Innovationsseminar Security for Ubiquitous Computing Sommersemester 2007

Transkript

1 Darmstadt University of Technology Innovationsseminar Security for Ubiquitous Computing Sommersemester 2007 Prof. Max Mühlhäuser & Mitarbeiter Organisation: Sebastian Ries, Stefan Weber

2 Überblick Einführung: Security for Ubiquitous Computing Organisatorisches Themenvorstellung Themenvergabe

3 Motivation: UC changes our world today: Attacker Common approaches tomorrow: Computer PDA Laptop Handy Trusted device Various/new monitoring Capabilities. Privacy at risk ME PC Attacker? new, distributed, attacks various various infrastructures infrastructures & services, services, unknown unknown networks, networks, etc. etc. Printer known, trusted device Printing Drucker 1 Layout Billing Virus-Scanner different levels of trust virtual printer : part of infrastructure

4 The three faces of security for UC 1. UC characteristics yield to well known but also new attacks Examples: characteristics attacks communication pervasive nature wireless ad hoc multi-hop physical exposure limited power supply traceability Eavesdropping, Impersonation (spoofing) man-in-the-middle attacks, device/data theft, manipulation sleep deprivation torture privacy violation well known new forms new

5 The three faces of security for UC 2. UC limitations yield to new challenges Examples: resource, infrastructure limitations limitations lack of centralized authority limited CPU power, few/no memory, limited power supply user interface limitations challenges trust establishment policy decision algorithm impl., protocol design trusted path establishment well known new forms new

6 The three faces of security for UC 3. UC emphasizes conflicting goals Example: player user UC environment goal privacy protection traceability / attestation challenge mechanisms with customizable tradeoffs well known new forms new

7 Current Activities and Interests Activity: Modeling Trust in Ubiquitous Computing (Sebastian Ries) Activity: Privacy vs. Attestation (Stefan Weber) Activity: ASSET (part of SicAri, (Andreas Heinemann) Interest: IT security meets public security security for UC is the bridge Interest: Usability aspects (HCI) of security for UC "ubiquity" dramatically increases the need

8 Organisatorisches

9 Organisatorisches Was passiert in einem Seminar? Die Teilnehmer präsentieren ein Thema in einem Vortrag Zusätzlich wird eine schriftliche Ausarbeitung angelegt Lernziele: Verstehen und Zusammenfassen von Literatur Zusammenhängende Präsentation eines Sachverhalts Üben von Präsentationstechniken Und was ist dann ein Innovationsseminar? Anstelle fester Literatur erarbeiten Sie eine eigene Idee Die Idee sollte möglichst innovativ sein Erfordert neben einer guten Idee vor allem auch umfangreiche Literaturrecherche zum Thema / Verwandtem Halten eines Vortrags zum Thema vor allen Teilnehmern Beteiligung an Vortragsdiskussionen Schreiben einer Ausarbeitung

10 Was erwarten wir von Ihnen? Eine möglichst gute, neue Idee z.b. ein Produkt, eine Architektur? (auf vorgegebenem Gebiet!) Eine Plausibilitätsprüfung der Idee, möglichst SWOT: Strengths: welche Chancen bietet diese Idee? Was ist top? Weaknesses: welche Schwächen hat die Idee / Umsetzung? Opportunities: wer will / braucht das Produkt? Welche neuen Möglichkeiten ergeben sich dadurch evtl. sogar neue Märkte? Threats: welche Umstände bedrohen den Einsatz des Produkts? Welche Risiken, z.b. bei Nutzung oder für Vermarktung, gibt es? Eine gut geplante Präsentation der Idee Eine möglichst gute Ausarbeitung der Idee Vortragstermin (verbindlich für alle!): , 8-18 Uhr, S2 02-A

11 Anforderungen Erarbeitung der Themen in Abstimmungen mit dem betreuenden Mitarbeiter Ausarbeitung: Sprache: deutsch / englisch Seitenzahl: 25 Seiten (1er Gruppe) 40 Seiten (2er Gruppe) Vorlagen: siehe Web Abgabe: Vorläufige Version: Endgültige Version: Vorträge: Sprache: deutsch Termin:

12 Themenvorstellung

13 Thema 1 Sebastian Ries Vertrauen in Ubiquitous Computing Eine der Herausforderungen von Ubiquitous Computing ist die nahtlose Interaction zwischen verschiedensten Geräte und ubiquitären Diensten. Diese können als Teil einer Infrastruktur dauerhaft verfügbar sein, oder zeitlich beschränkt, z.b. Interaktion mit Geräten von Passanten. Wesentliche Fragestellungen sind nun: Wie wird Vertrauen zwischen Interaktionspartner gebildet? Wie viel Vertrauen ist in einer bestimmten Situation notwendig? Wie kann Vertrauen zur Auswahl von Interaktionspartner genutzt werden? Schlagwörter: Vertrauen, Empfehlungssysteme, Soft Security

14 Thema 2 Martin Leidl Sicherheit in virtuellen Online-Welten (MMORPGs, MUVEs) Handlungen in Online-Welten wie World of Warcraft, Everquest, Second Life, u.a. beschränken sich nicht mehr nur auf die virtuelle Spielwelt. Reale und virtuelle Währungen sind wechselseitig eintauschbar; somit bieten die Anwendungen einen virtuellen Rahmen für reale, kommerzielle Handlungen. Es stellt sich die Frage, ob bzw. wie sich Transaktionen im virtuellen Raum durch Sicherheitskonzepte schützen lassen. Weitere Teilaspekte: Authentifikation, Trust, Datenschutz

15 Thema 3 Dirk Bradler Secure in P2P Using a P2P network for , provides several interesting features: Eliminates need to rely on single server Boost resilience of against attacks Provides confidential communications¹ Compare state of the art P2P projects and outline the P2P of the future

16 Thema 4 Stefan Weber Privacy in Ubiquitous Computing: unerwünschtes Eindringen in die Privatsphäre klassisches Szenario: - Sensoren erfassen private Daten Überwachung möglich! aber auch: unerwünschtes Eindringen / unerwünschte Kommunikation (SMS Spam; unzählige Dienstanfragen; Online- Durchsuchungen ) Szenarien & innovative Schutz-Mechanismen sind gefragt!

17 Thema 5 Alexander Behring Privacy und komplementäre multimodale Eingaben Fragment 1 Modalität 1 Aussage Fragment 2 Modalität 2 Aussage Interaktion Fragment 3 Modalität 3 Nutzer Öffentlicher Raum Interaktives System Aussage in Fragmente zerlegbar Fragmente werden interagiert Komplementäre Eingaben in Aussage fusionierbar - grundlegender Mechanismus zum Schutz der Privatsphäre - Zerstückelung von Daten/Anpassung der Granularität/? - Schutz der Privatsphäre durch Nutzung von multimodalen UIs - komplementäre Ein-/Ausgaben & Privacy NEUE IDEEN UND SZENARIEN SOLLEN ENTWICKELT WERDEN!

18 Thema 6 Melanie Hartmann Interaktionsvereinfachung in UC Daten über bisherige Interaktionen kann zur Vereinfachung zukünftiger Interaktionen verwendet werden Fragestellungen: Wie möchte der Nutzer seine Interaktionsdaten speichern? (gar nicht, nur für sich, allen oder einem bestimmten Nutzerkreis zugänglich machen) UC Anwendung Wann sollen Interaktionen automatisiert ausgeführt werden? Wie gestaltet man die Interaktion mit dem Nutzer? So dass er die Kontrolle über seine Daten hat So dass er die Aktionen des Systems nachvollziehen und gegebenenfalls rückgängig machen kann User Interaktion Experte Interaktionsspeicherung Agent Benutzer Gruppe

19 Thema 7 Daniel Schreiber Komfort vs. Datenschutz: Umgang mit Präferenzen und Profilen in UC Umgebungen. Bookmarks, Passwörter, Präferenzen usw. ubiquitär verwenden ist komfortabel. DieseDatenöffentlichzumachenverbietetmeinWunsch nach Datenschutz. Gesucht sind innovative Lösungen die diesen Widerspruch auflösen!

20 Thema 8 Andreas Heinemann Exploit Context-Aware Computing methods for ITsecurity & public security Examples Collaborative business items Context-Aware Computing with Applications to Public Health Management What are other innovative applications, concepts, etc.?

21 Thema 9 Erwin Aitenbichler Ubiquitous Single Sign-On Passwort Fingerabdruck PIN Passwort Wir verwenden immer mehr Geräte gleichzeitig. Daten/Dienste müssen geschützt werden -> Authentifikation. Heute entweder Hohe Sicherheit -> Separate Authentifikation mit jedem Gerät erforderlich -> schlechte Usability Gute Usability -> Keine Authentifikation oder nur beim Einschalten des Gerätes -> schlechte Sicherheit Innovative Ideen sind gefragt, um Sicherheit & Usability zu erhöhen!

22 Themenvergabe

23 Themenvergabe Bitte notieren Sie die auf einem Blatt Papier Gruppenteilnehmer (2er Gruppen!) Name Matr.Nr. -Adresse 2 favorisierte Themen Wir werden die Themen so passend wie möglich verteilen und Sie per Mail informieren. Bitte setzen Sie sich anschließend mit Ihrem Betreuer in Verbindung!

24 Themenliste 1 - Vertrauen in Ubiquitous Computing 2 - Sicherheit in virtuellen Online-Welten 3 - Secure in P2P 4 - Unerwünschtes Eindringen in die Privatsphäre 5 - Privacy und komplementäre multimodale Eingaben 6 - Interaktionsvereinfachung in UC 7 - Komfort vs. Datenschutz 8 - Context-Aware Computing methods for IT-security & public security 9 - Ubiquitous Single Sign-On

25 Link zur Veranstaltung: