Veranstaltung: Message-Level Security

Nummer:
141252
Lehrform:
Vorlesung und Übungen
Medienform:
Moodle, rechnerbasierte Präsentation
Verantwortlicher:
Prof. Dr. Jörg Schwenk
Dozenten:
Dr.-Ing. Christian Mainka (ETIT), M. Sc. Louis Jannett (ETIT), Dr.-Ing. Vladislav Mladenov (ETIT), M. Sc. Simon Rohlmann (ETIT)
Sprache:
Deutsch
SWS:
4
LP:
5
Angeboten im:
Wintersemester

Termine im Wintersemester

  • Beginn: Freitag den 15.10.2021
  • Vorlesung Freitags: ab 09:15 bis 10.45 Uhr im Online
  • Übung Freitags: ab 11:15 bis 12.45 Uhr im Online

Prüfung

Prüfungsform:schriftlich
Prüfungsanmeldung:FlexNow
Datum:07.03.2022
Dauer:120min
Beschreibung der Prüfungsleistung:
Raum: wird vom Lehr­stuhl be­kannt ge­ge­ben.

Ziele

Studierende verfügen nach erfolgreichem Abschluss der Vorlesung über ein umfassendes Verständnis der Sicherheit der folgenden Technologien: Datenformate im Web, Authentifizierungs- und Autorisierungsprotokollen und Dokumentenformaten. Durch die praxisnahe Arbeit im Rahmen der Übungen bauen die Studenten ihre Recherche-Fähigkeiten aus und erlernen weiterhin den sicheren Umgang mit verschiedenen Penetrationswerkzeugen. Am Ende der Vorlesung sind die Studenten in der Lage systematisch umfassende Sicherheitsanalysen sowie praktische Angriffe auf die behandelten Technologien selbständig durchzuführen. Weiterhin sind die Studenten in der Lage das erlernte Wissen auf andere Technologien zu übertragen und komplexere Angriffsmöglichkeiten selbst durch kreatives Denken zu finden und auszunutzen.

Inhalt

Die Vorlesung behandelt das Thema Message-Level Security. Anders als bei SSL/TLS, welches einen sicheren Transportkanal aufbaut, geht es bei Message-Level Security darum, Nachrichten - wie beispielsweise HTTP Requests – auf Nachrichtenebene zu schützen. Hierbei kommt es auf die korrekte Verwendung von kryptographischen Verfahren als auch eine sichere Bereitstellung von API-Schnittstellen an.

Im Rahmen der Vorlesung werden verschiedene Verfahren von Message-Level Security beleuchtet.

Die Vorlesung behandelt dabei verschiedene Verfahren von Message-Level Security:

  • JSON ist eine universelle Datenbeschreibungssprache, die unter anderem von jedem modernen Browser unterstützt wird. Mithilfe von JSON-Signature und JSON-Encryption JSON Nachrichten direkt geschützt werden. Doch reicht das aus oder können diese Sicherheitsmechanismen umgangen werden?
  • OAuth ist eine sehr weit verbreitete Technologie zum Delegieren von Berechtigungen und wird heutzutage von allen großen Webseiten wie Facebook, Google, Twitter, Github, uvm. eingesetzt. Die Vorlesung erklärt tief-gehende Details und gängige Fehler/Angriffe, die bei der Verwendung von OAuth entstehen können.
  • OpenID Connect ist eine Erweiterung für OAuth, um Benutzer auf Webseiten mithilfe eines Drittanbieters zu authentifizieren (Single Sign-On, z.B. Google Login). OpenID Connect hat sich in den letzten Jahren zum defacto Standard für Web-Logins über Drittanbieter etabliert. In der Vorlesung wird detailliert erklärt, was die Unterschiede zu OAuth sind und welche Angriffe auf OpenID Connect möglich sind.
  • SAML steht für Security Assertion Markup Language und ist ein Single Sign-On Standard, der weitere Verbreitung in Business-Szenerien findet. Allerdings existieren zahlreiche Angriffe von Identitätsdiebstahl bis hin zu Remote Code Execution.
  • PDF ist das vermutlich am weitesten verbreitetste universelle Dokumentenaustauschformat. In der Vorlesung werden die Sicherheitseigenschaften von PDFs beleuchtet. Insbesondere werden hierbei digitale Signaturen untersucht, welche z.B. bei Verträgen zum Einsatz kommen. Wird es uns gelingen, signierte Dokumente zu fälschen?

Den Studenten wird ein tief-gehendes Verständnis der Systeme vermittelt. Zu allen untersuchten Systemen werden Angriffe vorgestellt, die sowohl aus der akademischen Welt als auch aus der Pentesting-Community stammen. Die Übungen bieten die Möglichkeit, das erlernte Wissen praktisch auszuprobieren. Hierzu erhalten die Studenten eine virtuelle Maschine.

Empfohlene Vorkenntnisse

  • Grundkenntnisse HTTP, HTML und Kryptographie
  • Grundkenntnisse der englischen Sprache, da dies die Sprache von Foliensatz, Übungsaufgaben und Virtuelle Maschine sind

Sonstiges

Die Veranstaltung findet im WiSe21/22 als eLearning-Kurs statt.
Nähere Informationen im Moodle-Kurs zur Veranstaltung.