Wenn nicht anders angegeben, findet das Seminar immer Donnerstags um 11:00 Uhr im Raum IC 4/161 statt.

Wenn eingeladene externe Gäste vortragen, kann es zu Terminabweichungen kommen.

Im Wintersemester 2007/08 wird das Seminar von Biljana Cubaleska(Lehrstuhl für Systemsicherheit) organisiert.

Mo. 22. Okt. 2007
Raum IC 4/39-41
Bailey Daniel WARP: Wireless Authenticator Research Project
25. Oktober 2007 Prof. Dr. Daniel J. Bilar Flying below the Radar: Practical and Theoretical Malware Challenges
8. November 2007 Lijun Liao Signieren mit Chipkartensystemen in unsicheren Umgebungen
15. November 2007 Dr. Guido Blady Punktezählalgorithmen für den Hecke-Operator und Anwendungen auf Modulkurven von Geschlecht 4
22. November 2007 Dr. Shujun Li Multimedia Encryption: Problems, Incompatibilities, and New Perspectives
29. November 2007 Patrick Stewin Beyound Secure Channels
6. Dezember 2007 Amir Moradi DPA-Resistant Logic Styles and Power Efficiency
13. Dezember 2007 Dr. Frederik Armknecht Algebraic Attacks on Stream Ciphers
10. Januar 2008 Maike Ritzenhofen Solving systems of modular equations in one variable
17. Januar 2008 Alberto Escalante A Privacy-Protecting Multi-Coupon Scheme with Stronger Protection against Splitting
24. Januar 2008 To be announced To be announced
31. Januar 2008 Matthias Niesing EAC-PKI für elektronische Reisedokumente
7. Februar 2008 Thomas Schneider A Practical Universal Circuit Construction and Secure Evaluation of Private Functions
21. Februar 2008 Ivan Visconti Co-Sound ZK Proofs with Public Keys

Bailey Daniel, RSA Laboratories:
WARP: Wireless Authenticator Research Project

Motivated by the difficulties of static passwords, we explore the security and usability benefits of equipping users with an extremely limited, wireless (radio-frequency), output-only device. While it may seem counter-intuitive that a token that accepts no inputs and broadcasts its output using an untrusted medium can provide any security benefits, we propose and analyze a family of authentication and encryption protocols using a unidirectional token. Since unidirectional security devices seem mostly unexplored in the literature, we appeal to analysis frameworks for established protocols like Bellare and Rogaway's AKE. We additionally offer protocols of increasing cryptographic sophistication while still relying on a unidirectional token. Our prototype wireless security-token works with standard, Wi-Fi-enabled personal computers and requires no special-purpose hardware or drivers. Thanks to a new tunneling protocol, our token allows a computer to conduct an ongoing conventional 802.11 session and simultaneously receive token emissions.

Prof. Dr. Daniel J. Bilar, Wellesley College, Massachusetts (USA):
Flying below the Radar: Practical and Theoretical Malware Challenges

We shall discuss the question how to tackle the detection of highly evolved, modern malware. We first show the limited results of structural analysis and some worrisome trends. Given the empirical practical (and perhaps fundamentally theoretical) limitations of traditional `white-box' AV approaches, we sketch moving beyond predominantly byte sequence-matching white-box AV premised on classic Turing Machine, function-based assumptions towards iterative games and black-box process modeling, as expressed by interactive computing models. If time permits, we shall scare the audience with malware to come: k-ary, Satan, IC and Quantum malware.

The slides of the talk are available here.

Lijun Liao, Lehrstuhl für Netz- und Datensicherheit, Ruhr-Universität Bochum:
Signieren mit Chipkartensystemen in unsicheren Umgebungen

Alle heutigen Implementierungen von HBCI sind durch Trojanische Pferde kompromittierbar. Vor dem Hintergrund der Kriminalisierung von Malware-Attacken stellen wir hier eine sichere Variante mit Klasse-3-Lesern vor, die selbst bei einem kompromittierten PC nicht angreifbar ist.

Dr. Guido Blady, Lehrstuhl für Systemsicherheit, Ruhr-Universität Bochum:
Punktezählalgorithmen für den Hecke-Operator und Anwendungen auf Modulkurven von Geschlecht 4

Elliptische und hyperelliptische Kurven bilden auf dem heutigem Stand eine solide Basis für Kryptografie und sind wegen ihrer günstigen strukturellen Eigenschaften besonders geeignet für Anwendungen mit starken Platzeinschränkungen, wie z.B. eingebettete Systeme. In der Gesamtheit aller Kurven machen die elliptischen und hyperelliptischen Kurven aber nur einen sehr kleinen Teil aus: der große Rest, die sogenannten nichthyperelliptischen Kurven, haben die selben algorithmischen Eigenschaften und bieten aufgrund ihrer Vielfalt ein (noch junges) Forschungsgebiet für kryptografisch geeignete Kurvenformen.

Mein Vortrag leistet einen Beitrag dazu, diese Kurven für die Kryptografie zu erschließen. Es wird eine spezielle Klasse von Kurven – die Modulkurven – vorgestellt, welche viele nichthyperelliptische Kurven enthält. Diese Kurvenklasse erlaubt eine spezielle Art von linearen Abbildungen – den Hecke-Operatoren – welche effektiv berechenbar sind und die Anzahl der Kurvenpunkte über einem endlichen Körper anzugeben vermögen, was ein wesentlicher Schritt auf dem Weg zu Erstellung eines kurvenbasierten Kryptosystems ist. Ich stelle einen Algorithmus zur Berechnung dieser Operatoren vor und gebe eine theoretische und praktische Analyse des Laufzeitverhaltens. Die Hauptarbeit dieses Algorithmus ist die Aufzählung teilerfremder Zahlenpaare, was durch ein Siebverfahren ähnlich dem Sieb des Eratosthenes durchgeführt wird. Dieser Vortrag setzt grundlegende Kenntnisse über Kurven (Geschlecht, Divisorklassengruppe,…) voraus.

Dr. Shujun Li, FernUniversität Hagen:
Multimedia Encryption: Problems, Incompatibilities, and New Perspectives

Due to the rapid progress of multimedia and network technologies, multimedia has been transmitted more and more frequently via open networks, which leads to natural concerns about data security. The simplest way to achieve multimedia encryption is to encrypt the whole multimedia stream with any traditional cipher. This naive encryption approach has some problems and cannot support some special requirements of multimedia encryption. As alternative solutions, since 1990s, a large number of multimedia encryption algorithms have been proposed, some of which are actually specific configurations of traditional ciphers for multimedia encryption purposes. Unfortuantely, cryptanalytic results have shown security problems of many multimedia encryption schemes, and also trade-offs between security and other aspects of the overall performance. Some initial research has also shown that the trade-offs are due to some incompatibilities between the encryption techniques involved and the syntax format of the multimedia encoding standards. Therefore, to ultimately solve some problems with multimedia encryption, these incompatibilities have to be studied thoroughly and some new ideas have to be introduced on how to design next-generation multimedia encoding standards.

Patrick Stewin, Lehrstuhl für Systemsicherheit, Ruhr-Universität Bochum:
Beyound Secure Channels

A Trusted Channel is a secure communication channel which is cryptographically bound to the state of the hardware and software configurations of the endpoints. In this talk, we describe secure and flexible mechanisms to establish and maintain Trusted Channels which do not have the deficiencies of previous proposals. We also present a concrete implementation proposal based on Transport Layer Security (TLS) protocol, and Trusted Computing technology. We use Subject Key Attestation Evidence extensions to X.509v3 certificates to convey configuration information during key agreement (TLS handshake). The resulting session key is kept within the Trusted Computing Base, and is updated in a pre-determined manner to reflect any detected change in the local configuration. This allows an endpoint to detect changes in the configuration of the peer endpoint while the Trusted Channel is in place, and to decide according to a local policy whether to maintain or tear down the Trusted Channel.

Amir Moradi, Lehrstuhl für Kommunikatiossicherheit, Ruhr-Universität Bochum:
DPA-Resistant Logic Styles and Power Efficiency

During the last years, several logic styles have been proposed as cell level DPA countermeasure. Each one has its own advantages and disadvantages, and their level of resistance depend on several parameters such as routing capacitances, time-of-evaluation, and memory effect. However, they all have in common that their power consumption is much more than the corresponding CMOS circuit. Therefore, they are not suitable in power-critical applications such as RFID and SOC.
The talk starts with an introduction to DPA-resistant logic styles proposed so far (e.g. Dual-Rail Precharge (DRP) logics, Random Switching Logic (RSL), and Masked Dual-rail Pre-charge Logic (MDPL)), and points out some new efforts to design a low power DPA-resistant logic style.

Dr. Frederik Armknecht, Lehrstuhl für Systemsicherheit, Ruhr-Universität Bochum:
Algebraic Attacks on Stream Ciphers

Due to their efficency, stream ciphers are widely used in practice (e.g., mobile phones) to ensure the secrecy of transmitted data. Modern cryptographic techniques made it possible to improve the resistance against well known attacks like correlation attacks.
In 2002, a new kind of attack was proposed: algebraic attacks. As opposed to other attacks, the effort of algebraic attacks is only polynomial in the key size if certain conditions are met. Consequently, they proved to be more successful against certain stream ciphers than all other kind of attacks known before (e.g., against the keystream generator used in the Bluetooth standard).
The talk gives an introduction to the field of algebraic attacks and points out some developments.

Maike Ritzenhofen, Lehrstuhl für Kryptologie und IT-Sicherheit, Ruhr Universität Bochum
Solving systems of modular equations in one variable

We address the problem of polynomial time solving univariate modular equations with mutually co-prime moduli. For a given system of equations we determine up to which size the common roots can be calculated efficiently. We further determine the minimum number of equations which suffice for a recovery of all common roots. The result that we obtain is superior to Håstad's original RSA broadcast attack, even if Håstad's method is combined with the best known lattice technique due to Coppersmith. Namely, our reduction uses a slightly different transformation from polynomial systems to a single polynomial. Thus, our improvement is achieved by optimal polynomial modelling rather than improved lattice techniques. A typical application for our algorithm is an improved attack on RSA with a smaller number of polynomially related messages.

Alberto Escalante, Lehrstuhl für Systemsicherheit, Ruhr-Universität Bochum:
A Privacy-Protecting Multi-Coupon Scheme with Stronger Protection against Splitting

A multi-coupon represents a collection of k coupons that a customer can buy from a vendor, and later redeem to him in exchange for certain goods or services, such as discounts or prepaid items. Recently, Nguyen (FC 2006) introduced an unforgeable privacy-protecting multi-coupon system with constant complexity for issuing and redemption of multi-coupons. In his scheme, sharing of coupons is discouraged through a property called weak unsplittability, where sharing of a single coupon implies sharing of the whole multi-coupon (all-or-nothing sharing). Previous schemes still lack some features required for many applications in practice, and also stronger forms of unsplittability are desirable. In this talk, we present the basic principles of multi-coupon schemes. Then, we introduce a new security model with stronger definitions, and finally, we describe a concrete realization, where single coupons within a multi-coupon may represent different goods or services, have independent validity periods, and must be redeemed sequentially ensuring a stronger version of unsplittability compared to all-or-nothing sharing. The complexity of the proposed scheme is linear in k for the generation of multi-coupons and constant for each redeemed single coupon.

To be announced
To be announced

To be announced.

Matthias Niesing, secunet Security Networks AG
EAC-PKI für elektronische Reisedokumente

Die Einführung elektronischer Reisedokumente hat nicht nur zu Anpassungen auf der Seite des Ausweisdokumentes (ePass) geführt, sie bewirkte gleichzeitig, dass auch die organisatorischen Prozesse sowie die Infrastrukturen zur Ausstellung bzw. zur Prüfung der Dokumente auf die neuen Anforderungen abgestimmt werden mussten. Eine wesentliche Neuerung beim ePass besteht u. a. darin, dass Informationen über den Ausweisinhaber nicht mehr nur optisch auf dem Reisedokument aufgebracht sind, sondern auch elektronisch darin gespeichert werden.
Zur Gewährleistung der Authentizität und Integrität der gespeicherten Informationen sowie deren Schutz vor unerlaubten Zugriff wurde es notwendig, entsprechende Sicherheitsmechanismen zu etablieren. In diesem Zusammenhang veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technische Richtlinie "Advanced Security Mechanisms for Machine Readable Travel Documents - Extended Access Control (EAC)". Dieses Verfahren beschränkt den Zugriff auf die im ePass gespeicherten Fingerabdrücke auf autorisierte Lesegeräte, d. h. auf Lesegeräte die sich mithilfe von Public Key Zertifikaten gegenüber dem ePass-Chip als berechtigt ausweisen können. Weiterhin erzwingt Extended Access Control auch eine starke Verschlüsselung der übertragenen Daten. Die für dieses Verfahren erforderliche PKI steht im Mittelpunkt des Vortrages.

Thomas Schneider, Universität Erlangen-Nürnberg
"A Practical Universal Circuit Construction and Secure Evaluation of Private Functions"

SFE (Yao, Fairplay) stellt sicher, dass die Eingabedaten beider Parteien geheim bleiben, während die zu berechnende Funktion beiden bekannt ist (max, avg, median, ...). In manchen Anwendungen besitzt eine Partei eine geheime Funktion und die andere (oder beide) geheime Daten (z.B. credit checking, background- and medical history checking, no-fly-list checking, mobile code, ...). Dieses Problem wird SFE of private functions (PF-SFE) genannt und lässt sich - wie allseits bekannt - durch Evaluation eines universellen Schaltkreises (UC), der mit der gewünschten Funktion programmiert wird auf ein Standard SFE Protokoll reduzieren. Die bisher einzige asymptotisch optimale Konstruktion eines UC (Valiant76) basiert auf universellen Graphen und hat eine Komplexität ~ 19 n log n (n=#Gatter). Die zur Zeit durchgehend als Referenz verwendete SFE Implementierung Fairplay kann Schaltkreise mit bis zu wenigen Millionen Gattern berechnen. Wir präsentieren eine praktische UC Konstruktion mit Komplexität ~ 1.5 n (log n)2 + 2.5 n log n, die für praktische Schaltkreisgrößen bis zu 50% kleiner ist als Valiant's. Diese haben wir als Erweiterung von Fairplay implementiert und können damit PF-SFE für (vom Fairplay Compiler automatisch generierte) Schaltkreise mit wenigen Tausend Gattern praktisch demonstrieren.

Ivan Visconti, Universita degli Studi di Salerno (Italien)
"Co-Sound ZK Proofs with Public Keys"

Complexity leveraging is a recently explored technique for proving the soundness of some special zero-knowledge proof systems. Unfortunately this technique requires the existence of complexity-theoretic primitives secure against superpolynomial-time adversaries. In this work we focus on removing these non-standard assumptions in some specific settings by presenting co-sound argument systems. Our techniques show new applications of the notion of co-soundness previously defined and used in [Groth et al., EUROCRYPT 2006] and can be of interest in other contexts where complexity leveraging is used. This is a joint work with Carmine Ventre (University of Liverpool, UK).