Das Seminar wird von den Lehrstühlen IT-Sicherheit & Kryptographie (ITSC, Prof. Dobbertin) und Kommunikationssicherheit (COSY, Prof. Paar) organisiert. Das Seminar findet in der Regel jede Woche montags um 13:00 c.t. statt.

Die Vorträge werden zwischen dem NA-5/64 (Mathematik) und dem IC-4/39 (E-Technik) an der RUB alternieren. Die Vorträge werden zwischen 30-45 min. dauern.

25. April 2005 Marcel Holtman Bluetooth Security Unleashed
2. Mai 2005 Jan Pelzl, COSY (RUB) Hardware-based Factorization of Integers with the Elliptic Curve Method
9. Mai 2005 Michael Schmidt, Universität Siegen Subscriptionless Mobile Networking - A Secure, Privacy-Preserving Ad-hoc Service Architecture
23. Mai 2005 Dario Carluccio, COSY (RUB) Electromagnetic Side Channel Analysis for Embedded Crypto Devices
30. Mai 2005 Thomas Dullien, RUB Structural Comparison of Executable Objects
6. Juni 2005 Stefan Strobel, cirosec GmbH Sicherheit von Web-Applikation und E-Business-Systemen
13. Juni 2005 Marco Macchetti, Politecnico di Milano Efficient Approaches for Hardware S-box DPA Resistance: a Proposal
20. Juni 2005 Selcuk Baktir, CRIS, WPI (USA) Finite Field Polynomial Multiplication in the Frequency Domain with Application to Elliptic Curve Cryptography
27. Juni 2005 Andrey Bogdanov, IEM, Universität Duisburg-Essen ABC: A Family of Fast Stream Ciphers
4. Juli 2005 Björn Fay, Justus-Liebig-Universität Gießen Anwendung und Sicherheit der Random-Oracle Methode
11. Juli 2005 Kerstin Lemke, COSY (RUB) A Stochastic Model for Differential Side Channel Cryptanalysis
18. Juli 2005 Philipp Südmeyer, COSY (RUB) Performanzorientierte Implementierung des COMP128
25. Juli 2005 Jens-Peter Kaps, CRIS, WPI (USA) Cryptography for Ultra-Low Power Devices, Securing Pervasive Computing

Marcel Holtmann:
Bluetooth Security Unleashed

Begriffe wie BlueBugging, BlueSnarfing und BlueJacking sind durch die Medien publiziert worden. Alle drei haben etwas mit den Sicherheitslücken in Mobiltelefonen mit Bluetooth Unterstützung zu tun.Diese Vortrag beschäftigt sich mit genau diesen und ähnlichen Problemen. Es werden die Mechanismen der Bluetooth-Sicherheit mit Hilfe von frei verfügbaren Tools und dem offiziellen Linux Bluetooth Stack BlueZ (www.bluez.org) vorgestellt. Dabei geht es aber nicht um wilde Crypto-Algorithmen, sondern um die Funktionsweise des Pairings und das Aktivieren von verschlüsselten Verbindungen. Bluetooth abstrahiert alle komplexen Vorgänge hinter dem Host Controller Interface (HCI) und somit auch die Authentifizierung und Verschlüsselung. Dieser Abstraktion sind natürlich Grenzen auferlegt, die im Laufe der Vortrags erläutert werden. Durch fehlerhafte Umsetzung oder mangelndem Verständnis entstehen dann die aufgeführten Sicherheitslücken.

Die meisten Präsentationen über Bluetooth-Sicherheit beschäftigen sich mit den theoretischen Grundlagen der Authentifizierung und Verschlüsselung, wie z.B. dem eingesetzten Safer+ Algorithmus. Diese Vortrag wählt genau den entgegengesetzten Weg und betrachtet alles aus der Sicht des Protokoll Stacks und dessen Anwendungen.

Jan Pelzl, COSY (RUB):
Hardware-based Factorization of Integers with the Elliptic Curve Method

The security of the most popular asymmetric cryptographic scheme RSA depends on the hardness of factoring large numbers. The best known method for factorization large integers is the General Number Field Sieve (GNFS). Recently, architectures for special purpose hardware for the GNFS have been proposed (TWIRL, YASD, SHARK). One important step within the GNFS is the factorization of mid-size numbers for smoothness testing, an efficient algorithm for which is the Elliptic Curve Method (ECM). Since the smoothness testing is also suitable for parallelization, it is promising to improve ECM via special-purpose hardware. We show that massive parallel and cost efficient ECM hardware engines can improve the cost-time product of the RSA moduli factorization via the GNFS considerably.

The computation of ECM is a classical example for an algorithm that can be significantly accelerated through special-purpose hardware. In this work, we present an efficient hardware implementation of ECM to factor numbers up to 200 bits, which is also scalable to other bit lengths. For proof-of-concept purposes, ECM is realized as a software-hardware co-design on an FPGA and an embedded microcontroller. This appears to be the first work on a hardware implementation of ECM, and the first description of GNFS acceleration through hardware-based ECM.

Michael Schmidt, Universität Siegen:
Subscriptionless Mobile Networking - A Secure, Privacy-Preserving Ad-hoc Service Architecture

As ad-hoc networking systems like WLAN and Bluetooth go into mainstream, a new model of location-based service architectures arises that competes with "classic" location-based service architectures like WAP over GSM/GPRS. The new model benefits from both lower costs (due to the use of royalty-free radio technologies) and lower technical and administrational overhead. The 'Subscriptionless Mobile Networking' project outlines an architecture that provides state-of-the art security with an emphasis on user anonymity and privacy. It uses a slightly modified TCP/IP stack with HTML/HTTP-based data transmission and Bluetooth as link layer, and is realized as open source software. 

Dario Carluccio, COSY (RUB)
Electromagnetic Side Channel Analysis for Embedded Crypto Devices

Low cost cryptographic devices have been a booming market in the past years. These devices are in use for security services such as ticketing, access-control, and electronic payment. The security services often require that the owner of the device is not able to read out or modify the secret data (cryptographic keys and unique IDs) stored. The interfaces for communication, clock and power supply are either galvanic (contact-based or radio frequency (RF) based.

Side channel cryptanalysis includes elegant methods to extract cryptographic keys by exploiting the physical leakage of the device.

I will introduce the physics and the measurment of electromagnetgic radiation. Furthermore I will give experimental results for an Atmel ATmega-163 smartcard based microcontroller.

Finaly I will present first results for the Mifare DESFire, which is a state of the art contactless smartcard.

Thomas Dullien, RUB:
Structural Comparison of Executable Objects

The disclosure of critical security vulnerabilities in open-source software differs from the disclosure of critical security vulnerabilities in closed-source software: Due to the transparency of an open-source patch, all details about the vulnerability are public from the moment of the publication of the patch onwards. Closed-source vendors refuse to many details about their fixed vulnerabilities in the belief that it is infeasible to reverse-engineer the vulnerability given two executables.

The talk presents a structural approach that applies graph theory to the problem of comparing two executables. A method that allows to iteratively construct an isomorphism between the functions, basic blocks, and finally the instructions of two executables is presented. Such an isomorphism has multiple interesting applications: It allows rapid reverse engineering of security updates, automatic classification of malware and detection of code theft.

Stefan Strobel, cirosec GmbH:
Sicherheit von Web-Applikation und E-Business-Systemen

In den letzten Jahren bestanden IT-Sicherheitsprojekte vor allem aus dem Aufbau von Firewalls für die unterschiedlichsten Anwendungen. Seit für die Kommunikation mit Kunden und Partnern immer neue web-basierte Anwendungen aufgebaut werden und immer mehr Ports der existierenden Firewalls geöffnet werden müssen, stellt sich die Frage ob die bisher verfolge "Einmauerungs-Strategie" noch sinnvoll ist. Untersuchungen zeigern, dass trotz hochmoderner Firewalls mindestens 50% aller webbasierten Systeme angreifbar sind.

Angriffsmöglichkeiten auf Webserver sind vor allem Probleme der Anwendungsebene. Sie beruhen auf Fehlern in der Webserver-Software, aber auch in kleinen Details aller anwendungsspezifischen Scripte und Programme. Nur mit einem guten Verständnis dieser Fehler und wie man sie ausnutzen kann, ist ein sinnvoller Schutz möglich.

Im Vortrag werden daher einige Angriffsmöglichkeiten auf Webserver und E-Business Systeme wie SQL-Hacking, Stealth Commanding, Cookie-Poisoning, Parameter Tampering und auch Hidden Manipulation mit anschaulichen Beispielen vorgetragen.

Für den Schutz vor Angriffen auf der Anwendungsebene werden zusätzliche Mechanismen benötigt, die im Vortrag ausführlich erläutert werden. Moderne Produkte adressieren dieses Problem mit neuen Analysemethoden und Filterung auf Anwendungsebene. Trusted Operating Systeme als sichere Plattformen können den üblichen Hacker-Methoden entgegen wirken, indem sie die auch bei Fehlern in Server-Diensten die Plattform vor dem Angreifer schützen.

Marco Machetti, Politecnico de Milano:
Efficient Approaches for Hardware S-box DPA Resistance: a Proposal

In this seminar I will present a novel design methodology for the hardware implementation of a particular class of vectorial Boolean functions, namely that of non-linear bijective functions. Instances of this kind are commonly used as basic building blocks in most symmetric key cryptographic algorithms and are simply known as substitution boxes (S-boxes). The proposed design technique is aimed at thwarting a class of side channel attacks against such cryptographic hardware, which has gained particular relevance in the last few years, that of differential power analysis (DPA) attacks. An important aspect of the suggested approach is that the cost of applying the countermeasure is kept low, in terms of silicon process overheads (only standard CMOS gates are used), area requirement, average power consumption and latency, when comparing to other known hardware countermeasures that work at the logic gate level. 

Selcuk Baktir, CRIS, WPI (USA):
Finite Field Polynomial Multiplication in the Frequency Domain with Application to Elliptic Curve Cryptography

The fast Fourier transform (FFT) based multiplication method originally proposed for integer multiplication provides an extremely efficient method with the best asymptotic complexity, i.e. O(n log_n loglog_n), for multiplication of n-bit integers, or polynomials of degree n. Unfortunately, the FFT based method bears significant overhead due to the conversions between the time and frequency domains. This makes the original FFT method impractical for multiplication of short operands as used in many applications.

In this talk, we will introduce an efficient algorithm for computing Montgomery products of polynomials in the frequency domain. Our algorithm performs the entire modular multiplication (including the reduction step) in the frequency domain, and thus eliminates costly back and forth conversions between the frequency and time domains. We will show that in platforms where multiplication operation is expensive, with careful selection of parameters, frequency domain multiplication of finite field elements can be achieved more efficiently than multiplication in the time domain for operand sizes relevant to elliptic curve cryptography.

Andrey Bogdanov, IEM, Universität Duisburg-Essen:
ABC: A Family of Fast Stream Ciphers

Während des Vortrags werde ich eine elementare Einführung in T-Funktionen geben und auf einige ihrer kryptographisch relevanten Eigenschaften eingehen. Unter Anderem werde ich klare Kriterien für bijektive und transitive T-Funktionen geben und einige explizite Klassen solcher Funktionen erwähnen. Dann werde ich unsere neue ABC Stromchiffre präsentieren, die auf T-Funktionen und einigen Resultaten aus Automatentheorie basiert. Die Chiffre wurde auf der SKEW-Konferenz am 27.05.05 in Aarhus präsentiert und partizipiert im Stromchiffrenwettbewerb von ECRYPT. In ABC haben wir den Begriff von "counter-dependence" neu aufgefasst. Das Design ist simpel und sehr flexibel, was den Speicherverbrauch, Schlüsseleinsatz und die Wahl konkreter Abbildungen angeht. Außerdem konnten wir solche Eigenschaften wie u.A. die lange Periode, hohe lineare Komplexität und Gleichverteilung der ABC-Outputfolge beweisen. Die ABC Stromchiffre ist sehr schnell in Software und gewährleistet über 7 Gbps für unseren C-Code auf einem Pentium 4 Prozessor.

Am Ende des Vortrags werden CDs mit einer Reihe von Artikeln und Präsentationen über unsere $p$-adische Methode in Kryptographie und mit einer detaillierten Beschreibung der ABC-Stromchiffre frei ausgeteilt werden.

Björn Fay, Justus-von-Liebig Universität Gießen:
Anwendung und Sicherheit der Random-Oracle Methode

In der modernen Kryptologie beruht die Sicherheit vieler Protokolle auf Beweisen und nicht auf der bloser Hoffnung, auch wenn viele Beweise nur zeigen können, dass eine Attacke mindestens so schwer ist wie das Lösen eines als allgemein schwer anerkannten Problems (meist aus der Zahlentheorie). Hierzu wird dann oft die Random-Oracle Methode herangezogen, bei der im Beweis Hashfunktionen durch Zufallsfunktionen ersetzt werden.

Bei den Problemen aus der Zahlentheorie auf denen die Sicherheit vieler Protokolle beruht ist inzwischen viel Forschung betrieben worden und zum Teil auch bekannt, dass es keine allgemeinen Algortihmen zur Lösung dieser Probleme gibt. Ebenso kennt man auch Spezialfälle in denen das Lösen dieser Probleme leicht ist und die man in den Protokollen ausschließt. Die Sicherheit ist hier also ziemlich gut begründet und ausgelotet.

Bei der Verwendung der Random-Oracle Methode hingegen beruht die Sicherheit auf dem reinen Glauben, dass schon alles gut geht, so lange man die Hashfunktion "genügend unabhängig vom Protokoll" auswählt. Man kennt allerdings bereits Beispiele die zu absolut unsicheren Protokollen führen, egal welche Hashfunktion man verwendet. Auch wenn diese Protokolle etwas gekünstelt sind und niemand solche oder ähnliche Protokolle in der Praxis einsetzen würde, ist doch nicht klar in wie weit und unter welchen Bedingungen das Verwenden der Random-Oracle Methode zu sicheren Protkollen führt.

In dem Vortrag werden zunächst die Random-Oracle Methode und eines der (obigen) Beispiel-Protkolle vorgestellt. Anschließend werden dann mögliche Aus- bzw. Umwege gezeigt, die es zur Zeit in der Literatur schon gibt, sowie ein Ausblick auf (un-)mögliche Ansätze, das Problem etwas allgemeiner zu behandeln und evtl. (teilweise) zu lösen.

Kerstin Lemke, COSY (RUB):
A Stochastic Model for Differential Side Channel Cryptanalysis

This talk presents a new approach to optimize the efficiency of differential side channel cryptanalysis against block ciphers by advanced stochastic methods. We approximate the real leakage function within a suitable vector subspace so that under appropriate conditions profiling requires only one test key. For the key extraction we present a `minimum principle' that solely uses deterministic data dependencies and the `maximum likelihood principle' that additionally incorporates the characterization of the noise revealed during profiling. The theoretical predictions are accompanied and confirmed by experiments. We demonstrate that the adaptation of probability densities is clearly advantageous regarding the correlation method, especially, if multiple leakage signals at different times can be jointly evaluated. Though our efficiency at key extraction is limited by template attacks profiling is much more efficient which is highly relevant if the designer of a cryptosystem is bounded by the number of measurements in the profiling step.