Wenn Kryptographie in einer technischen Umgebung wie einem
Computer-, Daten- oder Telefonnetz eingesetzt wird, hängt die
Sicherheit außer von rein kryptographischen Faktoren auch von
der technischen Einbettung der Verschlüsselungs- und
Signatur¬algorithmen ab.
Prominente Beispiele (für
fehlerhafte Einbettungen) sind EFAIL (efail.de), Angriffe auf
die WLAN-Verschlüsselungssysteme WEP und WPA (KRACK) und diverse
Angriffe auf TLS (Bleichenbacher, POODLE, DROWN, ROBOT).
Das Modul „Netzsicherheit“ beschäftigt sich mit konkreten Netzen
zur Datenübertragung und beleuchtet diese von allen Seiten auf
ihre Sicherheit hin.
Es umfasst folgende Teile:
* Sicherheit von HTTP (HTTP Authentication, Secure HTTP,
Architektur von SSL/TLS)
* Transport Layer Security (TLS1.2, Versionen SSL 2.0 bis TLS 1.3)
* Angriffe auf SSL und TLS (BEAST, CRIME, POODLE, Lucky13,
Bleichenbacher, DROWN, Heartbleed, Invalid Curve)
* Secure Shell - SSH
* das Domain Name System und DNSSEC (faktorisierbare Schlüssel)
* Sicherheit von Webanwendungen (HTML, URI, XSS, CSRF, SQLi, SSO)
* XML- und JSON-Sicherheit
Neben den Systemen selbst werden dabei auch publizierte Angriffe
auf diese Systeme besprochen; die Studierenden stellen selbst
wissenschaftliche Überlegungen zur Ver-besserung der
Sicherheit an.
- Kursleiter/in: Robert Simon Merget
- Kursleiter/in: Jens Müller
- Kursleiter/in: Jörg Schwenk