28. Newsletter des Horst Görtz Instituts für Sicherheit in der Informationstechnik Ruhr-Universität Bochum http://www.hgi.rub.de/hgi/newsletter/n28 ------------------------------------------------------------------------------------------- Steffen Schulz ist Gewinner ist des Dobbertin Preises 2008 http://www.hgi.rub.de/hgi/newsletter/n28#1 Prof. Dr. Jörg Schwenk Stellvertreter des Geschäftsführenden Direktors des Rechenzentrums http://www.hgi.rub.de/hgi/newsletter/n28#2 a-i3/BSI Symposium 2008 mit großer Beteiligung http://www.hgi.rub.de/hgi/newsletter/n28#3 Arbeitsgemeinschaft IT-Sicherheit http://www.hgi.rub.de/hgi/newsletter/n28#4 IT'S Breakfast 27.6.08, 9:00 http://www.hgi.rub.de/hgi/newsletter/n28#5 Seminartagung "Aktuelle Rechtsfragen von Internetportalen" am Lehrstuhl Prof. Dr. Borges http://www.hgi.rub.de/hgi/newsletter/n28#6 Herr Dr.-Ing. Marko Wolf schloß seine Dissertation mit der Note "sehr gut" ab http://www.hgi.rub.de/hgi/newsletter/n28#7 Xuan Chen und Christoph Löhr als Hacker für das HGI erfolgreich http://www.hgi.rub.de/hgi/newsletter/n28#8 Timo Kasper im Programmkomitee des vierten Workshops "RFID Security" http://www.hgi.rub.de/hgi/newsletter/n28#9 HGI SEMINARE http://www.hgi.rub.de/hgi/newsletter/n28#10 EINGELADENE VORTRÄGE http://www.hgi.rub.de/hgi/newsletter/n28#11 VERÖFFENTLICHUNGEN http://www.hgi.rub.de/hgi/newsletter/n28#12 ------------------------------------------------------------------------------------------- Steffen Schulz ist Gewinner ist des Dobbertin Preises 2008 Ziel des Dobbertin Preises ist es, Studenten der Sicherheit in der Informationstechnik, der Angewandten Informatik und der Elektrotechnik die Möglichkeit zu bieten, konkrete Sicherheitssysteme praktisch auf ihre Schwachstellen hin zu untersuchen und dadurch das erworbene, theoretische Wissen praktisch anwenden zu können. Gewinner ist, wer eine knifflige Aufgabe zum Thema IT-Sicherheit als Erster löst. Der oder die Sieger/-innen erhalten einen Wanderpokal, eine Urkunde sowie einen Buchpreis. Die Aufgabe der diesjährigen Crypto Challenge war ein Angriff auf eine leicht modifizierte openSSL-Variante unter realen Bedingungen. Steffen Schulz konnte diese Aufgabe durch einen geschickt gewählten, so genannten Chosen Ciphertext Angriff als schnellster lösen - und ist damit der Gewinner des Dobbertin Preis 2008. Die Preisverleihung fand am 6. Juni im Rahmen der ITS-Firmenkontaktmesse statt. Der Dobbertin Preis wird zu Ehren von Prof. Hans Dobbertin vergeben. Hans Dobbertin, Gründungsdirektor des HGI und Inhaber des Lehrstuhls für Kryptologie und Informationssicherheit der Ruhr-Universität Bochum von 2001-2006, entwickelte in den 1990er Jahren neue Methoden um Hash-Algorithmen der MD4-Familie zu brechen, und zeigte auf dass auch der Nachfolger MD5 Schwachstellen enthält. Unter anderem aufgrund dieser Arbeiten zählte er zu den besten Kryptologen der Welt, und wurde als "Deutschlands bester Codeknacker" bezeichnet. Sein Tod im Jahr 2006 war auch für die Kryptologie ein großer Verlust. Prof. Dr. Jörg Schwenk Stellvertreter des Geschäftsführenden Direktors des Rechenzentrums Das Rektorat hat in seiner Sitzung vom 06.05.2008 beschlossen, Prof. Dr. Jörg Schwenk auf Vorschlag des Senats vom 24.04.2008, zum Stellvertreter des Geschäftsführenden Direktors des Rechenzentrums für eine Amtszeit von 3 Jahren zu bestellen. a-i3/BSI Symposium 2008 mit großer Beteiligung Am 22. und 23. April fand in Bochum das 3. interdisziplinäre Symposium der Arbeitsgruppe Identitätsschutz im Internet (a-i3) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) unter Leitung der beiden HGI-Mitglieder Prof. Dr. Georg Borges und Prof. Dr. Jörg Schwenk statt. Über 140 Vertreter aus Unternehmen, Wissenschaft, Politik und Verbänden diskutierten aktuelle Sicherheits- und Identitätsfragen bei Internetportalen. Gegenstand der Tagung waren rechtliche und technische Aspekte bei Internetportalen mit Schwerpunkten auf Fragen der Authentisierung und der Haftung. Besondere Berücksichtigung fanden die von der Bundesregierung geplanten Bürgerportale unter Einschluss des elektronischen Personalausweises (ePA). Neben der Authentisierung ging es dabei insbesondere um den D-Mail-Dienst, der zur Erprobung ansteht, und das Konzept des Dokumentensafe. Zudem wurden die Einsatzmöglichkeiten der Bürgerportale für die Privatwirtschaft diskutiert, z.B. bei Angeboten im Online-Banking und E-Commerce. Außerdem wurden die aktuellen Entwicklungen des Identitätsmissbrauchs im Internet durch Phishing, Trojaner, Crimeware & Co. unter Einschluss der internationalen Strafverfolgung der Internetkriminalität behandelt. Ein weiterer Aspekt lag in den Verkehrssicherungspflichten des Internetnutzers und der Haftung im Zusammenhang mit dem einheitlichen europäischen Zahlungsverkehrsraum (SEPA). https://www.a-i3.org/content/view/1497/235/ Arbeitsgemeinschaft IT-Sicherheit Am 3.6. fand u.a. auf Initiative des Horst Görtz Instituts in Bochum die Auftaktveranstaltung der "Arbeitsgemeinschaft IT-Sicherheit" statt. Insgesamt waren über 60 Akteure der IT-Sicherheit aus der Region und dem übrigen Bundesgebiet anwesend. Wir wünschen der Initiative alles Gute und hoffen, dass Sie zu einem tragfähigen Fundament wird, in dem sich Firmen, Wissenschaft und Verbände der IT-Sicherheit zum Nutzen aller austauschen können. Am 10.9. wird im Zentrum für IT-Sicherheit in Bochum die Folgeveranstaltung statt finden. Über eine neu geschaffene Xing-Gruppe [https://www.xing.com/net/itsbreakfast/] können sich Interessierte austauschen. IT'S Breakfast 27.6.08, 9:00 Im Rahmen der Arbeitsgemeinschaft IT-Sicherheit wird ein monatliches ITS-Frühstück veranstaltet - jeweils am letzten Freitag im Monat. Das erste IT-Sicherheitsfrühstück "IT'S Breakfast" findet am Freitag, den 27.6. um 9:00 Uhr in der IHK Bochum [http://www.bochum.ihk.de/] statt. Eingeladen sind alle Interessierten rund um die IT-Sicherheit. Um vorherige Anmeldung bis 23.6. via https://registration.crypto.ruhr-uni-bochum.de/itsbreakfast/ wird gebeten. Seminartagung "Aktuelle Rechtsfragen von Internetportalen" am Lehrstuhl Prof. Dr. Borges Am 3. Juni 2008 veranstaltete der Lehrstuhl von Prof. Dr. Borges in Kooperation mit der Sozietät Freshfields Bruckhaus Deringer eine Seminartagung zum Thema "Aktuelle Rechtsfragen bei Internetportalen". Ziel war es, universitäre Ausbildung und Praxis zusammenführen. Daher war die Tagung der universitären und außeruniversitären Öffentlichkeit zugänglich. Über 70 Teilnehmer aus Ausbildung, Wissenschaft und Praxis beschäftigten sich mit aktuellen Themen, wie dem virtuellen Hausrecht, die Pflicht zum Schutz von Nutzerdaten, Aspekten des Vertragsverhältnisses zwischen Nutzer und Betreiber sowie Haftungs- und Beweisfragen beim Umgang mit Authentisierungsmedien. Die Tagung war Teil eines Seminars im Rahmen des juristischen Studiums an der Ruhr-Universität. Zu den jeweiligen Themen referierten Studenten als Teil ihrer Seminarleistung. Anschließend bezog ein Gastreferent von der Anwaltssozietät Freshfields Bruckhaus Deringer aus der Sicht der Praxis zum jeweiligen Thema Stellung. Im Anschluss daran erfolgten jeweils angeregte Diskussionen zum Thema unter Einbeziehung aller Teilnehmer. Eindrücke von der Veranstaltung finden Sie auf http://www.georgborges.de Herr Dr.-Ing. Marko Wolf schloß seine Dissertation mit der Note "sehr gut" ab Herr Dr.-Ing. Marko Wolf schloß seine Dissertation mit dem Titel Security Engineering for Vehicular IT Systems, Improving Trustworthiness and Dependability of Automotive IT Applications am 4. April 2008 mit der Note "sehr gut" ab. Betreuer war Prof. Dr. Christof Paar, Zweitgutachter war Herr Prof. Dr. Wilhem Schäfer von der Universität Paderborn. Xuan Chen und Christoph Löhr als Hacker für das HGI erfolgreich Als Hacker im Namen der IT-Sicherheit haben Xuan Chen und Christoph Löhr, zwei Studenten des Lehrstuhl für Netz- und Datensicherheit von Prof. Dr. Jörg Schwenk am Horst Görtz Institut für IT-Sicherheit, einen erfolgreichen Angriff auf Microsofts neues Identity-Management-System "CardSpace" gestartet. Sie konnten damit zeigen, dass ein Angreifer trotz der eingebauten Sicherheitsmaßnahmen auf die Identitätsdaten des Opfers zugreifen kann. Die Arbeitsgruppe ist international bekannt für ihre Arbeiten in Internetsicherheit und angewandte Kryptographie. Der Angriff und mögliche Gegenmaßnahmen sowie der Technische Bericht sind im Internet veröffentlicht: http://demo.nds.rub.de/cardspace Timo Kasper im Programmkomitee des vierten Workshops "RFID Security" Vom 9 -11 Juli 2008 findet der vierte Workshop "RFID Security" in Budapest statt. Diese Konferenz konzentriert sich auf Lösungsansätze für Sicherheit und Datenschutz in fortgeschrittenem kontaktlosen Technologien wie RFID. Timo Kasper vom Lehr- stuhl "Embedded Security" ist Mitglied des Programm-komitees. Thomas Eisenbarth, ebenso Mitarbeiter im Lehrstuhl "Embedded Security" wird einen der "invited talks" mit dem Titel " Open Sesame! How Secure are RFID Access Control Systems?" halten. Prof. Christof Paar ist Mitglied des Steering Committees. http://events.iaik.tugraz.at/RFIDSec08/index.htm HGI SEMINARE 10. April 2008 Jesse Walker "Distributed Trust in Community Networks" http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#a02 11. April 2008 Giovanni di Crescenzo Perfectly Secure Password Protocols in the Bounded Retrieval Model http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#a03 17. April 2008 Tibor Jager On Black-Box Ring Extraction and Integer Factorization http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#a04 24. April 2008 Martin Novotny und Andy Rupp Realtime A5/1 Attacks with Precomputed Tables http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#a05 8. Mai 2008 Sandra Steinbrecher Mehrseitige Sicherheit in Reputationssystemen http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#a06 15. Mai 2008 Steffen Schulz (Dobbertin Preis 2008) Bleichenbacher-Angriff auf SSL mit RSA-PKCS#1 http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#a07 21. Mai 2008 A. Moradi, Thomas Eisenbarth und T. Kasper "On the Power of Power Analysis in the Real World: A Complete Break of the KeeLoq Code Hopping Scheme" http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#a08 30. Mai 2008 Eike Kiltz Programmable Hash Funktions and Their Applications http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#a09 5. Juni 2008 Ralf Benzmüller Schadcode im Internet http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#a10 12. Juni 2008 Kerstin Lemke-Rust Multivariate Seitenkanalanalysen http://www.hgi.rub.de/hgi/hgi-seminar/aktuelles/#a11 EINGELADENE VORTRÄGE: Auf der Tagung "Software & Systems Quality Conference 2008", 15. - 18. April 2008 hat Prof. Dr.-Ing. Christof Paar folgenden Keynote-Vortrag gehalten "The Next 10 Years of IT Security: iPhone, Xbox and BMWs". Auf der Tagung "ECRYPT: Challenges and Perspectives for Academia and Industry" in Antwerpen, May 29, 2008; hat Prof. Dr.-Ing. Christof Paar folgenden Vortrag gehalten: "Constructive and Destructive Aspects of Embedded Security for Current and Future Cars". Am 5.5. 2008 hielt Prof. Dr. Jörg Schwenk beim IBM TEC Meeting in Stuttgart einen Vortrag zum Thema "HGI - mit Sicherheit vorne dabei". Auf der Konferenz "Workshop RFID Security: Theory and Practice" im Lorentz Center in Leiden, 26. - 29. März 2008 hat Prof. Dr. Christof Paar folgenden Vortrag gehalten: "The Constructive and Destructive Side of Modern Cryptography for RFID Security" Auf der Jahresfachkonferenz Datenschutz und Datensicherheit, der DuD 2008 in Berlin hat Prof. Dr. Ing. Christof Paar am 10. Juni folgenden Vortrag gehalten: "Schwachstellen bei Funktüröffnern und Verschlüsselung mit 1000 Gattern" Auf dem 7. XML-Signature Workshop in Hagenberg, Österreich, 19. - 20. Mai 2008 hat Lijun Liao folgende Vorträge halten: "Semanik für XML-Signatur" und "Sichere Webmail mit WS-Trust". Am 25. Juni hielten Dr. Christoph Wegener zusammen mit Dirk Birk auf der D.A.CH Security 2008 folgenden Vortrag Web Exploit Toolkits im Vergleich - Moderne Infektionsroutinen, http://www.syssec.at/dach08_programm/#t2s1b: * Malware gestern und heute * Moderne Infektionsroutinen * Funktionsweisen moderner Web Exploit Toolkits (WETs) * Verschiedene Web Exploit Toolkits im Vergleich * WETs in der Zukunft VERÖFFENTLICHUNGEN: Altmann, Kristina; Jager, Tibor; Rupp, Rupp, Andy (2008): On Black-Box Ring Extraction and Integer Factorization, in: 35th International Colloquium on Automata, Languages and Programming (ICALP) 2008. Vorläufige Version: http://eprint.iacr.org/2008/156 Bogdanov, Andrey; Eisenbarth, Thomas; Rupp, Andy; Wolf, Christopher (2008): Time-Area Optimized Public-Key Engines: MQ-Cryptosystems as Replacement for Elliptic Curves? , 10th Workshop on Cryptographic Hardware and Embedded Systems 2008 (to appear). Bogdanov, Andrey; Rupp, Andy; Ding, Jintai; Carter, Harold W. (2008): Fast Multivariate Signature Generation in Hardware: The Case of Rainbow, Sundar Balasubramanian, 19th IEEE International Conference Application-specific Systems, Architectures and Processors 2008 (to appear). Gajek, Sebastian; Manulis, Mark, Schwenk, Jörg (2008): Enforcing User-Aware Browser-Based Mutual Authentication with Strong Locked Same-Origin Policy. Akzeptiert für 13th Australasian Conference on Information Security and Privacy (ACISP 2008). Gendrullis, Timo; Novotny, Martin; Rupp, Andy (2008): "A Real-World Attack Breaking A5/1 within Hours" 10th Workshop on Cryptographic Hardware and Embedded Systems 2008 (to appear) Vorläufige Version: http://eprint.iacr.org/2008/147. Jager, Tibor; Jäkel, Heiko; Schwenk, Jörg (2008): Nutzung von selbstsignierten Client-Zertifikaten zur Authentifikation bei SSL/TLS; Sicherheit 2008: Sicherheit, Schutz und Zuverlässigkeit; in: Konferenzband der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2.-4. April 2008 im Saarbrücker Schloss. GI-LNI 128 2008 ISBN 978-3-88579-222-2. Manulis, Mark; Schwenk, Jörg (2008): Security Model and Framework for Information Aggregation in Sensor Networks. Akzeptiert für ACM Transactions on Sensor Networks, 2008. Möller, Bodo; Rupp, Andy (2008): Faster Multi-Exponentiation through Caching: Accelerating (EC)DSA Signature Verification, 6th Conference on Security and Cryptography for Networks 2008 (to appear), Vorläufige Version: http://eprint.iacr.org/2007/470. Oppliger, Rolf; Schwenk, Jörg; Helbach, Jörg (2008): Protecting Code Voting Against Vote Selling; Sicherheit 2008: Sicherheit, Schutz und Zuverlässigkeit; in: Konferenzband der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2.-4. April 2008 im Saarbrücker Schloss. GI-LNI 128 2008 ISBN 978-3-88579-222-2. Szerwinski, Robert; Güneysu, Tim (2008): "Exploiting the Power of GPUs for Asymmetric Cryptography" In: E. Oswald and P. Rohatgi (Eds.): CHES 2008, LNCS 5154, pp. 79-99