Description
Für den Betrieb von Public-Key-Infrastrukturen und die Validierung der Authentizität von Kommu-
nikationspartnern sind Zertifizierungsstellen (Certificate Authorities - CA) ein elementarer Bestand-
teil. Sie erstellen digitale Zertifikate und garantieren mit Ihrem Namen für die Korrektheit der Anga-
ben. Für eine verschlüsselte, sichere und reibungslose Nutzung von über Datennetze angebotenen
Diensten, liefern Betriebssysteme und Browser bereits eine Auswahl vorinstallierter Zertifizierungs-
stellen mit.
In dieser Arbeit sollen diese bereits vorinstallierten Zertifizierungsstellen hinterfragt werden. Wel-
che Geschäftsmodelle werden von Zertifizierunggstellen verfolgt, entstehen ggf. Interessenskonflikte
(Gewinnorientierung vs. Prüfsorgfalt) und welche Rolle spielen Initiativen wie ’lets encrypt’? Es soll
auch beleuchtet werden, welche Gefahren von vorinstallierten Zertifikaten ausgehen kann (Stich-
wort: Lenovo Shellfish, wildcard certificates, Man-in-the-Middle Angriff). Im praktischen Teil können
Validierungsmethoden sowie gängige Werkzeuge betrachtet werden, als auch einzelne recherchier-
te Angriffe expemplarisch nachgestellt werden.
Anforderungen
- Kenntnisse in Kryptographie, Verschlüsselungs- und Hashverfahren
- Erfahrung im Umgang mit PKI und Zertifikaten ist von Vorteil
- Praktische Programmierkenntnisse in einer Multi-Platform-Sprache (z.B. Python, GoLang)
Contact
Norbert Wiedermann
Fraunhofer Research Institution for Applied and Integrated Security (AISEC)
Parkring 4, 85748 Garching bei München
norbert.wiedermann@aisec.fraunhofer.de
|
Thesis topic in co-operation with the Fraunhofer Institute for Applied and Integrated Security AISEC, Garching