Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

German Research Center for Artificial Intelligence Informationssicherheit 2 Sommersemester 2010 Prof. Dr. Dieter Hutter Deutsches Forschungszentrum für.

Ähnliche Präsentationen


Präsentation zum Thema: "German Research Center for Artificial Intelligence Informationssicherheit 2 Sommersemester 2010 Prof. Dr. Dieter Hutter Deutsches Forschungszentrum für."—  Präsentation transkript:

1

2 German Research Center for Artificial Intelligence Informationssicherheit 2 Sommersemester 2010 Prof. Dr. Dieter Hutter Deutsches Forschungszentrum für Künstliche Intelligenz Cartesium: Raum 2.47 Tel

3 German Research Center for Artificial IntelligenceGenerelles 6 ETCS-Punkte Vorlesung –Dienstag 8 Uhr (c.t.) – 10 Uhr (MZH 5210) Übungen: –Dienstag10 – 12 Uhr (MZH 1110) Kenntnisse aus Informationssicherheit 1 sind (manchmal) hilfreich aber nicht nötig

4 German Research Center for Artificial Intelligence Folien, Übungsblätter, etc. Folien Folien sind auf Englisch (Notationen!) Folien der Vorlesung gibt es auf dem Web –http://www.informatik.uni-bremen.de/agbkb/lehre/sicherheit2/http://www.informatik.uni-bremen.de/agbkb/lehre/sicherheit2/ Folien sind (üblicherweise) nach der Vorlesung verfügbar Webseiten sind nur innerhalb der Uni Bremen verfügbar (VPN!) Übungen Übungsblätter gibt es auf dem Web (s.o.) Ausgabe immer Dienstags –Erstes Übungsblatt gibt es nächsten Dienstag Abgabe vor/während/nach der Vorlesung

5 German Research Center for Artificial IntelligenceLiteratur Foliensätze als Kernmaterial Ausgewählte Fachartikel als Zusatzmaterial Es gibt (noch) keine Bücher, die den Vorlesungsinhalt komplett erfassen Zum weiteren Stöbern –Dieter Gollmann: Computer Security (Wiley) –Matt Bishop: Computer Security (Addison Wesley) –Joachim Biskup: Security in Computing Systems (Springer)

6 German Research Center for Artificial IntelligencePrüfung Fachgespräch oder Modulprüfung –Anmeldefristen beachten! –Individuelle Termine nach Absprache zwischen Juli und September Fachgespräch –Voraussetzung: Erreichen von 50% der Punkte aus dem Übungsbetrieb Modulprüfung –Keine Abgabe der Übungsblätter nötig (aber dringend angeraten !)

7 German Research Center for Artificial Intelligence Security vs. Safety Safety –Verhindern von Systemzuständen, die Benutzer gefährden –Bedrohung von Innen Fehlfunktion des Systems (z.B. Ampelanlage, Autopilot, etc.) –Fail–Safe Konzepte, Fehlertoleranz Security –Angriffe durch böswillige Teilnehmer, Beobachter etc. –Bedrohungen von Aussen –Analyse: was kann ein Angreifer Modellierung des Systems und (!) seiner (bösartigen) Umwelt Analyse der möglichen Situationen In dieser Vorlesung beschäftigen wir uns mit Security !

8 German Research Center for Artificial Intelligence Modellierung von Sicherheit Was macht ein sicheres System aus? –Vertraulichkeit, Integrität, Verfügbarkeit, … Was sind potentielle Bedrohungen eines Systems? –Was sind die Fähigkeiten eines Angreifers –Modellierung eines Angreifers Wann ist man sich sicher, dass ein System sicher ist? –Entwicklungsmethodik für sichere Systeme –Verifikation, mathematische Beweise

9 German Research Center for Artificial IntelligenceSicherheitsprotokolle Modellierung von Sicherheitsprotokollen –Abstraktion von unnötigen Details, aber was ist unnötig? Wann ist ein Protokoll sicher? Modellierung des Angreifers –Was kann der Angreifer, Wieviel Ressourcen hat der Angreifer? –Nachrichten abfangen, erzeugen, manipulieren, alle Schlüssel aufzählen ? Vom Testen zur Verifikation –von unendlich vielen möglichen Protokollläufen zu endlich vielen Testfällen –Theorie der Sicherheitsprotokolle und Formale Verifikation

10 German Research Center for Artificial IntelligenceSicherheitspolitiken Modellierung von formalen Sicherheitspolitiken –Zugriffskontrolle vs. Informationsflusstechniken Was lernt ein Beobachter aus einem Systemverhalten? –Hoffentlich nichts, aber… Modellierung und Verifikation von Informationsflusseigenschaften –Typsysteme für Programme, Programmanalysetechniken –Algebraische Modellierung für (abstrakte) Spezifikationen Anwendungen: Semantic Web, Service Orientierte Architekturen

11 German Research Center for Artificial Intelligence Introduction

12 German Research Center for Artificial Intelligence Security Objectives Privacy : –Confidentiality (of data) –Anonymity (of participants) Integrity : –Integrity (of data) –Authentication (of participants) Liability : –Availability (of resources) –Accountability (of participants)

13 German Research Center for Artificial Intelligence owners countermeasures threat agents vulnerabilities risk assets threats to reduce leading to that increase that may be reduced by that may possess to impose give rise to wish to abuse and/or may damage may be aware of that exploit Wish to minimize value to Security (Common Criteria)

14 German Research Center for Artificial IntelligenceConfidentiality Confidentiality (of owners data): No unauthorized participant (user) can discover content of (storage) locations and/or messages (communication). Encryption of data (Cryptography) Hiding of data (Steganography) Restricting (read) access to data (Access Control) Who is allowed to read which data under which conditions ? (Security policies)

15 German Research Center for Artificial IntelligenceAnonymity Anonymity: A participant (user) can access resources or services without disclosing his/her identity. Pseudonyms Network: Proxy-server, Mixes Who communicates with whom or reads which data ?

16 German Research Center for Artificial Intelligence GSM Location System Syslog XP 3.7 Location Retrieval: Participant: Koch Contacting... Mapping: zooming... Participant Koch in City: Hamburg Area: Inner City Jungfernstieg / Neuer Wall MSISDN: Häuble Starting... Locked

17 German Research Center for Artificial Intelligence GSM Location System Syslog XP 3.7 Participant Koch arrested !

18 German Research Center for Artificial IntelligenceIntegrity Integrity (of owners data): No unauthorized participant (user) can manipulate data. (Digital) Signatures Hash functions Restricting (write) access to data (Access Control) Who is allowed to change which data under which conditions ? (Security policies)

19 German Research Center for Artificial IntelligenceAuthentication Authentication: Identity of a participant (user) can be determined (checked, proved). Passwords (shared knowledge) Biometric methods Public – Key infrastructures Who is using a system or sending a message?

20 German Research Center for Artificial IntelligenceAvailabilty Availability: No unauthorized impairment of services is possible. Examples: Blocking CPU-resources by Java-applets Flooding network with s

21 German Research Center for Artificial IntelligenceAccountability Accountability: Sender and/or receiver of information cannot (successfully) deny having sent or received information. Communication takes place in a provable way. Proof of communication (active agreement) required. Digital Signatures

22 German Research Center for Artificial Intelligence Security Objectives Security objectives are not always independent. Examples: Anonymity weakens Accountability Confidentiality weakens Accountability Access Control relies on Authentication

23 German Research Center for Artificial Intelligence Multilateral Security Each participant has its own security issues Each participant can formulate its own issues Conflicts have to be resolved and enforced

24 German Research Center for Artificial Intelligence Recht auf informationelle Selbstbestimmung Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus Mit dem Recht auf informationelle Selbstbestimmung wäre eine Gesellschaftsordnung nicht vereinbar, in der Bürger nicht mehr wissen könnten, wer was wann und bei welcher Gelegenheit über sie weiss. (Volkszählungsurteil des BVG, )

25 German Research Center for Artificial Intelligence Towards Certified Secure Systems Existing systems are insufficent with respect to – –Usage – –Administration – –Construction Problems – –Consequences of individual decisions? – –Are all security aspects covered? Challenges of IT-security – –Increased complexity of systems and their requirements – –Formal foundation of system-wide security guarantees – –Intuitive understanding of security in the large

26 German Research Center for Artificial Intelligence Schwerpunktprogramm (DFG): Zuverlässig sichere Softwaresysteme Schwerpunktprogramm Zuverlässig Sichere Softwaresysteme Formales Sicherheits- Engineering Zuverlässig sichere Softwaresysteme Wunsch nach Sicherheitsinformation Anforderungs-definition Systemarchitektur Verfeinerung / Dekomposition Fundierte und verständliche Sicherheitsgarantie Reparatur Erklärung der Sicherheitsaspekte Formal abstrahierte Sicherheitseigenschaft Abstraktion der Eigenschaften Modellierung der Sicherheits- anforderungen Formal spezifizierte Sicherheitseigenschaft Formal fundiertes Zertifikat für Sicherheitsgarantie Implementierung/ Modellierung Programm / Formale Systemspezifikation Sicherheits-analyse Initiatoren: Heiko Mantel (Darmstadt) Dieter Hutter (Bremen) Günter Müller (Freiburg) Tobias Nipkow (München) Gregor Snelting (Karlsruhe)

27 German Research Center for Artificial IntelligenceModelingWorldWorld ModelModel Interpretation (relating results in the model to the real world) Abstraction (not all aspects are modeled) (calculus to reason inside model) Models are specific to individual purposes e.g. Cryptography Cryptography Security protocols Security protocols Security policies Security policies … …

28 German Research Center for Artificial Intelligence Modeling Security Aspects Modeling both: system and attacker ! Interpretation Abstraction World Model

29 German Research Center for Artificial Intelligence Calculi for Modeling Executional models –We want to compute / reason in the model ! Mathematical models –Numerical calculations Logical models –Symbolic calculations –Operations on syntactical entities –Semantic interpretation of syntactical entities

30 German Research Center for Artificial Intelligence Example: Evaluation of Boolean ! true ! true ! false ! false ! n ! m ! n ! m ! true ! true ! n ! m ! n ! m ! false ! false ! true ! true ! false ! false ! true ! true If n and m are equal If n and m are not equal

31 German Research Center for Artificial Intelligence Security Aspects Security engineering and its modeling –Description and analysis of security mechanisms cryptography: basic mechanisms ) special lecture building secure systems on a sound scientific (mathematical) basis: formal approaches ( ) verification of solutions) existing technical solutions as background - Development in-the-large part of general software engineering assessment of security features examples for real systems


Herunterladen ppt "German Research Center for Artificial Intelligence Informationssicherheit 2 Sommersemester 2010 Prof. Dr. Dieter Hutter Deutsches Forschungszentrum für."

Ähnliche Präsentationen


Google-Anzeigen