Fakultät für Informatik | KIT |  Deutsch  | English

Kontakt

Am Fasanengarten 5

Geb. 50.34

D-76131 Karlsruhe

Tel.: + 49 721 608-44205
Fax: + 49 721 608-55022

E-Mail: crypto-info(at)iti.kit.edu

Aktuelles

Interview mit Jörn Müller-Quade zur IT-Sicherheit in Zeiten der KI

KASTEL-Sprecher Prof. Jörn Müller-Quade gab auf dem Digitalgipfel dem HPI-Digitalblog ein Interview über IT-Sicherheit in Zeiten von Künstlicher Intelligenz. Dabei ging er insbesondere auf die Kryptographie zur Vorbeugung von Cyberangriffen ein. Ebenfalls Thema ist die Künstliche Intelligenz zur Verhinderung der Angriffe. Dabei sei auch das Zusammenspiel von künstlicher Intelligenz und Mensch interessant, da dadurch auf Angriffe und Verwundbarkeiten aufmerksam gemacht werden könne, die sonst nicht aufgefallen wären.

KASTEL-Mitarbeiter erzielt ersten Platz beim CAST-Förderpreis für IT-Sicherheit

Am 29.11.18 wurde zum 18. Mal der CAST-Förderpreis IT-Sicherheit an herausragende Arbeiten auf dem Gebiet der IT- und Informationssicherheit verliehen.
Beim diesjährigen CAST-Preis konnte sich Herr Michael Klooß in der Kategorie Masterarbeiten mit seiner Arbeit "On the Efficiency of Non-Interactive Zero-Knowledge Proof Systems" durchsetzen.
Herr Klooß fertigte seine Arbeit in der KASTEL-Nachwuchsgruppe "CyPhyCrypt" an in welcher er aktuell als Doktorand tätig ist

Molekülabfolge als Passwort

Jeder hat sie in mehreren Ausführungen und in unterschiedlichen Sicherheitsstufen: Passwörter. Sie gelten als Schutz wichtiger Daten und sind aus unserem Leben nicht wegzudenken. Wurde das Passwort jedoch gestohlen, erraten oder errechnet liegen diese vermeintlich geschützten Daten offen. KIT- und ITI-Mitarbeiter  arbeiten derzeit an einer neuen Idee: der Verschlüsselung durch organische Moleküle. In der Abfolge der einzelnen Bausteine soll das Passwort als Binärcode verschlüsselt werden.

21. E-Voting Kolloquium in Karlsruhe

Am 9.-10.April 2018 findet am Karlsruher Institut für Technologie das 21. E-Voting Kolloquium statt. Die seit 2006 europaweit stattfindende Tagung thematisiert verschiedene Aspekte des E-Voting wie rechtliche Hürden, Identitätsmanagement, technische Aspekte und die Verifizierung der Wahl. Die Veranstaltung wird von Prof. Dr. Bernhard Beckert, Prof. Dr. Jörn Müller-Quade und Prof. Dr. Melanie Volkamer sowie Dr. Oskana Kulyk mitorganisiert.

Die Arbeit eines Kryptologen

Am 02.Februar wurde ITI-Mitarbeiter Andy Rupp in die Podcast-Reihe „Resonator“  ,einen Audio-Podcast der Helmholtz-Gemeinschaft Deutscher Forschungszentren aufgenommen. Die Podcast-Reihe befasst sich mit Forscherinnen, Forschern und deren Themengebieten. Andy Rupp gibt Aufschluss über die Arbeit eines Theoretikers an Systemen wie Bonuskarten oder Mautsystemen, die die Privatsphäre der User schützen können. Zum Podcast .

Lernende Systeme - Die Plattform für künstliche Intelligenz

KIT-Präsident Holger Hanselka und ITI-Professor Jörn Müller-Quade sind an der BMBF-initiierten Plattform Lernende System beteiligt. Die Plattform soll dazu beitragen, künstliche Intelligenz im Sinne von Mensch und Gesellschaft zu gestalten und so die Lebensqualität zu verbessern. Während der KIT Präsident im Lenkungskreis wirkt, ist Herr Müller-Quade Leiter der Arbeitsgruppe 3, die Fragen zu den Gebieten Sicherheit, Zuverlässigkeit und dem Umgang mit Privatheit thematisiert. Weitere Infos zur Plattform  und zur Arbeitsgruppe .

Datenschleuder Smartphone

Das Smartphone sammelt Daten- immer und überall. Doch was genau das Gerät alles aufzeichnet und wer alles an diese Daten kommen kann ist den meisten nicht bewusst. In der Landesschau Baden-Württemberg erschien am 29.01.2018 ein Beitrag zu diesem Thema , der auch ITI-Mitarbeiter Professor Jörn Müller-Quade als Experten zu diesem Thema befragt.

Link zum Beitrag

PriPay – Privatsphärenschützende Zahlungssysteme

PriPay ist eine innovative Geldbörsentechnologie zur Realisierung von Pre-/Postpayments und Loyality-Systemen. Es ist das erste derartige System, das gleichzeitig offline-fähig, effizient, privatsphärenschützend und beweisbar sicher ist. Bisherige, vergleichbare Systeme erfüllen immer nur eine Teilmenge der genannten Eigenschaften. Bei PriPay wurden der Privatsphärenschutz der Nutzer und die Systemsicherheit des Betreibers gegen Betrug mathematisch bewiesen. Dies bedeutet, dass das Protokoll gegen alle Angreifer, auch solche mit noch unbekannter Angriffsstrategie, nachweislich geschützt ist. Die Sicherheitseigenschaften anderer Systeme sind hingegen häufig nur heuristisch beschrieben. Dank innovativer Techniken ist PriPay sehr performant und kann auch auf Geräten mit eingeschränkter Leistungsfähigkeit, wie z.B. Smartphones, eingesetzt werden. Da die Geldbörse abstrakte „Punkte” speichert, können auf Basis von PriPay vielfältige Anwendungen privatsphärenschützend und sicher realisiert werden, wie z.B. das Sammeln von Geldeinheiten für Pre-/Postpayment-Systeme, oder das Sammeln von Treuepunkten für Loyalitätsprogramme sowie von Bewertungspunkten für Reputationssysteme.

Die zugrundeliegende Technik

PriPay ist ein kryptographischer Baustein, der die sichere, praktikable und zugleich anonyme Übertragung von abstrakten Punkten ermöglicht. Hierbei vereint PriPay eine Vielzahl innovativer Aspekte:

  1. Jede Geldbörse wird ausschließlich dezentral und nur unmittelbar auf dem Gerät des Nutzers verwaltet. Die Führung von „Schattenkonten” durch den Operator des Zahlungssystems ist ausgeschlossen.
  2. Bei jeder Transaktion tauscht ein Nutzer seine Geldbörse gegen eine neue mit einem kontrolliert veränderten Betrag ein. Dabei wird der gespeicherte Punktestand nicht aufgedeckt. Vor einem Bezahlvorgang kann dennoch garantiert werden, dass die Börse einen ausreichend hohen Betrag enthält.
  3. Datenschutz wird beweisbar sicher realisiert, ohne auf die nachträgliche Anwendung von Pseudonymisierungstechniken zurückzugreifen, wie sie bei Zahlungssystemen häufig eingesetzt werden. Zwar besitzt jeder Nutzer einen eindeutigen öffentlichen Schlüssel; dieser wird jedoch bei Transaktionen nicht aufgedeckt. Dadurch wird Tracking schon im Ansatz verhindert.
  4. Point-of-Sales können ohne ständige Netzwerkverbindung agieren. Durch Double-Spending-Detection werden Betrüger im Nachhinein identifiziert und ein Betrugsfall gegenüber Dritten nachgewiesen.
  5. Um Dispute zu schlichten und technische Fehler abzufangen, kann optional ein Mechanismus integriert werden, der es erlaubt, Zahlungen selektiv und nur mit Unterstützung einer dritten, vertrauenswürdigen Partei zu deanonymisieren.

Die Grafik skizziert die Funktionsweise von PriPay. Zu Beginn registriert sich ein Nutzer mit seinem öffentlichen Schlüssel beim Operator. Im Rahmen eines kryptographischen Protokolls erstellen beide gemeinsam die Börse (das Sparschwein in der Grafik). Sie enthält in verdeckter Form u.a. eine zufällige Seriennummer, den Punktestand „Null” sowie den geheimen Schlüssel des Nutzers. Der Nutzer weist dem Operator mittels effizienter Zero-Knowledge-Beweise (ZKB) nach, dass er die Börse korrekt erzeugt hat und diese tatsächlich seinen geheimen Schlüssel enthält. Das sorgt dafür, dass nur er die Börse nutzen kann. Der Operator erfährt dabei nichts über den geheimen Schlüssel oder die Seriennummer. Abschließend signiert der Operator die Börse, um nutzerseitige Manipulationen zu verhindern.

Möchte der Nutzer die Börse verwenden, darf er sie nicht unverändert an den Operator senden, denn dieser würde sie wiedererkennen. Daher muss der Nutzer seine Börse zunächst randomisieren. Allerdings besitzt nur die unveränderte Börse eine Zertifizierung. An dieser Stelle werden wieder ZKB eingesetzt, um eine indirekte Zertifizierung nachzuweisen: Der Nutzer weist nach, dass die neue Börse, bis auf eine neue Seriennummer, den gleichen Inhalt besitzt wie die ursprüngliche und dass diese ursprüngliche Börse zertifiziert ist. Nun kann der Operator eine beliebige Anzahl von Punkten zur neuen Börse hinzufügen und diese wiederum signieren. Die Entnahme von Punkten funktioniert analog, wobei der Nutzer zusätzlich verdeckt nachweist, dass seine Börse genügend Punkte enthält.

Randomisierung und ZKB garantieren Anonymität. Signaturen und ZKB verhindern Manipulationen. Um einer Wiederverwendung einer veralteten Börse vorzubeugen, existiert zusätzlich ein Double-Spending-Detection-Mechanismus. Verwendet ein betrügerischer Nutzer eine veraltete Version seiner Geldbörse ein zweites Mal, erfährt der Operator den öffentlichen Schlüssel des Nutzers und kann diesen nun zur Verantwortung ziehen.

Prototyp und Effizienz

Um die Einsatzfähigkeit und Effizienz von PriPay nachzuweisen, wurde für das Anwendungsszenario „Kantinensystem” ein prototypisches Prepay-System implementiert und auf der CeBIT 2018 (Hannover, 11–15 Juni) präsentiert: Eine Android-App auf dem Smartphone des Nutzers realisiert die Geldbörse, die er an Terminalstationen aufladen kann. Eine Drehsperre gewährt Zutritt, wenn die Geldbörse des aufgelegten Smartphones ein hinreichendes Guthaben aufweist. Eine Datenbankanwendung mit Weboberfläche realisiert das Backend des Operators. Mit diesem Prototyp konnte die praxistaugliche Performanz belegt werden. Zahlreiche Optimierungsmöglichkeiten (z.B. Vorberechnung von Protokollschritten, bessere NFC-Übertragung) wurden dabei noch nicht implementiert.

(Bildnutzung mit freundlicher Genehmigung der GU Automatic GmbH, ©GU Automatic GmbH)

Weiterführende Links: