Themenvorschläge für IT-Security Workshop 22. September bis 2. Oktober 2014

Selbstauskunft "in-the-middle"

Nach der reinen Lehre über die Nutzung des neuen Personalausweises muss jeder (Dienstanbieter) der Datengruppen bzw. Funktionen aus dem nPA mit Hilfe der eID-Funktion nutzen will, ein gültiges Berechtigungszertifikat von der Vergabestelle vorweisen und einen eID-Server betreiben (oder den entsprechenden eID-Service anmieten). Das ist sicher etwas aufwändig. Geht es nicht etwas einfacher? Wenn man sich an der Lösung Sofortüberweisung orientiert, so könnte man auf die Idee kommen, einem Nutzer mittels "man-in-the-middle" quasi dabei über die Schulter zu schauen, wie er eine Onlineauthentisierung gegenüber einem Dienstanbieter mit Berechtigungszertifikat durchführt. Schreiben Sie eine App, die eine Piggyback-Authentisierung via den vom Bürgerportal der Stadt Würzburg angebotenen Dienst zur Selbstauskunft nutzt. Das Lesegerät für den nPA soll über Bluetooth mit dem nPA verbunden werden und der Leser soll eine eigenen PIN-Eingabe und Anzeige der Transaktion ermöglichen.

Links:

• Selbstauskunft
• Sofortüberweisung

Smartcards und Dämone virtuell

Für die Ein- oder Anbindung von Smartcards an IT-Systeme bestehen weitreichende Standards. Aus Sicht eines Betriebsystems oder Klienten, der darauf zugreift ist eine Smartcard nicht als solche erkennbar, insbesondere ist es nicht erforderlich, dass es sich um eine physische Karte handelt, oder dass diese sich wirklich räumlich in der Nähe zu dem verwendeten IT-System befindet. Hierraus ergeben sich diverse spannende Möglichkeiten zur Emulation oder Weiterleitung von Smartcards oder deren virtuellen Entsprechungen.

vpcd für Windows (eventuell Kopplung an entfernten Reader)

Einen Dämon der virtuelle oder auch echte Smartcards an ein System anbindet vpcd ist für Linux in den Grundzügen auf unter Windows und schon vorhanden. Ihre Aufgabe wäre es,diesen konsequent nach Windows zu portieren, und damit im Idealfall eine Einbindung eines entfernten Lesers an ein Windowssystem zu ermöglichen.

PKCS#15-Implementierung für vicc

Für das Framework zum erstellen von virtuellen Smartcards vicc wäre es sehr nützlich auch die Funktionalität von PKCS#15 bereitzustellen.

Links:

• Virtual Smartcard
• PKCS#1

Mentor:

Rund um den eIDClientCore

Der eIDClientCore ist eine in Entwicklung befindliche Bibliothek, die die Kernfunktionalitäten für den Zugriff auf die eID-Funktion des neuen Personalausweises (nPA) und des elektronischen Aufenthaltstitels (eAT) bereitstellt.

GUI mit PIN-Management

Schreiben Sie ein portables GUI für den eIDCC, womit als erstes schon mal das PIN-Management (PIN-Neusetzen, ggf. PUK, ) realisiert werden kann.

Initialisierung, Signaturerstellung mit dem eIDClientCore

(Entwicklung nur in der BDr, Erfahrung mit Android notwendig!) Der neue Personalausweis ist als sichere Signaturerstellungseinheit vorbereitet. Um diese Funktion zu nutzen, kann ein QES-Signaturzertifikat passend zum auf der Karte generierten Schlüssel nachgeladen werden. In wieweit kann zumindest funktional, der eIDCC hierzu verwendet werden?

Links:

• eIDCC

Mentor:

RSA-PSK Unterstützung für mod_ssl

Das Verschränken von kryptografisch mit SSL/TLS gesicherten Kanälen ist in vielen Webanwendungen wünschenswert. Bislang ist ein Handshake der einen "pre shared key" in Kombination mit RSA gemäß RFC 4279 bereitstellt, für openSSL nur als Patch (http://www.internet-sicherheit.de/service/tools/patches/) (auch für eine nicht ganz aktuelle Version) verfügbar. In dem Apachemodul mod_ssl ist diese Methode jedoch noch gar nicht vorgesehen. Hier wäre es sinnvoll, Ideen zu entwickeln, wie RSA-PSK hier Unterstützung finden kann.

Mentor:

Pseudonyme Signaturen mit dem nPA=

In dem Paper "Domain-Specific Pseudonymous Signatures for the German Identity Card" wird ein Vorschlag gemacht, wie pseudonyme Signaturen dem (zukünftigen nPA) gemacht werden können. Das ermöglicht Signaturen mit dem nPA die nicht als QES angesehen werden, sondern eher zur Bestätigung oder Auslösung von Transaktionen genutzt werden können. Lesen und verstehen Sie die Ideen. Implementieren Sie dieses Protokoll, indealer Weise in OpenPACE.

Links:

• Domain-Specific Pseudonymous Signatures for the German Identity Card

Mentor:

UEFI Secure Boot

Setzen sie eine virtuelle Maschine auf, welche UEFI Secure Boot verwendet.

• OpenSUSE mit UEFI Secure boot in KVM: http://en.opensuse.org/openSUSE:UEFI_Secure_boot_using_qemu-kvm
• Secure Boot in Fedora: http://mjg59.dreamwidth.org/12368.html (allgemein gibt es in dem Blog viele Informationen zu Secure Boot)

Alternativ/zusätzlich sind auch (U)EFI rootkits dieses Jahr ein heißes Thema:

• https://program.sigint.ccc.de/fahrplan/system/attachments/24/original/efi_rootkits.pdf
• http://ho.ax/De_Mysteriis_Dom_Jobsivs_-_Syscan.pdf

Mentor:

AeroFS überwachen

Der "nicht-Cloud-Speicher" AeroFS speichert im Gegensatz zu Diensten wie Dropbox oder Wuala die Daten ausschließlich auf den eigenen Rechnern und synchronisiert zwischen diesen via LAN oder Internet verschlüsselt. Jedenfalls wird das behauptet. Man könnte sich anschauen, inwiefern es möglich ist, dieses Versprechen zu überprüfen.

• https://www.aerofs.com/

Weitere kreative Vorschläge sind willkommen!

Viel Erfolg!

Kontakt: Wolf Müller