

Das Konzept dieser Arbeit ist es, das Problem am Ursprung anzugehen, nämlich bei dem Programmierer, welcher den Code verfasst. Hierzu wurde ein Werkzeug zur Codeanalyse entwickelt, das die Programmierer für Sicherheitslücken sensibilisiert, vielfältige Hilfestellungen anbietet und dabei benutzerfreundlich ist.

Basierend auf einer im Rahmen dieser Abschlussarbeit selbst erstellten Umfrage, gerichtet an Programmierer, zur Erfassung derer Erfahrungen und Anforderungen an Werkzeugen zur Codeanalyse, wurde ein Prototyp entwickelt. Dieser Prototyp wurde anschließend von Studienteilnehmern getestet und von mir ausgewertet.

Das Ergebnis ist der Prototyp eines Werkzeugs, welches anhand der Ergebnisse der Auswertungen für potenzielle Sicherheitslücken sensibilisiert und dabei hilft, sicherer zu programmieren.

Masterthesis als PDF (Deutsch)

Property Testing of Physically Unclonable Functions

Christoph Graebnitz, 2018

This thesis deals with the properties that define a Physically Unclonable Function (PUF). Since a PUF should not be copyable, it makes sense to consider the predictability of a PUF through algorithms from the field of machine learning. PUFs can be interpreted as Boolean functions in their Fourier extension. This allows the determination of the degree-one weight of a PUF. Further, the degree-one weight of a Boolean function can serve as a metric that helps to identify the predictability of a Boolean function. For this reason, a central point of this work is the theoretical consideration of various probabilistic methods which can be used to approximate the degree-one weight of a Boolean function. The number of randomly selected inputs is essential to maintain an absolute error with a certain probability. The empirical studies carried out in this thesis partially prove, that under certain circumstances a smaller number of inputs is sufficient to maintain a particular absolute error than shown in theory.

Masterthesis als PDF (English)

Fourier Analysis of Arbiter Physical Unclonable Functions

Benjamin Zengin, 2017

Physical Unclonable Functions (PUFs) have emerged as a promising alternative to conventional mobile secure authentication devices. Instead of storing a cryptographic key in non-volatile memory, they provide a device specific challenge-response behavior uniquely determined by manufacturing variations. The Arbiter PUF has become a popular PUF representative due to its lightweight design and potentially large challenge space. Unfortunately, opposed to the PUFs definition, an Arbiter PUF can be cloned using machine learning attacks. Since PUFs can be described as Boolean functions, this thesis applies the concept of the Fourier expansion on Arbiter PUFs, focusing on the notion of influence. Based on this, statements about its Probably Approximately Correct learnability are deduced and discussed.

Masterthesis als PDF (English)

Analyse von Audio-Bypass-Bedrohungen auf Android-Smartphones und Konzeption von Abwehrmaßnahmen

Wolfgang Studier, 2017

Smartphones sind heutzutage ein alltäglicher Begleiter für die meisten Menschen im privaten als auch im beruflichen Umfeld. Dies sorgt dafür, dass Smartphones sich oft in unmittelbarer Nähe von Gesprächen befinden und damit zur Aufzeichnung von Gesprächen verwendet werden können, in denen eine große Vielfalt an Informationen mit verschiedenen Schutzbedürfnissen besprochen werden. In dieser Arbeit wird das Risiko für verschieden sensitive Informationen evaluiert, das von Audio-Bypass Angriffen auf Smartphones ausgeht.

Im Zuge der Analyse werden Audio-Bypass Bedrohungen basierend auf dem Baseband Subsystem sowie Android selbst behandelt. Hierzu werden die Systeme einzeln im Detail vorgestellt, um im späteren Verlauf die Bedrohung durch verschiedene Schwachstellen einschätzen zu können. Die anschließende Analyse der verschiedenen Angriffe, die zu einem Audio-Bypass führen könnten, wird mittels des Angriffspotentialmodells vorgenommen. Abschließend werden verschiedene Abwehrmaßnahmen gegen die möglichen Angriffe konzipiert und die aus den Angriffen entstehenden Risiken für verschieden sensitive Informationsklassen bewertet. Hierbei werden Empfehlungen zu Verhaltensweisen und zum Einsatz von Abwehrmaßnahmen, basierend auf dem Schutzbedürfnis der Informationen, ausgesprochen.

Masterthesis als PDF (Deutsch)

Security Analysis of Strong Physically Unclonable Functions

Tudor Alexis Andrei Soroceanu, 2017

Modern Cryptography is heavily based on the ability to securely store secret information. In the last decade Physical Unclonable Functions (PUFs) emerged as a possible alternative to non-volatile memory. PUFs promise a lightweight and lower-priced option compared to non-volatile memory, which has to be additionally secured and is known to be prone to reverse-engineering attacks. PUFs are traditionally divided into Weak PUFs and Strong PUFs, depending on the number of possible challenges.

One of the more popular Strong PUFs on silicon integrated circuits is that of the Arbiter PUF, in which two signals run through n stages, influenced by a challenge, and an arbiter that decides the output of the PUF depending on where a signal arrives first. As one single Arbiter PUF is easily to model and learn, Suh and Devadas proposed to combine the output of multiple Arbiter PUFs with an XOR, however this construction also turned out to be learnable. In this thesis we will investigate the use of different combining functions for Arbiter PUFs.

As combined Arbiter PUFs show structural similarity to linear feedback shift registers (LFSR) and nonlinear combination generators (the parallel use and combination of multiple LFSRs), we will carry out known attacks targeting the combining function on Arbiter PUFs. We will show that in order to prevent these attacks more sophisticated combining functions than XOR are needed. We propose a new class of Strong PUFs called Bent Arbiter PUFs, using Boolean bent functions as combiner. It turns out that Bent Arbiter PUFs are resistant against such kind of attacks. Future work must contain the analysis of the feasibility of Bent Arbiter PUFs against machine learning attacks. 

Masterthesis als PDF (Englisch)

Analyse eines neuen digitalen Signaturenverfahrens basierend auf Twisted-Edwards-Kurven

Johanna Jung, 2016

Diese Arbeit beschäftigt sich mit der Sicherheit digitaler Signaturverfahren der Elliptische-Kurven-Kryptographie. Das erste betrachtete Signaturverfahren ist der bereits 1998 standardisierte Elliptic Curve Digital Signature Algorithm (ECDSA).
Nach der Entdeckung von Twisted-Edwards-Kurven konzipierten Bernstein et al. den Edwards-curve Digital Signature Algorithm (EdDSA), ein Signaturverfahren auf Grundlage dieser Kurven. Er wurde 2012 veröffentlicht. Neben der Effizienz bietet das Verfahren auch Vorteile bezüglich der Sicherheit.

Ein Vergleich dieser Signaturverfahren zeigte, dass der EdDSA niedrigere Anforderungen an die verwendete Hashfunktion stellt als der ECDSA. Zudem erfordert der Signaturalgorithmus des EdDSA keinen Zufallszahlengenerator. Außerdem ist die Addition auf Twisted-Edwards-Kurven resistenter gegenüber Seitenkanalangriffen als die Addition auf Weierstraß-Kurven, die beim ECDSA eingesetzt werden. Auch die Skalarmultiplikation des EdDSA enthält eine Reihe von Maßnahmen gegen Seitenkanalangriffe.
Des Weiteren konnte die Sicherheit des EdDSA unter der Annahme, dass das Diskreter-Logarithmus-Problem für elliptische Kurven schwer ist, im Random-Oracle-Modell bewiesen werden. 

Masterthesis als PDF (Deutsch)

Security as a Service - Zentralisierte Sicherheitsmechanismen für kleine Institutionen aus Wirtschaft und Verwaltung

Benjamin Swiers, 2016

Die Aufgabe der IT-Sicherheit besteht darin, IT-Systeme, die darin gespeicherten und zu verarbeitenden Information sowie die Menschen, die diese Informationen verarbeiten, zu schützen. Die Etablierung und Umsetzung von IT-Sicherheit erfordert ein umfangreiches Expertenwissen, über das gerade kleine Institutionen aus Wirtschaft und Verwaltung oft nicht verfügen. Angesichts zunehmender Bedrohungen für IT-Systeme und der Knappheit finanzieller sowie personeller Ressourcen, sind besonders kleine Institutionen zunehmend mit der Umsetzung von IT-Sicherheit überfordert. Durch die Auslagerung von Sicherheitsmaßnahmen in ein Cloud-Umfeld, und der Bereitstellung dieser als Dienste, wird versucht dem genannten Problem zu begegnen. Die Auslagerung derartiger Dienste wird als Security as a Service (SecaaS) bezeichnet.

In der vorliegenden Masterarbeit wurde das Potential von Security as a Service für Behörden und kleine Unternehmen untersucht. Ferner wurde die Notwendigkeit derartiger Entwicklungen aufgezeigt. Um die Chancen und Risiken dieser Technologie abschätzen zu können, wurde ein Verfahren entwickelt, mit dem die Eignung von Sicherheitsmaßnahmen für eine bestimmte Umgebung anhand verschiedener Vergleichsmerkmale bestimmt werden kann. Mittels dieses Verfahrens wurden dezentralisierte und zentralisierte Umsetzungen ausgewählter Sicherheitsmaßnahmen anhand eines Fallbeispiels untersucht und verglichen.

Das Ergebnis dieser Untersuchung ergab, dass die Nutzung von Security as a Service verschiedene Vorteile mit sich bringen kann. Es konnte beobachtet werden, dass die Auslagerung von Sicherheitsmaßnahmen - in einigen Fällen - in einer Kostensenkung resultieren kann. Weiterhin führt die Auslagerung von komplizierten Maßnahmen zu einer erheblichen Entlastung des Personals sowie zur Steigerung der Benutzerakzeptanz. Da diese nur noch einfach auszuführende und vertraute Maßnahmen umsetzen müssen, kann die Gefahr von Anwenderfehlern und Umgehungsversuchen reduziert werden. In Kombination mit der Implementierung und Wartung dieser Dienste durch qualifiziertes Personal des Anbieters, kann die Qualität und Wirksamkeit von Sicherheitsmaßnahmen erhöht werden.

Trotz diverser Vorteile, birgt die Nutzung von Security as a Service jedoch auch Risiken. Die Auslagerung von Daten und Diensten in eine Cloud erfordert viel Vertrauen in die Fähigkeiten und die Zuverlässigkeit des Cloud-Anbieters. Infolgedessen bedarf die Auswahl des richtigen Anbieters - sowie die Ausgestaltung vertraglicher Vereinbarungen - eines hohen Maßes an Fachwissen. Trotz der vertraglichen Verpflichtung zur Einhaltung bestimmter Sicherheitsstandards besteht die Gefahr verschiedener Bedrohungen. Im Vergleich zur dezentralisierten Umsetzung von Sicherheitsmaßnahmen wären die Schäden eines erfolgreichen Angriffs, aufgrund der Bündelung der Daten in der Cloud, mitunter deutlich höher und weitreichender.

Untersuchung der Usability eines mobilen Prototypen für die Online-Ausweisfunktion

Sandra Kostic, 2016

Die Online-Ausweisfunktion ist eine Ergänzung zum neuen Personalausweis, mit der es gestattet ist, unter Zuhilfenahme eines separaten Lesegerätes, sich online auszuweisen und nur die Daten weiterzugeben, welche man selber weitergeben möchte. Um die Online-Ausweisfunktion mit einem dem Nutzern bekannten Gerät in Verbindung zu bringen, wurde die Idee entwickelt, statt eines zusätzlichen (kostenpflichtigen) Lesegerätes, ein Gerät zu verwenden, welches nahezu jeder Mensch in Deutschland besitzt - das Smartphone. Um festzustellen, ob der Umgang mit einer App auf dem Smartphone tatsächlich die Benutzbarkeit der Online-Ausweisfunktion verbessert, wurde eine sog. Usability Studie erarbeitet. Diese Usability Studie beruht auf der Vorstellung eines konzeptionellen Prototypen einer App. Dieser Prototyp wurde anschließend von Studienteilnehmern, mit Hilfe einer Umfrage, getestet, um festzustellen, wie gut benutzbar (usable) er ist.

Bachelorthesis als PDF (Deutsch)

Machbarkeitsstudie zur Online-Ausweisfunktion des neuen Personalausweises unter Android

Tim Ohlendorf, 2015

Mit der rapide fortschreitenden Digitalisierung der Gesellschaft gewinnt das Thema digitale Identitäten immer mehr an Relevanz. Die Online-Ausweisfunktion des neuen Personalausweises (nPA) stellt hierbei jedem Bürger der Bundesrepublik Deutschland die Möglichkeit bereit, sich im Internet mit Hilfe der eID-Infrastruktur bei hoheitlichen und nicht-hoheitlichen Dienstanbietern zu identifizieren. Dabei spielt nicht mehr nur die Nutzung am heimischen PC, sondern auch der Identitätsnachweis mit dem mobilen Endgerät eine große Rolle. Um die Online-Ausweisfunktion einer möglichst großen Masse auf Smartphone oder Tablet zugänglich zu machen, sind neue, nutzerzentrierte Ansätze für die mobile Nutzung der eID-Infrastruktur nötig. Die vorliegende Arbeit beschäftigt sich mit der Machbarkeit einer mobilen Applikation für die Nutzung der Online-Ausweisfunktion des nPA auf der Android Plattform. Das dahinterstehende Konzept setzt dabei auf das permanente Speichern, der für den sogenannten eID-Vorgang benötigten, personenbezogenen Ausweisdaten und Zertifikate, sowie Schlüsselmaterial im mobilen Endgerät. Der Benutzer benötigt folglich nur noch sein Smartphone oder Tablet, wenn er sich bei einem Dienstanbieter identifizieren möchte.

Um ein angemessenes Sicherheitsniveau für die schützenswerten Daten des nPA im Gerät gewährleisten zu können, wurde in einer verwandten Arbeit ein Sicherheitskonzept entwickelt, welches von verschiedenen mobilen Sicherheitskomponenten Gebrauch macht. Diese werden im Verlauf der Arbeit neben den Grundlagen zur Online-Ausweisfunktion erläutert und schließlich auf ihre Machbarkeit mit derzeit verfügbarer Hard- und Software unter Android geprüft.

Bachelorthesis als PDF (Deutsch)

Konzeption und Sicherheitsevaluierung einer mobilen Online-Ausweisfunktion

Florian Otterbein, 2015

Am 1. November 2010 wurde der neue Personalausweis in Deutschland eingeführt. Ausgestattet mit einem elektronischen Chip ermöglicht er Bürgern, sich online zu authentisieren. Für die Verwendung dieser Online-Ausweisfunktion ist neben dem Ausweisdokument ebenfalls eine Client-Software und ein Kartenleser notwendig. Ein Nachteil sind die hohen Anschaffungskosten des Kartenlesers, welche viele Nutzer abschrecken.

Parallel dazu gewinnt die Nutzung von Smartphones an Bedeutung. Mobile Bezahlsysteme wie Apple Pay und Android Pay, die sensible Daten der Benutzer verarbeiten und eine sichere Authentisierung anbieten, werden beliebter und von den Nutzern angenommen.
In dieser Thesis wird daher ein Konzept erarbeitet, das die Online-Ausweisfunktion des neuen Personalausweises ohne Kartenleser ermöglicht. Des Weiteren soll die eID-Funktion über das Smartphone zugänglich gemacht werden, um die Akzeptanzrate zu erhöhen. Das hier erläuterte Konzept ermöglicht das Speichern der eigenen Personalausweisdaten und einen anschließenden Authentisierungsprozess durch das Smartphone. In der Arbeit sind sowohl softwarebasierte, als auch hardwarebasierte Sicherheitslösungen für Android OS erläutert, die für besonders sensible Datenverarbeitungsprozesse und Speicherungen genutzt werden können.

In einer anschließenden Sicherheitsevaluierung findet eine Untersuchung des Konzepts auf mögliche Sicherheitsschwächen statt. Es wird gezeigt, dass keine sinnvollen Angriffe möglich sind. Ein Identitätsdiebstahl oder das Abfangen von sensiblen Daten kann ausgeschlossen werden. Weniger sicherheitskritische Angriffe sind möglich und können mit dem aktuellen Stand der Technik nicht ausgeschlossen werden. Eine Nutzung der Online-Ausweisfunktion auf dem Smartphone ist dadurch in der Theorie möglich, auf Grund der heterogenen Android-Landschaft jedoch schwer umsetzbar.

Masterthesis als PDF (Deutsch)

bdr_logo_RGB_300ppi