TU Wien:Privacy-Enhancing Technologies VU (Weippl)

Aus VoWi
Zur Navigation springen Zur Suche springen

Daten[Bearbeiten | Quelltext bearbeiten]

Vortragende Markus Donko-HuberWilfried MayerMartin SchmiedeckerEdgar Weippl
ECTS 6
Aufgezeichnet true
Letzte Abhaltung 2023W
Sprache „if required in english“ ist kein zulässiger Sprachcode.
Abkürzung PETS
Mattermost privacy-enhancing-technologiesRegisterMattermost-Infos
Links tiss:194144, tiss:188982, eLearning
Zuordnungen
Bachelorstudium Informatik Wahlmodul Privacy-Enhancing Technologies (+)
Bachelorstudium Medieninformatik und Visual Computing Wahlmodul Security
Bachelorstudium Medizinische Informatik Wahlmodul Security
Bachelorstudium Software & Information Engineering Wahlmodul Security


Inhalt[Bearbeiten | Quelltext bearbeiten]

Was sind Privacy Enhancing Technologies, was ist Privacy, Anonymität, TOR, VPN, SSL/TLS, Internetzensur, WebPrivacy, CryptoTools.

Ablauf[Bearbeiten | Quelltext bearbeiten]

Wöchentliche Vorlesung, ca. 7 Einheiten + ein Gastvortrag.

2023W[Bearbeiten | Quelltext bearbeiten]

Wöchentliche Vorlesungen, 8 Einheiten + zwei Gastvorträge.

Benötigte/Empfehlenswerte Vorkenntnisse[Bearbeiten | Quelltext bearbeiten]

Introduction to Security ist vielleicht ganz hilfreich. Die ein oder anderen Security relevanten Ausdrücke sollte man schon mal gehört haben - dann tut man sich leichter.

WS2016: Dem stimme ich zu. Nachdem ich schon IntroSec und InetSec hinter mir habe, war das eine der eher leichteren/weniger aufwändigen LVAs, sehr guter Abschluss dieses Bereichs. Kann ich nur jedem Empfehlen, der Security-Interessiert ist.

Vortrag[Bearbeiten | Quelltext bearbeiten]

Sehr interessant und kurzweilig, jedoch gehen die einzelnen Themen nicht sehr in die Tiefe. Es gibt einen groben Überblick über Privacy Technologien.

Themen der Vorlesungen:

  • Introduction to PET
  • Anonymity Online
  • Internet Censorship
  • Secure Messaging
  • TLS (Transport Layer Security)
  • Tor
  • Web Privacy
  • VPN technologies

Übungen[Bearbeiten | Quelltext bearbeiten]

WS2023[Bearbeiten | Quelltext bearbeiten]

  1. UE: mrparanoidlite - GPG Schlüssel mittels TOR teilen und Metadaten aus einem zugesendeten Bild auslesen (gpg cli und onionshare sehr hilfreich)
  2. UE: censorship - VPN (wireguard) simuliert Internetzensur, die man umgehen soll. 2 Websiten sollen aufgerufen werden. Mittels curl, dig und domain fronting lässt sich hier alles mit 3 Befehlen machen, wenn man weiß was man tut
  3. UE: efail - Mittels efail eine abgefangene verschlüsselte E-Mail entschlüsseln.
  4. UE: failheiser - Den private Key eines Zertifikats nach Anleitung eines Writeups entschlüsseln und mit dem Cert einen öffentlich erreichbaren mitmproxy betreiben. Dann den Facebook Namen zu einer mit dem Proxy abgefangenen UserID finden.
  5. UE trackmeifyoucan - Mittels passivem Fingerprinting die Identität von zwei Personen die auf eine Website zugreifen feststellen.

WS2018[Bearbeiten | Quelltext bearbeiten]

Im WS2018 gab es ebenfalls 4 Übungen:

  • 1. Übung: Mit ein paar Tools hantieren und die Identität von jemandem herausfinden (GPG, TOR Hidden Services, I2P) (10 Punkte)
  • 2. Übung: Es wurde eine modifizierte Python Library des Signal Protokolls zur Verfügung gestellt. Diese verwendet nur die letzten 5 Ziffern des Fingerprints zur Identifizierung. Das musste ausgenutzt werden um jemanden zu deanonymisieren. (15 Punkte)
  • 3. Übung: Eine TLS MITM Attacke mittels Superfish Zertifikat und anhand des Traffics die Person identifizieren. (15 Punkte)
  • 4. Übung: Die EFAIL Sicherheitslücke musste mittels einer modifizierten Email, die mit S/MIME signiert wurde, ausgenutzt werden. (10 Punkte)

Persönlicher Zeitaufwand für die Übungen:

  1. Übung 1½ Stunden
  2. Übung 4½ Stunden
  3. Übung 2½ Stunden
  4. Übung 9 Stunden

Andere Meinung zum Zeitaufwand für die Übungen: Falls es nicht gleich beim ersten Versuch funktioniert, kann die Fehlersuche wirklich lange dauern, da die Ursache oft nicht so leicht eingegrenzt werden kann, da die Angabe sehr viel Spielraum lässt. Das führt dann schnell zu Trial & Error, wodurch der Aufwand der 3. und 4. Übung bei mir eher in den 15 Stunden Bereich ging.

WS2016[Bearbeiten | Quelltext bearbeiten]

Im WS2016 waren es 4 Übungen:

  • 1. Übung: Mit ein paar Tools hantieren und die Identität von jemandem herausfinden (GPG, TOR Hidden Services, I2P) (10 Punkte) (10 Punkte)
  • 2. Übung: von WS2015 (15 Punkte + 3 Bonuspunkte)
  • 3. Übung: von WS2015 (15 Punkte)
  • 4. Übung: Einen Sicheren Messenger anhand von python-axolotl und hex2words erstellen (10 Punkte)

Es wurden aufwändige Plagiatchecks gemacht, besser man reicht seine eigene Lösung ein.

WS2015[Bearbeiten | Quelltext bearbeiten]

Im WS2015 waren es 4 Übungen:

  • 1. Übung: Mit ein paar Tools hantieren und die Identität von jemandem herausfinden (GPG, TOR Hidden Services, I2P) (10 Punkte)
  • 2. Übung: Etwas Python coden: Verwenden einer Python Privacy Library. Es musste ein Mix-Server erstellen, der Nachrichten verschlüsselt, HMACS berechnet,... Die zur Bewertung herangezogenen Testcases wurde zur Verfügung gestellt. (15 Punkte + 3 Bonuspunkte)
  • 3. Übung: Eine TLS MITM Attacke mittels Superfish Zertifikat und anhand des Traffics die Person identifizieren. (15 Punkte)
  • 4. Übung: Regeln für HTTPS Everywhere erstellen und verifizieren. (10 Punkte)

Anstatt der 4. Übung gab es für ausgewählte TeilnehmerInnen die Möglichkeit an einer Studie des Instituts teilzunehmen. (Auswahl erfolgte über eine Tuwel MC-Test).

Alle Übungen (bis auf 2) wurden binär benotet (alles oder nichts).

WS2014[Bearbeiten | Quelltext bearbeiten]

Da im WS2014 die LVA das erstemal abgehalten wird gibt es nur 2 Übungen (insgesamt 50 Punkte möglich).

  • 1. Übung: Mit ein paar Tools hantieren und die Identität von jemanden herausfinden (GPG, TOR Hidden Services, I2P) (20 Punkte)
  • 2. Übung: MITM Attacke mittels SSL-Strip in python programmieren (30 Punkte)

Die Übung ist eher einfach (kommt auf das Vorkenntnis darauf an - aber selbst mit googeln braucht man nicht sehr lange).

Prüfung, Benotung[Bearbeiten | Quelltext bearbeiten]

WS2023[Bearbeiten | Quelltext bearbeiten]

Modus genau wie WS2022.

Für die Prüfung lohnt es sich die Vorlesungen zu schauen und nicht nur die Folien zu lesen, da in den VOs manche Themen viel ausführlicher erklärt werden. Es kamen auch einige Altfragen von VoWi.

WS2022[Bearbeiten | Quelltext bearbeiten]

Modus ist wie vor WS2018, es gibt nur eine Prüfung am Ende, wo man maximal 50 Punkte zu erreichen sind, wovon man mindestens 25 braucht für eine positive Note. Es kamen auch viele Fragen von Vowi (vor WS2018). Es gibt pro Frage 4 Antwortmöglichkeiten, wobei 1-4 Antworten richtig sein können.

Multiple Choice Prüfung, wobei ein falsches Kreuz bei einer Frage in 0 Punkte für die Frage resultiert, richtige Kreuze liefern anteilsmäßig Punkte für die Frage.

Im Vergleich zu IntroSec war die Anzahl der richtigen Kreuze aber nicht angegeben. 50 Punkte waren zu erreichen, die Fragen sind von oberflächlich bis detailliert, testen aber das Verständnis für den Stoff und kein auswendig gelerntes Wissen.

WS2018[Bearbeiten | Quelltext bearbeiten]

Es gibt ein Midterm und ein Final Exam wobei jedes maximal 25 Punkte bringt. Es müssen bei beiden zumindest 12.5 Punkte erreicht werden um positiv zu sein.

Die Übungen geben insgesamt auch 50 Punkte von denen mindestens 25 Punkte für eine positive Note erreicht werden müssen.

Multiple Choice Prüfung, wobei ein falsches Kreuz bei einer Frage in 0 Punkte für die Frage resultiert, richtige Kreuze liefern anteilsmäßig Punkte für die Frage. Im Vergleich zu IntroSec war die Anzahl der richtigen Kreuze aber nicht angegeben.

Vor WS2018[Bearbeiten | Quelltext bearbeiten]

Multiple Choice Prüfung, wobei ein falsches Kreuz bei einer Frage in 0 Punkte für die Frage resultiert, richtige Kreuze liefern anteilsmäßig Punkte für die Frage. Im Vergleich zu IntroSec war die Anzahl der richtigen Kreuze aber nicht angegeben.

50 Punkte waren zu erreichen, die Fragen sind von oberflächlich bis detailliert, testen aber das Verständnis für den Stoff und kein auswendig gelerntes Wissen.

Benotung nach dem üblichen Schema von diesem Institut:

100 - 92 Punkte - Sehr Gut
91  - .. Punkte - Gut
...

Im WS2014 musste man insgesamt mind. 50 Punkte erreichen, wobei alleine die schriftliche Prüfung positiv sein musste (mind. 25 Punkte).

Dauer der Zeugnisausstellung[Bearbeiten | Quelltext bearbeiten]

WS2015: Anfang Februar. (ca. 1-2 Wochen nach Ende der 4. Übung)

WS2016: Ende Jänner (ca. 6 Wochen nach dem Final Exam)

WS2018: Letzte Übung am 15. Jänner, Zeugnis am 18. Jänner.

WS2023: Anfang Februar (ca. 5 Wochen nach Final Exam)

Zeitaufwand[Bearbeiten | Quelltext bearbeiten]

2023W[Bearbeiten | Quelltext bearbeiten]

Für die Übungen sollte man im Schnitt etwa 5h einplanen, wobei manche deutlich mehr und manche deutlich weniger Zeit brauchen. Für die Theorieprüfung muss man (zumindest wenn man sich halbwegs für das Thema interessiert und schon so etwas Hintergrundwissen hat) nicht wirklich lernen für eine halbwegs gute Note.

Pro Übung ca 5-10 Stunden. (Im WS15 haben aber viele Leute mit der 3. Übung (bzw. der zu verwendenen Software) gekämpft und westlich länger gebraucht) Für die Prüfungen: Folien am Tag vorher durchlesen und verstehen reicht.

andere Meinungen: - minimal ist sicher falsch, für jemanden der noch nie mit crypto tools/programming (vor allem programming!) zu tun gehabt hat. - Erfahrung in Python macht die 2. Aufgabe sicher einfacher.

andere Meinung: ich hatte vor dieser VU noch nichts mit Crypto zu tun und auch insgesamt wenig Vorkenntnisse. Für die Übungen habe ich oft 1-2 Tage gebraucht, da in den VOs nicht gezeigt wurde wie man die Übungen löst, sondern man sich alles selbst recherchieren und beibringen musste. Wenn man sich aber mit dem Thema auskennt reichen wahrscheinlich wenige Stunden pro Übung. Für die Theorieprüfung reichen 3 Tage lernen für eine halbwegs gute Note vollkommen aus.

Unterlagen[Bearbeiten | Quelltext bearbeiten]

noch offen

Tipps[Bearbeiten | Quelltext bearbeiten]

  • Die Vorlesung ist sehr interessant und daher sehr zu empfehlen!
  • Zur Prüfung im WS2022 kommen so ähnliche Fragen wie die MC Prüfungen auf Vowi, aber es lohnt sich die offenen Fragen von 2022 sich durchzuarbeiten, da man erst recht merkt, ob man den Inhalt verstanden hat bzw. die Zusammenhänge der Vorlesungen sieht.

Highlights / Lob[Bearbeiten | Quelltext bearbeiten]

Die LV ist wirklich sehr interessant. Die Übungen sind teilweise etwas herausfordernd, aber machen sehr viel Spaß und fördern ein selbstständiges Auseinandersetzen mit dem Stoff. Und besonders loben möchte ich die unglaublich interessanten Gastvorlesungen bei denen man sehr spannende Einblicke von Experten auf dem Gebiet vermittelt bekommt.

Verbesserungsvorschläge / Kritik[Bearbeiten | Quelltext bearbeiten]

  • 2020W: Das Rate-Limiting bei den Übungen war etwas zu streng eingestellt.
  • 2014W: Es sind doch sehr wenige Vorlesungseinheiten und die Themen werden nur oberflächlich behandelt - hier wäre es vielleicht gut etwas in die Tiefe zu gehen.