Suggested Topics

The following list of topics provides some ideas for possible student projects in our group. The topics may be chosen for a Projektarbeit 2 or/and a Bachelor thesis by students with specialization in IT-Security. Interested students can to contact us at any time.

 

Transparent Privacy in Cloud Systems

Specialization: IT-Security / Web / MobiComp

Technologies: Cryptography, Java / Javascript

Description:

Alles ist in der Cloud... Auch die Privatsphäre. In dieser Arbeit soll die Privatsphäre wieder zurück auf die Erde geholt werden. Transparent soll sie sich zwischen den Benutzer und die Web-Applikation der Google-Dienste legen.

 

Ziel der Arbeit ist es, eine Webapplikation zu schreiben, welche die Clouddienste von Google um kryptographische Element bereichert, sodass z.B. Google-Docs / Google-Drive oder der Kalender weiterhin kollaborativ aber auf die Beteiligten beschränkt eingesetzt und eingesehen werden kann. Dabei wird stark auf Kryptographie und Steganographie gesetzt. Mit Hilfe der Google-APIs kann auch eine native Version als Android-App geschrieben werden.

 

Links:

http://www.ibm.com/developerworks/web/library/wa-googlecal/

 

True Random

Specialization: IT-Security / MobiComp

Technologies: Coding Theorie, Android, Java, Cryptography

Description:

In der Welt der Kryptographie ist der echte Zufall oft ein Muss-Kriterium, welches aber noch kaum  eingehalten werden kann. Denn wer hat denn schon einen echten Zufall zur Hand? So prahlen die Leute des Genfer E-Voting Systems damit, aus Cern echte Quanten-Zufall-Bits zu erhalten... Doch warum so weit, denn der Zufallsdetektor liegt heute auf der Hand:

 

Ziel der Arbeit ist es, eine Smartphone App zu schreiben, welche den Vergleich mit den von Genf eingesetzten Quantenzufallszahlen in keiner Weise scheuen muss: Echter Zufall, nicht beeinflussbar, schnell/viel.

 

These:

Mit den Sensoren der heutigen Smartphones kann hervorragend echter Zufall 'eingefangen' werden, ohne gleich an einen kilometergrossen Ringbeschleuniger zu koppeln.

 

Mit dem Studium sowie der Umsetzung eines echten-Zufalls-Detektors als handliche App fürs Smartphone soll diese These untermauert werden.  Mit Hilfe eines Testbetts soll es möglich sein, die Güte des Zufalls zu untersuchen.

 

Das Userinterface der App für die Ein- und Ausgabe soll intuitiv und produktiv sein. Die Ausgabe des Zufalls soll in verschiedensten Formaten über verschiedenste Kanäle zur Verfügung gestellt werden können, sodass andere Applikationen davon profitieren können.

 

Links:

 

Online-Buch:

Implementing Verifiable Mix Networks

Specialization: IT-Security

Technologies: Cryptography, Zero-Knowledge Proofs, Java, Cryptographic Libraries

Description:

Der Anonymisierung von Daten kommt in der heutigen digitalen Gesellschaft eine zunehmend grosse Bedeutung zu. Dabei geht es um das Verschleiern des Urhebers einer Nachricht, einer Datei, oder allgemein einer Information in digitaler Form. Als Beispiel ist die elektronische Stimme in einem E-Voting-System zu erwähnen, die anonymisiert werden muss, um das Stimmgeheimnises zu gewähren.

Eine in der Literatur bekannte Anonymisierungsmethode sind sogenannte "Verifizierbare Mix-Nets". Dabei wir eine Liste von verschlüsselten Nachrichten mehrfach hintereinander permutiert und "wiederverschlüsselt". Am Schluss der Prozedur kommt eine neue Liste von Verschlüsselungen heraus, die mit der Originalliste nicht in Verbindung gebracht werden kann, in der jedoch die gleichen Nachrichten dahinter stehen. Um dies zu garantieren, müssen die einzelnen "Mix-Server" beweisen, dass sie korrekt gemixt haben. Dies geschieht mit sogenannten Zero-Knowledge-Beweisen, die dem Ergebnis beigelegt werden müssen und von jedermann überprüft werden können.

In diesem Projekt geht es darum, diese Verfahren zu studieren und zu verstehen. In einem zweiten Schritt (Bachelor-Arbeit) sollen diese Verfahren implementiert und im Rahmen eines E-Voting-Systems umgesetzt werden.

Links:

Anonymuous Channels

Specialization: IT-Security

Technologies: Java, Cryptographic Libraries

Description:

Anonymous networks allow users of services to hide them from the service providers. There are many circumstance where users welcome this anonymity. In particular in e-voting, voters will remain anonymous while they cast their vote. Tor (https://www.torproject.org/) is an anonymous network on the global scale. In this work you will investigate, design, and implement an anonymous network for the context of e-voting in Switzerland.

Links:

Identity-Based Cryptography

Specialization: IT-Security

Technologies: Cryptography, Elliptic Curves, C, Cryptographic Libraries

Description:

ID-basierte Kryptosysteme erlauben es, den öffentlichen Schlüssel einer Person direkt aus einer eindeutigen ID (z.B AHV-Nummer, e-Mail-Adresse, etc.) dieser Person abzuleiten. Dadurch entfällt das Schlüsselverteilproblem, das sonst mit Zertifikaten gelöst werden muss.

Existierende ID-basierte Kryptosysteme basieren auf sogenannten "Pairings". Zur Zeit sind zwei Pairings bekannt, welche beide auf elliptischen Kurven basieren. Pairings haben sich als kryptographische "Wundermittel" erwiesen, mit denen sich die unterschiedlichen Probleme elegant lösen lassen.

In diesem Projekt geht es darum, die Theorie der Pairings zu verstehen und einige der zahlreichen Anwendungen zu verstehen und umzusetzen. Insbesodere sollen ID-basierte Kryptosysteme betrachtet und implementiert werden.

 

Links:

Homomorphic Symmetric Encryptions

Specialization: IT-Security

Technologies: Cryptography, Cryptographic Libraries, Java

Description:

Im Zeitalter des Internet werden immer mehr Daten im Web, bzw. in der Cloud abgelegt und verarbeitet. So wird es immer üblicher, komplexe und rechenintensive Anwendungen im Internet auszuführen und zu speichern. Bisher blieb dabei die Datensicherheit mehr oder weniger auf der Strecke.

 

In den letzten 5 Jahren sind bahnbrechende Entdeckungen in der angewandten Kryptographie gemacht worden, welche sich mit dem Einsatz homomorpher Eigenschaften von kryptographischen Systemen befasst. Mit Hilfe dieser Eigenschaften ist es nun möglich, im öffentlichen Internet mit verschlüsselten Daten komplexe Operationen durchzuführen, ohne dass die Daten dabei je entschlüsselt werden. Dies erlaubt somit Angebote in der Claud beweisbar verschwiegen zu machen (Privacy by Design).

 

Beispiele:

Dining Cryptographers Problem:

Eine Gruppe von Kryptographen sitzen in einem Restaurant und haben soeben den Nachtisch verspiesen. Da erscheint der Ober und teilt mit, dass die Rechnung für den ganzen Abend bereits beglichen sei.
Nun fragen sich die Kryptographen, ob die Rechnung (oder Teile davon) von anonymen Spender(n) in ihrer Runde bezahlt wurde, oder ob vielleicht die NSA das essen bezahlt hat... Können sie das Problem lösen, ohne dass die Anonymität verloren geht?

 

Millionärsproblem:

Eine Gruppe von Kryptographen wollen herausfinden, wieviel Geld der reichste unter ihnen wohl hat und wieviel Geld die Gruppe als Ganzes besitzt... Können sie das Problem lösen, ohne dass die Anonymität verloren geht?

 

Krypto-Liebes-Problem:

in einer Gruppe von Kryptographen wollen sich ein paar mitteilen, wie lieb sie sich haben. Dabei soll aber niemand in seinen Gefühlen verletzt werden, falls eine mögliche Liebe vom 'Gegenüber' nicht erwidert wird... .Können sie das Problem lösen, ohne dass die Anonymität der Turteltauben verloren geht?

 

In diesem Projekt geht es darum, hinter die fast magisch anmutenden Eigenschaften der voll homomorphen Kryptographie zu blicken, Beispiele derer Anwendung zu studieren und umzusetzen.

 

Links:

Konzept und Prototyp eines Road-Pricing-Systems

Specialization: IT-Security

Technologies: Java, Web Services

Description:

Unter Road-Pricing versteht man die individuelle Erhebung von Gebühren für die Benutzung von Strassen. Eine Variante der Vergütung der Gebühren kann auf der Basis einer periodischen Rechnungszustellung erfolgen. Hier stellen sich ein paar interessante Fragen, die in dieser Arbeit untersucht und beantwortet werden sollen. Fragen sind unter anderem:

  • Wie kann die Privatsphäre der Benutzerin / des Benutzers des Systems geschützt werden?
  • Wie soll das System gebaut sein, so dass der Rechnungssteller eine Rechnung verschicken kann, ohne zu wissen, welche Strassen die Benutzerin / der Benutzer passiert hat?
  • Wie kann die Empfängering / der Empfänger der Rechnung sicher sein, dass diese stimmt?

Nach Einarbeitung und Erstellung eines Konzepts sollen Teile des Road-Pricing-Systems implementiert werden. Eignet sich auch als Fortsetzung für eine Bachelor-Arbeit.

News

February 4th, 2016

Paper on "Pseudo-Code Algorithms for Verifiable Re-Encryption Mix-Nets" accepted for publication at Voting'17 workshop.

December 16th, 2016

Paper on "Implementing Broadcast Channels with Memory for Electronic Voting Systems" accepted for publication at JeDEM.

July 11th, 2016

Paper on "Cast-as-Intended Verification in Electronic Elections Based on Oblivious Transfer" accepted for publication at E-Vote-ID'16.