Masterthesis | UCS

Integration von QKD in TLS

Thu, 18 Dec 2025 00:00:00 +0000

Motivation

Sobald ein leistungsstarker Quantencomputer verfügbar ist, können aktuell verwendete asymmetrische Verfahren wie Diffie Hellman und RSA gebrochen werden. Der Mathematiker Peter Shor entwickelte bereits 1994 einen entsprechenden Algorithmus. Asymmetrische Kryptografie wird in unzähligen digitalen Systemen für einen vertraulichen Schlüsselaustausch und eine Authentifizierung genutzt. Daher wurde in den vergangenen Jahren intensiv bezüglich quantensicherer Verfahren geforscht. Quantum Key Distribution (QKD) nutzt die Physik der Quanten, um einen informationstheoretisch sicheren Schlüsselaustausch zu gewährleisten. Zukünftig sollen Endnutzer über eine einfache HTTP-basierte Schnittstelle an ein QKD-Netzwerk (QKDN) angebunden werden, welches symmetrische Schlüssel für entfernte Kommunikationspartner bereitstellt. Die Schlüssel werden über eine einfache ID eindeutig zugeordnet.

Ziel

Ziel der Arbeit ist die Ausarbeitung von Möglichkeiten zur Integration von QKD in das vielfach verwendete Protokoll TLS 1.3. Dafür muss die Anwendungsschnittstelle eines QKDNs analysiert und mit den unterschiedlichen Erweiterungsmöglichkeiten von TLS abgeglichen werden. Die erarbeiteten Optionen sollen beschrieben und gegenübergestellt werden. Bereits verfügbare Prototypen könnten zudem getestet oder Konzepte selbst prototypisch implementiert werden. Auch eine anschließende Performanz Evaluation wäre denkbar.

Aufgaben

Literatur- und Internetrecherche zu Optionen bezüglich der Integration von QKD in TLS
Ausarbeitung von Integrationsmöglichkeiten für QKD in TLS - sowohl aus der Literatur als auch eigene Ideen
Einschätzung zur Anwendbarkeit der Optionen und Ausarbeitung signifikanter Unterschiede zwischen diesen
Optional: Vorschläge zur Optimierung der Optionen oder Ausarbeitung einer alternativen Vorgehensweise
Optional: Inbetriebnahme verfügbarer Prototypen oder Implementierung eines eigenen Prototypen
Optional: Integration von Implementierungen in das Framework aus der Masterarbeit von Henrich und Evaluierung der Performanz

Voraussetzungen

Kenntnisse in IT-Sicherheit
Kenntnisse in Computernetze & Protokolle, insbesondere TLS
Grundkenntnisse in Linux
Grundkenntnisse und Interesse im Bereich Quantenphysik oder Elektrotechnik wünschenswert, aber nicht zwingend erforderlich
Spaß an Literaturrecherche und konzeptioneller Arbeit

Referenzen und Literatur (Auswahl)

Beginn

Ab April 2026

Bei Interesse melden Sie sich bitte bei Johanna Henrich.

Portierung eines Software Probing-Security Analyse Tools auf GPU Plattformen

Thu, 20 Mar 2025 00:00:00 +0000

Motivation

Seitenkanalangriffe gewinnen zunehmend an Bedeutung, wenn wie z.B. im Falle einer Smartcard, die Hardware in die Hände des Angreifers gelangen kann. In so einen Fall muss die Hardware-Software Kombination gegen Angriffe auf die Implementierung geschützt sein.

Um die Sicherheit von Hardware-Software Kombinationen gegen Seitenkanalangriffe zu evaluieren, können heutzutage Software-Tools verwendet werden, welche z.B. auf Basis eines Leakage-Modells sowie einer Ausführung der Software in einem Emulator arbeiten. Ein Derartiges Tool wird von uns derzeit für die verhältnismäßig neue CPU-Architektur RISC-V entwickelt.

Ein Leakage Assessment der Hardware-Software-Kombination eines Sicherheitsproduktes noch vor dem ersten Prototyp verringert die Entwicklungskosten und die Zeit pis zum Rollout des Produktes. Dennoch kann ein simulations-basiertes Leakage-Assessment im Sinne von Rechenzeit und Speicher ressourcen-aufwendig. Da in der heutigen Zeit z.B. im Hinblick auf KI-Anwendungen oftmals in leistungsfähige GPU-Cluster investiert wird, wird eine Unterstützung von GPU-basierten Plattformen zunehmend wichtiger.

Ziel

Ziel dieser Arbeit ist, unser in Entwicklung befindliches Leakage-Assessment Tool so zu erweitern oder zu portieren, dass es auf die Rechenleistung von GPU-Clustern zurückgreifen kann. Eine Umsetzung könnte beipsielsweise mit Hilfe von OpenCL oder CUDA erfolgen.

Aufgaben

Ziel dieser Arbeit ist die Entwicklung eines Konzeptes zur Trennung der Implementierung zwische GPU und Host-Seite, so dass diese effizient arbeitet und mit der Anzahl der GPUs skaliert. In einem weiteren Schritt soll das Konzept implementiert werden. Des weiteren sollen Konzepte erarbeitet werden, wie sich die GPU- sowie die klassische Implementierung nebeneinander warten und weiterentwickeln lassen.

Voraussetzungen

Gute C und C++ Kenntnisse
Vorkenntnisse in CUDA, OpenCL
Vorkenntnisse im Umgang mit Git, GNU-Make sowie Linux
Spaß an Softwareentwicklung

Referenzen und Literatur (Auswahl)

Haben wir Ihr Interesse geweckt? Kontakt: Nicolai Schmitt.

Parametrisierung simulations-basierter Software Probing-Security Analyse für spezifische CPU-Implementierungen

Fri, 31 Jan 2025 00:00:00 +0000

Motivation

Da die verwendeten Leakagemodelle generisch arbeiten, treffen die Aussagen der Tools nicht zwangsläufig genau auf eine Hardware-Implementierung einer CPU zu, wodurch ggf. die falschen oder mehr Schutzmaßnahmen auf der Software-Seite ergriffen werden könnten als notwendig und somit die Performance der Implementierung beeinträchtigt werden könnte.

Ziel

Ziel dieser Arbeit ist, anhand verschieder Implementierungen von RISC-V CPUs festzustellen, welche Unterschiede im Leakage-Verhalten zwischen verschiedenen Implementierungen von CPUs der RISC-V Plattform beobachtet bzw. gemessen werden können. Auf Basis von PROLEAD_SW wird von uns ein Tool für die RISC-V Plattform entwickelt, mit dessen Hilfe die Probing-Security von Software, welche auf RISC-V CPUs ausgeführt wird, evaluiert werden kann. Auf Basis dieser Datenlage soll identifiziert werden, wie weit das dem Tool zugrundeliegende Leakage-Modell verändert werden muss oder parametrisierbar gemacht werden muss, um genauere Aussagen für spezifische RISC-V implementierungen zu treffen.

Aufgaben

Gegebenenfalls Entwicklung neuer Testcases in Assembler und C
Gegebenenfalls Durchführen von Messungen an echter Hardware
Auswerten von Messdaten
Entwicklung eines Konzeptes für ein parametrisierbares Leakage-Modell
Implementierung des parametrisierbaren Leakage-Modells

Voraussetzungen

Gute C, C++ und Assembler Kenntnisse
Python Kenntnisse
Vorkenntnisse im Umgang mit Git, GNU-Make sowie Linux
Spaß an Softwareentwicklung

Referenzen und Literatur (Auswahl)

Haben wir Ihr Interesse geweckt? Kontakt: Nicolai Schmitt.

Einbettung von automatisiertem Threat Modelling ins Risikomanagement

Tue, 23 Jan 2024 00:00:00 +0000

Motivation

Im Unternehmenskontext des Teams Application Security Specialists der DB Systel soll im Rahmen des dort implementierten Software Development Lifecycle (SDLC) sowie des zugehörigen Information Security Management System (ISMS) ein Thread Modelling weitgehend automatisiert und eingebettet werden.

Hierbei soll die Lösung sowohl das agile Vorgehen im SDLC berücksichtigen sowie einen Mehrwert und eine Arbeitserleichterung für die verschiedenen Stakeholder (Development-Team, Product Owner, Security Architect, CISO) bieten.

Ziel

Das Ziel der Arbeit ist die Erarbeitung eines Vorgehensmodells zur Aufbereitung von technischen Risiken aus einem Thread Modelling Prozess für das Risikomanagement gemäß eines Information Security Management System (ISMS). Hierbei soll aus technischer Sicht eine Export- und Report-Schnittstelle aus Basis von IriusRisk als Web Service implementiert werden.

Aufgaben

Recherche:
- Wie kann kontinuierliches Threat Modeling in einem agilen Entwicklungsprozess realisiert werden?
- Wie kann Risiko Management gemäß ISMS realisiert werden?
Erarbeitung eines Vorgehensmodells zur Aggregation von technischen Risiken aus dem Thread Modeling für ein Risiko Management gemäß ISMS
Basis von IriusRisk: Design, Implementierung und Test einer Export- und Report-Schnittstelle
Evaluation des Tool-gestützten Vorgehensmodells hinsichtlich Usability, Effizienz, Effektivität und Wirkungsgrad

Voraussetzungen

Grundkenntnisse in IT-Sicherheit und sicherer Software-Entwicklung
Programmierkenntnisse
Docker-Kenntnisse sind von Vorteil
Spaß an Literaturarbeit und theoretischen Konzepten

Literatur (Einstieg)

Izar Tarandach and Matthew J. Coles: “Threat Modeling: A Practical Guide for Development Teams”. O’Reilly Media, Inc. (November 2020), ISBN: 9781492056553
Continuous Threat Modeling Handbook, via GitHub
Scott, F. “Introduction to the Open Threat Model standard”, 2022, IrusRisk Blog
Open Threat Modeling Format (OTM), via GitHub

Start

nach Absprache

Diese Arbeit wird in Kooperation mit dem Team Application Security Specialists der DB Systel in Frankfurt/M durchgeführt.

Weitere Informationen und Kontakt

Andreas Heinemann

Nutzerzentrierte Qualitätssteigerung im Berichtswesen von Penetrationtests

Tue, 23 Jan 2024 00:00:00 +0000

Motivation

Im Unternehmenskontext des Teams Application Security Specialists der DB Systel muss für jeden Penetrationtest ein Abschlussbericht erstellt werden. Hierzu wird eine Vorlage eines Reporting-Tools verwendet. Der Nutzen und die Qualität eines Berichts bleiben jedoch hinter den Erwartungen zurück. So fehlen klare Vorgaben und Guidelines an das Design und die Struktur. Darüber hinaus ist unklar, welche Nutzergruppen einen Bericht in welcher Form verwenden und ob die Ergebnisse eines Pentests hierbei optimal kommuniziert werden und die gewünschten Handlungen nach sich ziehen.

Ziel

Das Ziel der Arbeit ist den unternehmensweiten Wirkungsgrad von Abschlussberichten von Penetrationstests zu erhöhen.

Hierzu könnte die Verbesserung der Verständlichkeit, die Vereinheitlichung von Vorgaben und die Reduzierung des eigentlichen Schreibaufwands durch technische Unterstützung gehören.

Aufgaben

Literaturrecherche zu Berichtswesen im Pentesting
Recherche von Test- und Bewertungsmethoden zur Verständlichkeit von Berichten
Einarbeitung in Usability/UX von technischen Dokumentationssystemen
Recherche von alternativen Aufbereitungsformen von Berichten. Schlagworte: information dashboards, visual analytics, etc.

Voraussetzungen

Grundlegende Kenntnisse im Pentesting
Kenntnisse des OWASP Projects
Kenntnisse des Common Vulnerability Scoring System (CVSS)
Kenntisse der Common Vulnerabilities and Exposures (CVE) Systematik
Erfahrungen im Schreiben von technischen Berichten

Literatur (Einstieg)

M. N. Zakaria et al., “A Review of Standardization for Penetration Testing Reports and Documents,” 2019 6th International Conference on Research and Innovation in Information Systems (ICRIIS)
Professional and Technical Writing/Design/Usability, WIKIBOOKS
Parker, Kesi, “Usability in Technical Documentation” 2018, Medium

Start

nach Absprache

Diese Arbeit wird in Kooperation mit dem Team Application Security Specialists der DB Systel in Frankfurt/M durchgeführt.

Weitere Informationen und Kontakt

Andreas Heinemann