TU Wien:Privacy Enhancing Technologies VU (Weippl): Unterschied zwischen den Versionen

Aus VoWi
Zur Navigation springen Zur Suche springen
(fixe LVA-Daten (lva_fixer.py))
K (→‎Daten: +abbr=PETS)
 
Zeile 6: Zeile 6:
 
|id=188982
 
|id=188982
 
|wann=WS
 
|wann=WS
 +
|abbr=PETS
 
|zuordnungen=
 
|zuordnungen=
 
     {{Zuordnung|E033532|Security|wahl=1}}
 
     {{Zuordnung|E033532|Security|wahl=1}}

Aktuelle Version vom 3. Dezember 2019, 19:07 Uhr

Daten[Bearbeiten]

Vortragende Edgar Weippl, Martin Schmiedecker, Markus Donko-Huber, Wilfried Mayer
ECTS 3
Abteilung Forschungsbereich Information & Software Engineering
Wann Wintersemester
Abkürzung PETS
Links tiss:188982
Zuordnungen
Bachelor Medieninformatik und Visual Computing Wahlmodul Security
Bachelor Medizinische Informatik Wahlmodul Security
Bachelor Software & Information Engineering Wahlmodul Security
Master Business Informatics Wahlmodul ISE/EXT - Information Systems Engineering Extension

Mattermost: Channel "privacy-enhancing-technologies" Team invite & account creation link Mattermost-Infos

Inhalt[Bearbeiten]

Was sind Privacy Enhancing Technologies, was ist Privacy, Anonymität, TOR, SSL/TLS, Internetzensur, WebPrivacy, CryptoTools.

Ablauf[Bearbeiten]

Wöchentliche Vorlesung, ca. 7 Einheiten + ein Gastvortrag.

Benötigte/Empfehlenswerte Vorkenntnisse[Bearbeiten]

Introduction to Security ist vielleicht ganz hilfreich. Die ein oder anderen Security relevanten Ausdrücke sollte man schon mal gehört haben - dann tut man sich leichter.

WS2016: Dem stimme ich zu. Nachdem ich schon IntroSec und InetSec hinter mir habe, war das eine der eher leichteren/weniger aufwändigen LVAs, sehr guter Abschluss dieses Bereichs. Kann ich nur jedem Empfehlen, der Security-Interessiert ist.

Vortrag[Bearbeiten]

Sehr interessant und kurzweilig, jedoch gehen die einzelnen Themen nicht sehr in die Tiefe. Es gibt einen groben Überblick über Privacy Technologien.

Übungen[Bearbeiten]

WS2018[Bearbeiten]

Im WS2018 gab es ebenfalls 4 Übungen:

  • 1. Übung: Mit ein paar Tools hantieren und die Identität von jemandem herausfinden (GPG, TOR Hidden Services, I2P) (10 Punkte)
  • 2. Übung: Es wurde eine modifizierte Python Library des Signal Protokolls zur Verfügung gestellt. Diese verwendet nur die letzten 5 Ziffern des Fingerprints zur Identifizierung. Das musste ausgenutzt werden um jemanden zu deanonymisieren. (15 Punkte)
  • 3. Übung: Eine TLS MITM Attacke mittels Superfish Zertifikat und anhand des Traffics die Person identifizieren. (15 Punkte)
  • 4. Übung: Die EFAIL Sicherheitslücke musste mittels einer modifizierten Email, die mit S/MIME signiert wurde, ausgenutzt werden. (10 Punkte)

Persönlicher Zeitaufwand für die Übungen:

  1. Übung 1½ Stunden
  2. Übung 4½ Stunden
  3. Übung 2½ Stunden
  4. Übung 9 Stunden

Andere Meinung zum Zeitaufwand für die Übungen: Falls es nicht gleich beim ersten Versuch funktioniert, kann die Fehlersuche wirklich lange dauern, da die Ursache oft nicht so leicht eingegrenzt werden kann, da die Angabe sehr viel Spielraum lässt. Das führt dann schnell zu Trial & Error, wodurch der Aufwand der 3. und 4. Übung bei mir eher in den 15 Stunden Bereich ging.

WS2016[Bearbeiten]

Im WS2016 waren es 4 Übungen:

  • 1. Übung: Mit ein paar Tools hantieren und die Identität von jemandem herausfinden (GPG, TOR Hidden Services, I2P) (10 Punkte) (10 Punkte)
  • 2. Übung: von WS2015 (15 Punkte + 3 Bonuspunkte)
  • 3. Übung: von WS2015 (15 Punkte)
  • 4. Übung: Einen Sicheren Messenger anhand von python-axolotl und hex2words erstellen (10 Punkte)

Es wurden aufwändige Plagiatchecks gemacht, besser man reicht seine eigene Lösung ein.

WS2015[Bearbeiten]

Im WS2015 waren es 4 Übungen:

  • 1. Übung: Mit ein paar Tools hantieren und die Identität von jemandem herausfinden (GPG, TOR Hidden Services, I2P) (10 Punkte)
  • 2. Übung: Etwas Python coden: Verwenden einer Python Privacy Library. Es musste ein Mix-Server erstellen, der Nachrichten verschlüsselt, HMACS berechnet,... Die zur Bewertung herangezogenen Testcases wurde zur Verfügung gestellt. (15 Punkte + 3 Bonuspunkte)
  • 3. Übung: Eine TLS MITM Attacke mittels Superfish Zertifikat und anhand des Traffics die Person identifizieren. (15 Punkte)
  • 4. Übung: Regeln für HTTPS Everywhere erstellen und verifizieren. (10 Punkte)

Anstatt der 4. Übung gab es für ausgewählte TeilnehmerInnen die Möglichkeit an einer Studie des Instituts teilzunehmen. (Auswahl erfolgte über eine Tuwel MC-Test).

Alle Übungen (bis auf 2) wurden binär benotet (alles oder nichts).

WS2014[Bearbeiten]

Da im WS2014 die LVA das erstemal abgehalten wird gibt es nur 2 Übungen (insgesamt 50 Punkte möglich).

  • 1. Übung: Mit ein paar Tools hantieren und die Identität von jemanden herausfinden (GPG, TOR Hidden Services, I2P) (20 Punkte)
  • 2. Übung: MITM Attacke mittels SSL-Strip in python programmieren (30 Punkte)

Die Übung ist eher einfach (kommt auf das Vorkenntnis darauf an - aber selbst mit googeln braucht man nicht sehr lange).

Prüfung, Benotung[Bearbeiten]

WS2018[Bearbeiten]

Es gibt ein Midterm und ein Final Exam wobei jedes maximal 25 Punkte bringt. Es müssen bei beiden zumindest 12.5 Punkte erreicht werden um positiv zu sein.

Die Übungen geben insgesamt auch 50 Punkte von denen mindestens 25 Punkte für eine positive Note erreicht werden müssen.

Multiple Choice Prüfung, wobei ein falsches Kreuz bei einer Frage in 0 Punkte für die Frage resultiert, richtige Kreuze liefern anteilsmäßig Punkte für die Frage. Im Vergleich zu IntroSec war die Anzahl der richtigen Kreuze aber nicht angegeben.

Vor WS2018[Bearbeiten]

Multiple Choice Prüfung, wobei ein falsches Kreuz bei einer Frage in 0 Punkte für die Frage resultiert, richtige Kreuze liefern anteilsmäßig Punkte für die Frage. Im Vergleich zu IntroSec war die Anzahl der richtigen Kreuze aber nicht angegeben.

50 Punkte waren zu erreichen, die Fragen sind von oberflächlich bis detailliert, testen aber das Verständnis für den Stoff und kein auswendig gelerntes Wissen.

Benotung nach dem üblichen Schema von diesem Institut:

100 - 92 Punkte - Sehr Gut
91  - .. Punkte - Gut
...

Im WS2014 musste man insgesamt mind. 50 Punkte erreichen, wobei alleine die schriftliche Prüfung positiv sein musste (mind. 25 Punkte).

Dauer der Zeugnisausstellung[Bearbeiten]

WS2015: Anfang Februar. (ca. 1-2 Wochen nach Ende der 4. Übung)

WS2016: Ende Jänner (ca. 6 Wochen nach dem Final Exam)

WS2018: Letzte Übung am 15. Jänner, Zeugnis am 18. Jänner.

Zeitaufwand[Bearbeiten]

Pro Übung ca 5-10 Stunden. (Im WS15 haben aber viele Leute mit der 3. Übung (bzw. der zu verwendenen Software) gekämpft und westlich länger gebraucht) Für die Prüfungen: Folien am Tag vorher durchlesen und verstehen reicht.

andere Meinungen: - minimal ist sicher falsch, für jemanden der noch nie mit crypto tools/programming (vor allem programming!) zu tun gehabt hat. - Erfahrung in Python macht die 2. Aufgabe sicher einfacher.

Unterlagen[Bearbeiten]

noch offen

Tipps[Bearbeiten]

  • Die Vorlesung ist sehr interessant und daher sehr zu empfehlen!

Verbesserungsvorschläge / Kritik[Bearbeiten]

Es sind doch sehr wenige Vorlesungseinheiten und die Themen werden nur oberflächlich behandelt - hier wäre es vielleicht gut etwas in die Tiefe zu gehen.