Mes­sa­ge-Le­vel Se­cu­ri­ty

NUMMER: 141252
KÜRZEL: MLS
DOZENT: Dr.-Ing. Chris­ti­an Main­ka
FAKULTÄT: Fakultät für Informatik
SPRACHE: Deutsch
SWS: 4 SWS
CREDITS: 5 CP
WORKLOAD:
ANGEBOTEN IM: jedes Wintersemester

INFOS


PRÜFUNGUNGSFORM

Schriftliche Modulabschlussprüfung über 120 Minuten


LERNFORM

Vor­le­sung und Übun­gen


LERNZIELE

Stu­die­ren­de ver­fü­gen nach er­folg­rei­chem Ab­schluss der Vor­le­sung über ein um­fas­sen­des Ver­ständ­nis der Si­cher­heit der fol­gen­den Tech­no­lo­gi­en: Da­ten­for­ma­te im Web, Au­then­ti­fi­zie­rungs- und Au­to­ri­sie­rungs­pro­to­kol­len und Do­ku­men­ten­for­ma­ten. Durch die pra­xis­na­he Ar­beit im Rah­men der Übun­gen bauen die Stu­den­ten ihre Re­cher­che-Fä­hig­kei­ten aus und er­ler­nen wei­ter­hin den si­che­ren Um­gang mit ver­schie­de­nen Pe­ne­tra­ti­ons­werk­zeu­gen. Am Ende der Vor­le­sung sind die Stu­den­ten in der Lage sys­te­ma­tisch um­fas­sen­de Si­cher­heits­ana­ly­sen sowie prak­ti­sche An­grif­fe auf die be­han­del­ten Tech­no­lo­gi­en selb­stän­dig durch­zu­füh­ren. Wei­ter­hin sind die Stu­den­ten in der Lage das er­lern­te Wis­sen auf an­de­re Tech­no­lo­gi­en zu über­tra­gen und kom­ple­xe­re An­griffs­mög­lich­kei­ten selbst durch krea­ti­ves Den­ken zu fin­den und aus­zu­nut­zen.


INHALT

Die Vor­le­sung be­han­delt das Thema Mes­sa­ge-Le­vel Se­cu­ri­ty. An­ders als bei SSL/TLS, wel­ches einen si­che­ren Trans­port­ka­nal auf­baut, geht es bei Mes­sa­ge-Le­vel Se­cu­ri­ty darum, Nach­rich­ten - wie bei­spiels­wei­se HTTP Re­quests – auf Nach­rich­ten­ebe­ne zu schüt­zen. Hier­bei kommt es auf die kor­rek­te Ver­wen­dung von kryp­to­gra­phi­schen Ver­fah­ren als auch eine si­che­re Be­reit­stel­lung von API-Schnitt­stel­len an.

Im Rah­men der Vor­le­sung wer­den ver­schie­de­ne Ver­fah­ren von Mes­sa­ge-Le­vel Se­cu­ri­ty be­leuch­tet.

Die Vor­le­sung be­han­delt dabei ver­schie­de­ne Ver­fah­ren von Mes­sa­ge-Le­vel Se­cu­ri­ty:

- JSON ist eine uni­ver­sel­le Da­ten­be­schrei­bungs­spra­che, die unter an­de­rem von jedem mo­der­nen Brow­ser un­ter­stützt wird. Mit­hil­fe von JSON-Si­gna­tu­re und JSON-En­cryp­ti­on JSON Nach­rich­ten di­rekt ge­schützt wer­den. Doch reicht das aus oder kön­nen diese Si­cher­heits­me­cha­nis­men um­gan­gen wer­den?
- OAuth ist eine sehr weit ver­brei­te­te Tech­no­lo­gie zum De­le­gie­ren von Be­rech­ti­gun­gen und wird heut­zu­ta­ge von allen gro­ßen Web­sei­ten wie Face­book, Goog­le, Twit­ter, Git­hub, uvm. ein­ge­setzt. Die Vor­le­sung er­klärt tief-ge­hen­de De­tails und gän­gi­ge Feh­ler/An­grif­fe, die bei der Ver­wen­dung von OAuth ent­ste­hen kön­nen.
- Open­ID Con­nect ist eine Er­wei­te­rung für OAuth, um Be­nut­zer auf Web­sei­ten mit­hil­fe eines Dritt­an­bie­ters zu au­then­ti­fi­zie­ren (Sin­gle Sign-On, z.B. Goog­le Login). Open­ID Con­nect hat sich in den letz­ten Jah­ren zum de­fac­to Stan­dard für Web-Log­ins über Dritt­an­bie­ter eta­bliert. In der Vor­le­sung wird de­tail­liert er­klärt, was die Un­ter­schie­de zu OAuth sind und wel­che An­grif­fe auf Open­ID Con­nect mög­lich sind.
- SAML steht für Se­cu­ri­ty As­ser­ti­on Mar­kup Lan­gua­ge und ist ein Sin­gle Sign-On Stan­dard, der wei­te­re Ver­brei­tung in Busi­ness-Sze­ne­ri­en fin­det. Al­ler­dings exis­tie­ren zahl­rei­che An­grif­fe von Iden­ti­täts­dieb­stahl bis hin zu Re­mo­te Code Exe­cu­ti­on.
- PDF ist das ver­mut­lich am wei­tes­ten ver­brei­tets­te uni­ver­sel­le Do­ku­men­ten­aus­tausch­for­mat. In der Vor­le­sung wer­den die Si­cher­heits­ei­gen­schaf­ten von PDFs be­leuch­tet. Ins­be­son­de­re wer­den hier­bei di­gi­ta­le Si­gna­tu­ren un­ter­sucht, wel­che z.B. bei Ver­trä­gen zum Ein­satz kom­men. Wird es uns ge­lin­gen, si­gnier­te Do­ku­men­te zu fäl­schen?

Den Stu­den­ten wird ein tief-ge­hen­des Ver­ständ­nis der Sys­te­me ver­mit­telt. Zu allen un­ter­such­ten Sys­te­men wer­den An­grif­fe vor­ge­stellt, die so­wohl aus der aka­de­mi­schen Welt als auch aus der Pen­tes­ting-Com­mu­ni­ty stam­men. Die Übun­gen bie­ten die Mög­lich­keit, das er­lern­te Wis­sen prak­tisch aus­zu­pro­bie­ren. Hier­zu er­hal­ten die Stu­den­ten eine vir­tu­el­le Ma­schi­ne.


VORAUSSETZUNGEN

Keine


VORAUSSETZUNGEN CREDITS

Bestandene Modulabschlussprüfung


EMPFOHLENE VORKENNTNISSE

- Grund­kennt­nis­se HTTP, HTML und Kryp­to­gra­phie
- Grund­kennt­nis­se der eng­li­schen Spra­che, da dies die Spra­che von Fo­li­en­satz, Übungs­auf­ga­ben und Vir­tu­el­le Ma­schi­ne sind


LITERATUR