[HGI-News-de] HGI-Newsletter #39 (DE)

Mo Jun 28 17:02:39 CEST 2010

**HGI-Newsletter**

http://www.hgi.rub.de/hgi/newsletter/n39/

Nr. 39 - Montag, 28. Juni 2010
Horst Görtz Institut für Sicherheit in der Informationstechnik
Ruhr-Universität Bochum
http://www.hgi.rub.de

Inhalt
======
- W1 Juniorprofessur für Sichere Hardware
- Lehrstuhl für Systemsicherheit erhält Förderung für die Projekte 
MediTrust und RUBTrust
- Neue wissenschaftliche Koordinatorin am HGI
- Lehrstuhl NDS in Arbeitsgruppe XML Security des W3C
- Platz 2 für Johannes Dahse alias Fluxreiners bei der 
„SecurityByDefault CFT“
- a-i3/BSI-Symposium 2010
- Essener Workshop zur Netzsicherheit 2010 (EWNS10)
- Florian Kohlar reflektiert über Kriminaliät im Internet bei tagesschau.de
- Konferenz TRUST 2010 in Berlin
- Forschungsaufenthalt von Marcel Winandy an der CMU in Pittsburgh
- Workshops
- Eingeladene Vorträge
- Vorträge
- Gäste
- HGI Kolloquium
- Angenommene Artikel

W1 Juniorprofessur für Sichere Hardware
==============================
In der Fakultät für Elektrotechnik und Informationstechnik der 
Ruhr-Universität Bochum ist eine W1-Juniorprofessur für Sichere Hardware 
zum nächstmöglichen Zeitpunkt zu besetzen. Der/die Stelleninhaber/in 
soll sowohl die Bereiche theoretische Grundlagen als auch 
praxisrelevante Anwendungen in Forschung und Lehre abdecken. Nähere 
Auskünfte unter 
http://zeit.academics.de/jobs/w1juniorprofessurfuersicherehardware49405.html

Lehrstuhl für Systemsicherheit erhält Förderung für die Projekte 
MediTrust und RUBTrust
=================================================================
Im Rahmen des Programms „Wachstum für Bochum“ des Landes NRW, der Stadt 
Bochum sowie NOKIA werden die Projekte „RUBTrust“ und „MediTrust“ von 
Prof. Ahmad Reza Sadeghi vom HGI, dem RUB-Dezernat für Informations- und 
Kommunikationsdienste sowie der Sirrix Security Technologies AG mit 
insgesamt rund 3,5 Mio Euro gefördert. Ziel dieser Projekte ist es, 
vertrauenswürdige IT-Plattformen und Infrastrukturen für den Schutz von 
personenbezogenen Daten in der Verwaltung und im Gesundheitswesen 
aufzubauen. Die technische Kernkomponente in den beiden Projekten ist 
die in Bochum entwickelte Sicherheitsarchitektur „TURAYA“. Nähere 
Informationen finden sich unter 
http://www.pm.ruhr-uni-bochum.de/pm2010/msg00140.htm

Neue wissenschaftliche Koordinatorin am HGI
===========================================
Frau Dipl.-Math. Anja Nuß ist die neue wissenschaftliche Koordinatorin 
des Horst Görtz Instituts für IT-Sicherheit der Ruhr-Universität Bochum 
(HGI). Sie übernimmt diese Stelle von Dr. Christopher Wolf. Am HGI wird 
Frau Nuß mit für die Außendarstellung des Instituts, dessen Organisation 
sowie strategisch wichtige Projekte im Bereich IT-Sicherheit zuständig sein.

Lehrstuhl NDS in Arbeitsgruppe XML Security des W3C
===================================================
Der Lehrstuhl NDS ist seit März 2010 in der Arbeitsgruppe XML Security 
des World Wide Web Consortiums (W3C) tätig. Vertreten durch Dipl.-Inf. 
Meiko Jensen arbeitet das HGI damit aktiv an der Gestaltung der 
bekannten W3C-Spezifikationen zur Sicherung von XML-Daten mit. Dazu 
zählen insbesondere die Spezifikationen XML Signature und XML 
Encryption, sowie Canonical XML.

Platz 2 für Johannes Dahse alias Fluxreiners bei der „SecurityByDefault CFT“
======================================================
Vom 14. – 18. April fand in Madrid die "Campus Party" Messe statt, 
weltweit eine der größten Messen für Technologie, digitale Kreativität 
und Innovation im Bereich der Online-Kultur. Innerhalb die¬ses Rahmens 
wurde ein Capture The Flag (CTF) Wettbewerb von SecurityByDefault 
(http://www.securitybydefault.com/) organisiert. Pro EU Land wurden zwei 
Teilnehmer eingeladen, die sich jeweils vier Aufgaben im Bereich 
Netzwerksicherheit, Websicherheit, Reverse Engineering und Kryptographie 
stellten. Hierbei errang Johannes Dahse vom Team FluxFingers 
(http://www.fluxfingers.net) des Lehrstuhls NDS den 2. Platz. 
https://www.ei.rub.de/studium/praxistest/fluxfingers

a-i3/BSI-Symposium 2010
===========================================
Am 27. - 28. April 2010 fand in Bochum das 5. Symposium der a-i3 in 
Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik 
(BSI) statt, das auch in diesem Jahr mit über 130 Fachteilnehmern erneut 
sehr gut besucht war. In diesem Rahmen diskutieren Vertreter von 
Verwaltungsbehörden, Unternehmen, Wissenschaft, Politik und Verbänden 
angeregt technische und rechtliche Fragen der Identitäts- und 
Datensicherheit. Themenschwerpunkte waren der Einsatz des neuen 
Personalausweises in E-Government und E-Business, Sicherheit im Cloud 
Computing, Sicherheit von Patientendaten im E-Health unter besonderer 
Betrachtung der Elektronischen Gesundheitskarte, sowie Trends und 
Haftung bei Identitätsdiebstahl und Identitätsmissbrauch (siehe auch: 
http://www.heise.de/security/meldung/ai-3-BSI-Symposium-Sichere-Identitaeten-Daten-und-Dienste-989914.html).

Essener Workshop zur Netzsicherheit 2010 (EWNS10)
=======================================
Am 15. und 16. April 2010 fand in Essen der 4. Workshop zur 
Netzsicherheit statt. Der Workshop wurde gemeinsam von der 
ITG-Fachgruppe 5.2.2 Sicherheit in Netzen, der GI-Fachgruppe Sicherheit 
in Netzen (NETSEC) und der GI/ITG-Fachgruppe Kommunikation und verteilte 
Systeme (KUVS) organisiert. Etwa 40 Teilnehmer aus der Praxis und 
Wissenschaft nahmen an dem Workshop in Essen teil und sorgten für ein 
abwechslungsreiches Programm und gute Diskussionen. Das HGI wurde von 
Prof. Schwenk und Andreas Noack mit einem Vortrag über die 
Protokolleffizienz in Wireless Mesh Netzwerken vertreten. Die 
Kurzfassungen aller Vorträge und weitere Informationen finden Sie auf 
der Workshop-Webseite der ITG-Fachgruppe: 
http://wiki.uni-due.de/TdR/index.php/EssenerWorkshopzurNetzsicherheit2010%28EWNS10%29

Florian Kohlar reflektiert über Kriminaliät im Internet bei tagesschau.de
===================================================
Die Kriminalität im Internet stand letzte Woche im Mittelpunkt einer 
Tagung von Sicherheitsexperten in Berlin. Tenor war, dass die 
Cyber-Angriffe eine neue Dimension der Gefährdung erreicht haben. 
Florian Kohlar vom HGI hat dies in einem Interview gegenüber 
tagesschau.de jedoch relativiert: Die Erfolgsquote beispielsweise bei 
Phishing-Angriffen ist, verteilt auf alle Internetnutzer, immer noch 
eher gering, allerdings kann ein Restrisiko nie vollständig 
ausgeschloßen werden.
Weitere Infos unter: 
http://www.tagesschau.de/inland/internetkriminalitaet102.html

Konferenz TRUST 2010 in Berlin
=====================================
Vom 21.- 23. Juni 2010 fand die dritte internationale Konferenz zum 
Thema "Trust and Trustworthy Computing" in Berlin statt. Organisiert 
wurde sie in diesem Jahr von Prof. Ahmad-Reza Sadeghi. Die Veranstaltung 
beschäftigt sich mit technischen und sozi-ökonomischen Aspekten von 
zuverlässiger Infrastruktur und bietet ein exzellentes Forum für 
Wissenschaftler, Anwender und Entscheidungsträger, um neue Ideen zu 
erkunden und die eigenen Erfahrungen mit dem Aufbau, Design, der 
Benutzung und dem Verständnis von zuverlässigen Computersystemen zu 
diskutieren. Weitere Informationen finden sich auf: http://www.trust2010.org

Forschungsaufenthalt von Marcel Winandy an der CMU in Pittsburgh
==================================================
Marcel Winandy befand sich vom 15. – 25. März diesen Jahres im Rahmen 
des RUB-Förderprogrammes "Unterstützung der Aktivitäten von 
Doktorandinnen und Doktoranden" zu einem Forschungsaufenthalt an der 
Carnege Mellon University (CMU) in Pittburgh, USA. Herrn Winandy 
arbeitete während dieser Zeit mit Jonathan McCune von der Forschergruppe 
CyLab (s.: http://www.cylab.cmu.edu/) an der CMU zusammen. Sie 
beschäftigten sich mit der Entwicklung eines neuen sicheren und „trusted 
confirmation“ System für online Anwendungen im elektronischen 
Geschäftsverkehr. Während seines Aufenthalts hielt Herr Winandy außerdem 
einen Vortrag zum Thema "Defending Against Return-Oriented Programming 
Attacks" (s.a. 
http://sparrow.ece.cmu.edu/group/cylab-student-seminar.html), in dem 
Resultate aus den aktuellen Forschungsaktivitäten des „System Security 
Lab“ der RUB präsentiert wurden.

Workshops
=========
Ernesto Damiani, Nils Gruschka, Florian Kerschbaum, Jörg Schwenk:
**First IEEE International Workshop on Web Service and Business Process 
Security, WSBPS** colocated with IEEE SERVICES 2010, Miami, FL, USA, 5. 
- 10. Juli 2010, Miami, Florida, USA

Eingeladene Vorträge
====================
Tibor Jager **Constructing public-key encryption schemes from the 
Computational Diffie-Hellman assumption**, Karlsruher Institut für 
Technologie (KIT) Institut für Kryptographie und Sicherheit (IKS)

Meiko Jensen **A Design Pattern for Event-Based Processing of 
Security-enriched SOAP Messages**, Second International Workshop on 
Security Aspects in Grid and Cloud Computing (SAGC), Krakow, Poland, 02/2010

Vorträge
========
Marcel Winandy: **Patterns for Secure Boot and Secure Storage in 
Computer Systems**
SPattern'10 Workshop; ARES 2010 in Krakow, 15 – 18. Februar 2010

Dominik Birk / Dr. Christoph Wegener: **Forensics 2.0: Challenges in the 
Cloud**, SecureCloud 2010 in Barcelona, März 2010,
http://www.cloudsecurityalliance.org/sc2010.html

Thorsten Holz: **Botnet detection and mitigation: taking down Waledac**, 
2010 European Workshop on System Security (EuroSec 2010), 13th April, 
2010, Paris, France

Gäste
=====
26. - 29. Mai 2010 **Orr Dunkelmann** (Weizmann Institute of Science, 
Israel)
Lehrstuhl für Eingebettete Sicherheit; Topic: Practical-Time Attacks on 
the KASUMI Cryptosystem Used in GSM and 3G Telephony

HGI Kolloquium
==============

15. April 2010 Alessandro Barenghi / Politecnico di Milano
**Attacking Power Generators Using Unravelled Linearization Attacking 
AES 256 Through Low Voltage Faults**
http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#attacking-aes-256-through-low-voltage-faults

22. April 2010 Ralf Zimmermann / Ruhr-Universität Bochum
**Implementing the Elliptic Curve Me¬thod (ECM) on Special-Purpose 
Hardware**

28. April 2010 Juan Garay / AT & T Labs (Research)
**A Framework for the Sound Specification of Cryptographic Tasks**
http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#a-framework-for-the-sound-specification-of-cryptographic-tasks

29. April 2010 Thorsten Holz / Ruhr-Universität Bochum
**Honeypots, Botnets, Malware Analysis, and more - Introducing the 
Embedded Malware Group**
http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#wirtschaftsspionage

6.Mai 2010 Albrecht Petzhold / TU Darmstadt
**A Multivariate Signature Scheme with a Partially Cyclic Public Key**
http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#a-multivariate-signature-scheme-with-a-partially-cyclic-public-key

20.Mai 2010 Mathias Herrmann / HGI
**Maximizing Small Root Bounds by Linearization and Applications to 
Small Secret Exponent RSA**
http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#maximizing-small-root-bounds-by-linearization-and-applications-to-small-secret-exponent-rsa

27.Mai 2010 Orr Dunkelmann / The Weizmann Institute of Science
**A Practical-Time Attack on the KASUMI Cryptosystem Used in GSM and 3G 
Telephony**
http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#a-practical-time-attack-on-the-kasumi-cryptosystem-used-in-gsm-and-3g-telephony

Angenommene Artikel
===================
Frederik Armknecht, Ahmad-Reza Sadeghi, Ivan Visconti, Christian Wachsmann
**On RFID Privacy with Mutual Authentication and Tag Corruption.**
8th International Conference on Applied Cryptography and Network 
Secur¬ty (ACNS'10 <http://www.tcgchina.org/ACNS2010/>), Beijing, China, 
22-25. Juni 2010.

Walter S. Baer, Nikita Borisov, George Danezis, Seda F. Guerses, Marek 
Klonowski,
Miroslaw Kutylowski, Ursula Maier-Rabler, Tal Moran, Andreas Pfitzmann, 
Bart Preneel,
Ahmad-Reza Sadeghi, Thierry Vedel, Tracy Westen, Filip Zagorski, William 
H. Dutton:
**Machiavelli Confronts 21st Century Digital Technology: Democracy in a 
Network Society.**
Social Science Research Network (SSRN) 
<http://papers.ssrn.com/sol3/papers.cfm?abstractid=1521222>

Serdar Cabuk, Chris I. Dalton, Konrad Eriksson, Dirk Kuhlmann, 
HariGovind V. Ramasamy, Gianluca Ramunno, Ahmad-Reza Sadeghi, Matthias 
Schunter, Christian Stüble:
**Towards automated security policy enforcement in multi-tenant virtual 
data centers.**
Journal of Computer Security, IOS Press, Vol. 18, Number 1, pp. 89-121, 2010

Emanuele Cesena, Hans Löhr, Gianluca Ramunno, Ahmad-Reza Sadeghi, Davide 
Vernizzi:
**Anonymous Authentication with TLS and DAA.**
3rd International Conference on Trust and Trustworthy Computing 
(TRUST'10 <http://www.trust2010.org/>)

Lucas Davi, Ahmad-Reza Sadeghi, Marcel Winandy:
**ROPdefender: A Detection Tool to Defend Against Return-Oriented 
Programming Attacks.**, PDF 
<http://www.trust.rub.de/media/trust/veroeffentlichungen/2010/03/20/ROPdefender.pdf>
Technical Report HGI-TR-2010-001

Alexandra Dmitrienko, Ahmad-Reza Sadeghi, Kari Kostiainen, Jan-Erik 
Ekberg, N. Asokan
**Key Attestation from Trusted Execution Environments.**
3rd International Conference on Trust and Trustworthy Computing 
(TRUST'10 <http://www.trust2010.org>), 21-23 Juni Berlin, Germany

Nils Gruschka, Meiko Jensen, Florian Kohlar, Lijun Liao
**On Interoperability Failures in WS-Security: The XML Signature 
Wrapping Attack.**
In E. Kajan: Electronic Business Interoperability: Concepts, 
Opportunities and Challenges, Information Science Reference, (to be 
published in 2011).

Nils Gruschka, Meiko Jensen:
**Attack Surfaces: A Taxonomy for Attacks on Cloud Services.**
Proceedings of the 3rd IEEE International Conference on Cloud Computing 
(IEEE CLOUD 2010), Miami, FL, USA.

Kristiyan Haralambiev, Tibor Jager, Eike Kiltz, and Victor Shoup:
**Simple and efficient public-key encryption from Computational 
Diffie-Hellman in the standard model.**
Proceedings of IACR PKC 2010. Full version available on Cryptology 
ePrint Archive Report 2010/033.

Wilko Henecka, Alexander May und Alexander Meurer:
**Correcting Errors in RSA Private Keys**
CRYPTO 2010, Santa Barbara, Californien, USA, 
http://www.iacr.org/conferences/crypto2010

Ralph Herkenhöner, Meiko Jensen, Henrich C. Pöhls, Hermann de Meer:
**Towards Automated Processing of the Right of Access in 
Inter-Organizational Web Service Compositions**
Proceedings of the IEEE 2010 International Workshop on Web Service and 
Business Process Security (WSBPS 2010), Miami, FL, USA.

Kimmo Järvinen, Vladimir Kolesnikov, Ahmad-Reza Sadeghi, and Thomas 
Schneider:
**Garbled Circuits for Leakage-Resilience: Hardware Implementation and 
Evaluation of One-Time Programs.**
12th International Workshop on Cryptographic Hardware and Embedded 
Systems (CHES'10), LNCS. Springer, 17-20 August 2010. 
http://thomaschneider.de/papers/JKSS10OTP.pdf

Shujun Li, Syed Ali Khayam, Ahmad-Reza Sadeghi, Roland Schmitz:
**Breaking a Virtual Password System Based on Randomized Linear 
Generation Functions.**
In IEEE ICC 2010 - Communication and Information System Security 
Symposium ('ICC'10 CISS' <http://www.ieee-icc.org/2010/>)

Hans Löhr, Marcel Winandy, Ahamd-Reza Sadeghi:
**Patterns for Secure Boot and Secure Storage in Computer Systems.**
4th International Workshop on Secure systems methodologies using 
patterns (Spattern 2010), 2010

Ahmad-Reza Sadeghi, Thomas Schneider and Vladimir Kolesnikov :
**Modular Design of Efficient Secure Function Evaluation Protocols.**
PDF 
<http://www.trust.rub.de/media/trust/veroeffentlichungen/2010/03/23/KSS10.pdf>
Cryptology ePrint Archive: Report 2010/079

Ahmad-Reza Sadeghi, Thomas Schneider, and Marcel Winandy:
**Token-based cloud computing - secure outsourcing of data and arbitrary 
computations with lower latency.**
3rd International Conference on Trust and Trustworthy Computing 
(TRUST'10) - Workshop on Trust in the Cloud, LNCS. Springer, 21-23 Juni 
2010. http://thomaschneider.de/papers/SSW10.pdf

Ahmad-Reza Sadeghi, Ivan Visconti, Christian Wachsmann
**PUF-Enhanced RFID Security and Privacy.**
2nd Workshop on Secure Component and System Identification SECSI'10 
<http://www.secsi-workshop.org/>), Köln, 26 – 27. April 2010.

Juraj Somorovsky, Meiko Jensen, Jörg Schwenk
**Streaming-based verification of XML Signatures in SOAP Messages.**
Proceedings of the IEEE 2010 International Workshop on Web Service and 
Business Process Security (WSBPS 2010), Miami, FL, USA.

Konrad Rieck, Guido Schwenk, Tobias Limmer, Thorsten Holz, Pavel Laskov
**Botzilla: Detecting the 'Phoning Home' of Malicious Software**
25th Symposium On Applied Computing (SAC 2010)

Andreas Dewald, Thorsten Holz, Felix C. Freiling
**ADSandbox: Sandboxing JavaScript to Fight Malicious Websites**
25th Symposium On Applied Computing (SAC 2010)

Clemens Kolbitsch, Thorsten Holz, Christopher Kruegel, Engin Kirda
**Inspector Gadget: Automated Extraction of Proprietary Gadgets from 
Malware Binaries**
IEEE Security and Privacy, Oakland

Gilbert Wondracek, Thorsten Holz, Engin Kirda, Christopher Kruegel
**A Practical Attack to De-Anonymize Social Network Users**
IEEE Security and Privacy, Oakland

Redaktion (Anja Nuß) Email: an at hgi.rub.de
Geschäftsführender Direktor (Prof. Dr. Jörg Schwenk) Email: 
Joerg.Schwenk at rub.de

-- 
Anja Nuß
Scientific Coordinator
Horst Görtz Institute
Room IC 4 / 147
Ruhr-University Bochum
DE-44780 Bochum, Germany
Phone: +49 (234) 32 - 27722
Fax: +49 (234) 32 - 14886
URL: www.hgi.rub.de