German Research Center for Artificial Intelligence Informationssicherheit 2 Sommersemester 2010 Prof. Dr. Dieter Hutter Deutsches Forschungszentrum für.

Slides:

Advertisements

Ähnliche Präsentationen

Cadastre for the 21st Century – The German Way

Advertisements

Service Oriented Architectures for Remote Instrumentation

PSI and Competition The General Framework

Security and Trust in the Future Internet

E-Solutions mySchoeller.com for Felix Schoeller Imaging

H - A - M - L - E - IC T Teachers Acting Patterns while Teaching with New Media in the Subjects German, Mathematics and Computer Science Prof. S. Blömeke,

DNS-Resolver-Mechanismus

R. Zankl – Ch. Oelschlegel – M. Schüler – M. Karg – H. Obermayer R. Gottanka – F. Rösch – P. Keidler – A. Spangler th Expert Meeting Business.

Windows Vista für Entwickler

INSURANCE AUDIT FINANCIAL SERVICES Risk margins: An area of conflict between accounting and supervision Joachim Kölschbach Vienna, October 2005.

© 2006 Open Grid Forum OGF26 - Chapel Hill, May 2009 Addressing Metadata Challenges OGF Digital Repositories RG.

Die Senatorin für Arbeit, Frauen, Gesundheit, Jugend und Soziales ESF-Verwaltungsbehörde Freie Hansestadt Bremen Hildegard Jansen, head of Unit labour.

Dr. M. Schlottke Common Description of Web Services Source: P. Gerbert, 2002 Web Services allow to establish B2B e-commerce on the fly Web Services allow.

Fakultät für informatik informatik 12 technische universität dortmund Optimizations Peter Marwedel TU Dortmund Informatik 12 Germany 2009/01/17 Graphics:

Fakultät für informatik informatik 12 technische universität dortmund Universität Dortmund Middleware Peter Marwedel TU Dortmund, Informatik 12 Germany.

Peter Marwedel TU Dortmund, Informatik 12

DissOnline / Digitale Dissertationen Dr. P. Schirmbacher Offene Standards und internationale / nationale Abstimmung Gliederung: 1.Open Archive.

study of medicine no obligatory training content in almost all medical schools (universities) in Germany elective subject for medical students during.

Rethinking Linguistic Relativity John A. Lucy. Gliederung Einführung in das Problem Kritik an bisherigen Untersuchungen der Anthropologen Psycholinguisten.

Änderungen bewerten Change_Request.doc Änderungen bewerten Projekt-

15. Mai 2000 Sicherheit im Internet: Zuverlässigkeit im elektron. Zahlungsverkehr.

1 Geistes-, Natur-, Sozial- und Technikwissenschaften – gemeinsam unter einem Dach The Academic Information Domain DGI Top-Tech-Trends Panel 2010 Dr. Wolfram.

Insulin pump therapy in adults allows metabolic control at lower rates of hypoglycemia along with reduced insulin doses – results from the nationwide DPV-survey.

Deutsche Gesellschaft für Technische Zusammenarbeit GmbH Integrated Experts as interface between technical cooperation and the private sector – An Example.

Seminar Telematiksysteme für Fernwartung und Ferndiagnose Basic Concepts in Control Theory MSc. Lei Ma 22 April, 2004.

Methods Fuzzy- Logic enables the modeling of rule based knowledge by the use of fuzzy criteria instead of exact measurement values or threshold values.

Comparative Adjectives. The term comparison of adjectives is used when two or more persons or things have the same quality (height, size, color, any characteristic)

Die Hausaufgaben: Machen Sie Ü. 7 auf S. 29

Medical Universities‘ Teaching Staff Training in Bochum Germany

Seite 1 © Bundesbeauftragter für den Datenschutzhttp:// Towards New Ethics in Information Society 1. New Technological Trends 2. The States.

Machen Sie sich schlau am Beispiel Schizophrenie.

Institut AIFB, Universität Karlsruhe (TH) Forschungsuniversität gegründet 1825 Towards Automatic Composition of Processes based on Semantic.

| DC-IAP/SVC3 | © Bosch Rexroth Pneumatics GmbH This document, as well as the data, specifications and other information set forth in.

Centre for Public Administration Research E-Government for European Cities Thomas Prorok

BAS5SE | Fachhochschule Hagenberg | Daniel Khan | S SPR5 MVC Plugin Development SPR6P.

Bundesamt für Wehrtechnik und Beschaffung THE COST EFFECTIVE DEVELOPMENT OF HLA FEDERATIONS FOR COMPUTER- ASSISTED EXERCISES (CAX) K. Pixius 23-Sep-02.

Neno Loje Berater & MVP für Visual Studio ALM und TFS (ehemals VSTS) Hochqualitative Produkte mit Visual Studio & TFS 2010.

Frank Fischer + Bernhard Frank Microsoft Deutschland GmbH.

Quelle: Standish Group, 2006 Fourth Quarter Research Report, CHAOS Research Results.

INTAKT- Interkulturelle Berufsfelderkundungen als ausbildungsbezogene Lerneinheiten in berufsqualifizierenden Auslandspraktika DE/10/LLP-LdV/TOI/

© Apr-14 Prof. Dr. Christian Zich, Folie 1 Unternehmensführung / Sendung 11 Neue Managementtrends II.

Cyber-Security und Datenschutz in der Cloud Wie passt das zusammen?

What is it? Why use it? the Accusative What does it sound like?

Tage der Woche German Early Level Montag Dienstag Mittwoch Donnerstag

Einführung Bild und Erkenntnis Einige Probleme Fazit Eberhard Karls Universität Tübingen Philosophische Fakultät Institut für Medienwissenschaft Epistemic.

Berner Fachhochschule Hochschule für Agrar-, Forst- und Lebensmittelwissenschaften HAFL Recent activities on ammonia emissions: Emission inventory Rindvieh.

Ein Projekt des Technischen Jugendfreizeit- und Bildungsvereins (tjfbv) e.V. kommunizieren.de Blended Learning for people with disabilities.

Talking about yourself

Microsoft Cloud Day Herzlich willkommen!. Microsoft Cloud Day MSDN Veranstaltung Die Cloud Plattform als Erfolgsbaustein – Wie Sie als Softwarefirma von.

FORSCHUNGSINSTITUT FÜR ÖFFENTLICHE VERWALTUNG BEI DER DEUTSCHEN HOCHSCHULE FÜR VERWALTUNGSWISSENSCHAFTEN SPEYER Dr. Sonja Bugdahn 1 Can New Regulators.

Berner Fachhochschule Hochschule für Agrar-, Forst- und Lebensmittelwissenschaften HAFL 95% der Ammoniakemissionen aus der Landwirtschaft Rindvieh Pflanzenbau.

Thomas Claudius Huber Senior Consultant Trivadis AG WCF RIA Services Datengetriebene Apps.

Ciiema CITEM - Dr. Siegl VU Dr. Manfred Siegl ENTWURF, ERRICHTUNG, BETRIEB VON DATENNETZEN VU Dr. Manfred Siegl

KIT – die Kooperation von Forschungszentrum Karlsruhe GmbH und Universität Karlsruhe (TH) Vorlesung Knowledge Discovery - Institut AIFB Tempus fugit Towards.

Ambient Intelligence WS 10/11

2 Exkurs: Der personenzentrierte Ansatz nach Carl R. Rogers

Lehrstuhl für Steuerrecht und Öffentliches Recht Prof. Dr. Roland Ismer MSc Econ. (LSE)/Prof. Dr. Klaus Meßerschmidt Grundlagen Staats- und Verwaltungsrecht.

1 Intern | ST-IN/PRM-EU | | © Robert Bosch GmbH Alle Rechte vorbehalten, auch bzgl. jeder Verfügung, Verwertung, Reproduktion, Bearbeitung,

Development Effectiveness High Level Forum IV Busan, Südkorea 29. Nov. bis 1. Dez Busan Partnership for Effective Development Cooperation, Dez

Adjective Endings Nominative & Accusative Cases describing auf deutsch The information contained in this document may not be duplicated or distributed.

Selectivity in the German Mobility Panel Tobias Kuhnimhof Institute for Transport Studies, University of Karlsruhe Paris, May 20th, 2005.

Technische Universität München 1 CADUI' June FUNDP Namur G B I The FUSE-System: an Integrated User Interface Design Environment Frank Lonczewski.

TUM in CrossGrid Role and Contribution Fakultät für Informatik der Technischen Universität München Informatik X: Rechnertechnik und Rechnerorganisation.

Andreas Burger ZENTRUM FÜR MEDIZINISCHE LEHRE RUHR-UNIVERSITÄT BOCHUM Irkutsk October 2012 Report about the lecture "Report of the TEMPUS IV- Project Nr.

VO G6 H. Gottweis - SoSe 2oo8: (2) Was ist Policy Analyse? VO G6: Einführung in die Politikfeldanalyse 2. Stunde am 3. April 2008: Was ist Policy.

OTTO-VON-GUERICKE-UNIVERSITÄT MAGDEBURG Fakultät für Verfahrens- und Systemtechnik Institut für Apparate- und Umwelttechnik INNOVATION AND TECHNICAL PROGRESS:

Technische Universität München Fakultät für Informatik Computer Graphics SS 2014 Rüdiger Westermann Lehrstuhl für Computer Graphik und Visualisierung.

Leonardo da Vinci Zukunftsbau GmbH European basic qualifications for building professions.

Literary Machines, zusammengestellt für ::COLLABOR:: von H. Mittendorfer Literary MACHINES 1980 bis 1987, by Theodor Holm NELSON ISBN

Gregor Graf Oracle Portal (Part of the Oracle Application Server 9i) Gregor Graf (2001,2002)

Präsentation transkript:

German Research Center for Artificial Intelligence Informationssicherheit 2 Sommersemester 2010 Prof. Dr. Dieter Hutter Deutsches Forschungszentrum für Künstliche Intelligenz Cartesium: Raum 2.47 Tel

German Research Center for Artificial IntelligenceGenerelles 6 ETCS-Punkte Vorlesung –Dienstag 8 Uhr (c.t.) – 10 Uhr (MZH 5210) Übungen: –Dienstag10 – 12 Uhr (MZH 1110) Kenntnisse aus Informationssicherheit 1 sind (manchmal) hilfreich aber nicht nötig

German Research Center for Artificial Intelligence Folien, Übungsblätter, etc. Folien Folien sind auf Englisch (Notationen!) Folien der Vorlesung gibt es auf dem Web – Folien sind (üblicherweise) nach der Vorlesung verfügbar Webseiten sind nur innerhalb der Uni Bremen verfügbar (VPN!) Übungen Übungsblätter gibt es auf dem Web (s.o.) Ausgabe immer Dienstags –Erstes Übungsblatt gibt es nächsten Dienstag Abgabe vor/während/nach der Vorlesung

German Research Center for Artificial IntelligenceLiteratur Foliensätze als Kernmaterial Ausgewählte Fachartikel als Zusatzmaterial Es gibt (noch) keine Bücher, die den Vorlesungsinhalt komplett erfassen Zum weiteren Stöbern –Dieter Gollmann: Computer Security (Wiley) –Matt Bishop: Computer Security (Addison Wesley) –Joachim Biskup: Security in Computing Systems (Springer)

German Research Center for Artificial IntelligencePrüfung Fachgespräch oder Modulprüfung –Anmeldefristen beachten! –Individuelle Termine nach Absprache zwischen Juli und September Fachgespräch –Voraussetzung: Erreichen von 50% der Punkte aus dem Übungsbetrieb Modulprüfung –Keine Abgabe der Übungsblätter nötig (aber dringend angeraten !)

German Research Center for Artificial Intelligence Security vs. Safety Safety –Verhindern von Systemzuständen, die Benutzer gefährden –Bedrohung von Innen Fehlfunktion des Systems (z.B. Ampelanlage, Autopilot, etc.) –Fail–Safe Konzepte, Fehlertoleranz Security –Angriffe durch böswillige Teilnehmer, Beobachter etc. –Bedrohungen von Aussen –Analyse: was kann ein Angreifer Modellierung des Systems und (!) seiner (bösartigen) Umwelt Analyse der möglichen Situationen In dieser Vorlesung beschäftigen wir uns mit Security !

German Research Center for Artificial Intelligence Modellierung von Sicherheit Was macht ein sicheres System aus? –Vertraulichkeit, Integrität, Verfügbarkeit, … Was sind potentielle Bedrohungen eines Systems? –Was sind die Fähigkeiten eines Angreifers –Modellierung eines Angreifers Wann ist man sich sicher, dass ein System sicher ist? –Entwicklungsmethodik für sichere Systeme –Verifikation, mathematische Beweise

German Research Center for Artificial IntelligenceSicherheitsprotokolle Modellierung von Sicherheitsprotokollen –Abstraktion von unnötigen Details, aber was ist unnötig? Wann ist ein Protokoll sicher? Modellierung des Angreifers –Was kann der Angreifer, Wieviel Ressourcen hat der Angreifer? –Nachrichten abfangen, erzeugen, manipulieren, alle Schlüssel aufzählen ? Vom Testen zur Verifikation –von unendlich vielen möglichen Protokollläufen zu endlich vielen Testfällen –Theorie der Sicherheitsprotokolle und Formale Verifikation

German Research Center for Artificial IntelligenceSicherheitspolitiken Modellierung von formalen Sicherheitspolitiken –Zugriffskontrolle vs. Informationsflusstechniken Was lernt ein Beobachter aus einem Systemverhalten? –Hoffentlich nichts, aber… Modellierung und Verifikation von Informationsflusseigenschaften –Typsysteme für Programme, Programmanalysetechniken –Algebraische Modellierung für (abstrakte) Spezifikationen Anwendungen: Semantic Web, Service Orientierte Architekturen

German Research Center for Artificial Intelligence Introduction

German Research Center for Artificial Intelligence Security Objectives Privacy : –Confidentiality (of data) –Anonymity (of participants) Integrity : –Integrity (of data) –Authentication (of participants) Liability : –Availability (of resources) –Accountability (of participants)

German Research Center for Artificial Intelligence owners countermeasures threat agents vulnerabilities risk assets threats to reduce leading to that increase that may be reduced by that may possess to impose give rise to wish to abuse and/or may damage may be aware of that exploit Wish to minimize value to Security (Common Criteria)

German Research Center for Artificial IntelligenceConfidentiality Confidentiality (of owners data): No unauthorized participant (user) can discover content of (storage) locations and/or messages (communication). Encryption of data (Cryptography) Hiding of data (Steganography) Restricting (read) access to data (Access Control) Who is allowed to read which data under which conditions ? (Security policies)

German Research Center for Artificial IntelligenceAnonymity Anonymity: A participant (user) can access resources or services without disclosing his/her identity. Pseudonyms Network: Proxy-server, Mixes Who communicates with whom or reads which data ?

German Research Center for Artificial Intelligence GSM Location System Syslog XP 3.7 Location Retrieval: Participant: Koch Contacting... Mapping: zooming... Participant Koch in City: Hamburg Area: Inner City Jungfernstieg / Neuer Wall MSISDN: Häuble Starting... Locked

German Research Center for Artificial Intelligence GSM Location System Syslog XP 3.7 Participant Koch arrested !

German Research Center for Artificial IntelligenceIntegrity Integrity (of owners data): No unauthorized participant (user) can manipulate data. (Digital) Signatures Hash functions Restricting (write) access to data (Access Control) Who is allowed to change which data under which conditions ? (Security policies)

German Research Center for Artificial IntelligenceAuthentication Authentication: Identity of a participant (user) can be determined (checked, proved). Passwords (shared knowledge) Biometric methods Public – Key infrastructures Who is using a system or sending a message?

German Research Center for Artificial IntelligenceAvailabilty Availability: No unauthorized impairment of services is possible. Examples: Blocking CPU-resources by Java-applets Flooding network with s

German Research Center for Artificial IntelligenceAccountability Accountability: Sender and/or receiver of information cannot (successfully) deny having sent or received information. Communication takes place in a provable way. Proof of communication (active agreement) required. Digital Signatures

German Research Center for Artificial Intelligence Security Objectives Security objectives are not always independent. Examples: Anonymity weakens Accountability Confidentiality weakens Accountability Access Control relies on Authentication

German Research Center for Artificial Intelligence Multilateral Security Each participant has its own security issues Each participant can formulate its own issues Conflicts have to be resolved and enforced

German Research Center for Artificial Intelligence Recht auf informationelle Selbstbestimmung Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus Mit dem Recht auf informationelle Selbstbestimmung wäre eine Gesellschaftsordnung nicht vereinbar, in der Bürger nicht mehr wissen könnten, wer was wann und bei welcher Gelegenheit über sie weiss. (Volkszählungsurteil des BVG, )

German Research Center for Artificial Intelligence Towards Certified Secure Systems Existing systems are insufficent with respect to – –Usage – –Administration – –Construction Problems – –Consequences of individual decisions? – –Are all security aspects covered? Challenges of IT-security – –Increased complexity of systems and their requirements – –Formal foundation of system-wide security guarantees – –Intuitive understanding of security in the large

German Research Center for Artificial Intelligence Schwerpunktprogramm (DFG): Zuverlässig sichere Softwaresysteme Schwerpunktprogramm Zuverlässig Sichere Softwaresysteme Formales Sicherheits- Engineering Zuverlässig sichere Softwaresysteme Wunsch nach Sicherheitsinformation Anforderungs-definition Systemarchitektur Verfeinerung / Dekomposition Fundierte und verständliche Sicherheitsgarantie Reparatur Erklärung der Sicherheitsaspekte Formal abstrahierte Sicherheitseigenschaft Abstraktion der Eigenschaften Modellierung der Sicherheits- anforderungen Formal spezifizierte Sicherheitseigenschaft Formal fundiertes Zertifikat für Sicherheitsgarantie Implementierung/ Modellierung Programm / Formale Systemspezifikation Sicherheits-analyse Initiatoren: Heiko Mantel (Darmstadt) Dieter Hutter (Bremen) Günter Müller (Freiburg) Tobias Nipkow (München) Gregor Snelting (Karlsruhe)

German Research Center for Artificial IntelligenceModelingWorldWorld ModelModel Interpretation (relating results in the model to the real world) Abstraction (not all aspects are modeled) (calculus to reason inside model) Models are specific to individual purposes e.g. Cryptography Cryptography Security protocols Security protocols Security policies Security policies … …

German Research Center for Artificial Intelligence Modeling Security Aspects Modeling both: system and attacker ! Interpretation Abstraction World Model

German Research Center for Artificial Intelligence Calculi for Modeling Executional models –We want to compute / reason in the model ! Mathematical models –Numerical calculations Logical models –Symbolic calculations –Operations on syntactical entities –Semantic interpretation of syntactical entities

German Research Center for Artificial Intelligence Example: Evaluation of Boolean ! true ! true ! false ! false ! n ! m ! n ! m ! true ! true ! n ! m ! n ! m ! false ! false ! true ! true ! false ! false ! true ! true If n and m are equal If n and m are not equal

German Research Center for Artificial Intelligence Security Aspects Security engineering and its modeling –Description and analysis of security mechanisms cryptography: basic mechanisms ) special lecture building secure systems on a sound scientific (mathematical) basis: formal approaches ( ) verification of solutions) existing technical solutions as background - Development in-the-large part of general software engineering assessment of security features examples for real systems