SlideShare ist ein Scribd-Unternehmen logo

Secure Mobile Cloud Service for personal data with web frontend based on HTML5

Als PPT, PDF herunterladen
Amir Neziri
Amir Neziri
Technologie
1 von 39
Masterarbeit Secure Mobile Cloud Service for personal data with web frontend based on HTML5 Betreuer: Prof. Dr. Michael Waidner Verantwortlicher Mitarbeiter: Jan Peter Stotz Bearbeiter: Amir Neziri
Einführung • Persönliche Daten werden vermehrt auf viele unterschiedliche Geräten verteilt • Aktueller Ansatz: Geräte synchronisieren sich mit einem Cloud-Service-Anbieter • Cloud-Service-Anbieter bieten den Benutzern billige und größere Speicher zur Verwaltung persönlichen Daten • Problem: Benutzer hat keine Kontrolle über seine eigenen persönlichen Daten. 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 2
Einführung • Fraunhofer SIT Studie über Cloud-Speicherdiensten (2012) 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 3
Einführung • US Patriot-Act Quelle: heise.de 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 4
Agenda • Ziele • Stand der Technik heute • Design • Prototypische Implementierung • DEMO • Evaluation • Ausblick 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 5
Ziele • Prototypische Entwicklung und Implementierung eines webbasierten Systems • Implementierung nur mit Hilfe von HTML5 und JavaScript • Verwaltung von persönlichen Daten nur in verschlüsselter Form • Bewertung von Mechanismen zur Verwaltung von kryptographischen Schlüsseln • Benutzerfreundliches System und akzeptable Sicherheit verfügbar 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 6
Stand der Technik heute • Verschlüsselungsverfahren • Symmetrische Verschlüsselung • Asymmetrische Verschlüsselung • Hybride Verfahren • Elliptische Kurven • Mobiele Verschlüsselungshardware • Schlüsselmanagement • Webbrowser (Passwordmanagement) • Hardware, Chipkarten Smart Cards und Java Cards • Hypertext Markup Language5 (HTML5) • localStorage, sessionStorage, AppCache… 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 7
Stand der Technik heute • Not only SQL Datenbanken (NoSQL) • Asynchronus JavaScript and XML (Ajax) • Transport Layer Security Protocol (TLS) • Alternative Implementierungen • Omnicloud (Fraunhofer Institut) • Amazon Simple Storage Service (Amazon S3) • BoxCryptor für Dropbox, Google Drive und Microsoft SkyDrive 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 8
Design 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 9
Design • Anforderungen • Simulierung eines Cloud-Service-Anbieters • Verschlüsselung und Entschlüsselung der persönlichen Daten • Entwicklung des Web-Front-Ends mit Hilfe von HTML5 und JavaScript • Schlüsselmanagement 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 10
Design • Daten werden in JavaScript Object Notation (JSON)-Format strukturiert (Dokument) • Symmetrische Datenverschlüsselung • NIST-Standard: Advanced Encryption Standard (AES )256 Bit • Sicherheitskonzept • TLS-Protokoll für Kommunikation zwischen Web-Front-End und Cloud-Service-Anbieter • Datenverschlüsselung im Browser 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 11
Design • Sicherheitskonzept • Jedes Dokument wird mit einem eigenem Schlüssel verschlüsselt • Passwörter werden nicht persistent im Klartext abgelegt • Zugriffskontrolle auf Cloud-Service-Anbieter-Seite • Schlüsselverwaltung • Benutzer merkt eine einfaches Passwort • Ein (komplexes) Passwort wird extern gespeichert • Firefox Browser, Key-Server, Festplatte, USB-Stick oder SD- Karten 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 12
Design • Struktur der Datenspeicherung Name Vorname Adresse Tel Neziri Amir Am triesch 32, 0176 0983 8374 Alsfeld … in JSON-Format umgewandelt { „name“: „Neziri“, „vorname“: „Amir“, „adresse“: „Am triesch 32, Alsfeld“, „tel“: „0176 0983 8374“ } 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 13
Design • Nach der Verschlüsselung der Daten, das JSON-Format wird erweitert • _id: Notwendig zur Identifizierung eines Dokumentes • _rev_id: Dient für die Revision des Dokuments • key: Authentication Data, Initial Vector, iter, mode, salt, Tagsize, keysize und der Schlüssel 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 14
Design { " _id " : " 82cca8060f3da5e87473f0ae04000b90 " , " _rev " : "162bd2b426b958485ef211435879e009d " , "name " : " dAWRkJWo4LPrza77d6Y " , " vorname " : " ew2Ci //RVQg5XNkF" , " adresse " : " ew3LrZWoX2o7S1eJdAaAR0jMVI+lWCuc55DvalmS " , " tel " : " ClHcz8fxAyFrA0+JcR4w3wGCLvEmww" , " key " : "88ofF26wzuCUXLYYJi8uYvFgi7AvmOj9eZNp+KEniLGuXfW2kN0mzjaHeFslR9 ATWU1p3ZwKTSmW2UETRoR+02I2D1xxNKIU6hP6cS4IaxJKrkva6yIQzpcBLYVIl07 BYx25W PvcBIIJZvFCq3In4DeKDfCz7P/J195kK8b5a/oFEBdVPiE49xS0uzr5NAyxWSLx5u4UY PV251I " } 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 15
Design - Verschlüsselungsprozess 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 16
Prototypische Implementierung • Anforderungen (Funktionale Anforderungen) • Web-Front-End soll über einen Web-Server zur Verfügung gestellt werden • Verschiedene Einstellung sollen im Web-Front-End angeboten werden, wie z.B.: Verschlüsselungsverfahren, URL Eingabe, Zugangsdaten etc. • Verwaltung von persönlichen Kontaktdaten in verschlüsselter Form • Datensynchronisierung • Verwendung einer NoSQL-Datenbank 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 17
Prototypische Implementierung • Anforderungen (Nicht Funktionale) • Sicherheit: Sichere Datenübertragung und Datenverschlüsslung im Browser des Benutzers • Bedienbarkeit: Benutzungsfreundlichkeit u.a. auch in mobilen Szenarien • Wartbarkeit: Anpassungen erleichtern • Effizienz: Auswirkungen auf Ressourcenverbrauch (z.B. Akkulaufzeit in mobilen Geräten) 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 18
Prototypische Implementierung • Entwicklungsumgebung (Windows7 virtuelle Maschine) Software Version Eclipse IDE for JavaScript Web Developers Helios Release Jquery, Jquery JSONP und JQuery Mobile 1.1.0, 1.7.1, 2.1.4 und 1.1.0 Standford JavaScript Crypto Library (SJCL) Firefox 11.0 Chrome 18.0.1025.142 m Opera 11.62 Internet Explorer 9.0.8112.16421 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 19
Prototypische Implementierung • Konfigurationsänderung des Firefox-Browsers notwendig für den Zugriff der Passwortverwaltung • Firefox->aobout:config- >singed.applets.codebase_principal_support=true • Key-Server für die Schlüsselverwaltung • Datenkommunikation über TLS • Datenstruktur in JSON-Format • Datenverschlüsselung mit AES-256 • USB-Sticks, Festplatten und SD-Karten für die Schlüsselverwaltung • Datenverschlüsselung mit AES-256 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 20
Prototypische Implementierung • Web-Front –End heißt SMOLCS (Secure Mobile Cloude Service) • Architektur • Cloud-Service-Anbieter • Software-As-a-Service • CouchDB mit Representational State Transfer (REST)-APIs 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 21
DEMO 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 22
Evaluation • Datenübertragung zwischen SMOLCS und Cloud-Service- Anbieter erfolgt über TLS-Protokoll • Persönliche Daten des Benutzers werden auf der Benutzerseite im Browser mit AES-256 Algorithmus verschlüsselt bzw. entschlüsselt • Schlüsselverwaltung im Firefox-Browser hat negative Konsequenzen auf die gesammte Sicherheit des Systems • Key-Server ist eine alternative Lösung zur Browser- Passwortverwaltung 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 23
Evaluation • HTML5 Sicherheit im SMOLCS • „Persistent Attack Vectors“-Angriff nicht möglich: Daten werden aus localStorage gefiltert • „Session-Hijacking“ und „User Tracking“ sind nicht möglich: keine Benutzer-Session-Ids und eindeutige Daten werden im localStorage gespeichert • „Cache Poisoning“-Angriff ist sehr kritisches Sicherheitsproblem. Dies kann nicht vom Entwickler des Web-Front-Ends vermieden werden (HTML5 Spezifikation). • Mögliche Lösung: Integrität des Web-Front-Ends durch Browser-Plog-Ins überprüfen. 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 24
Evaluation 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 25
Evaluation Funktionen HTML5 JavaScript JQuery&JQuery REST API HTTP/SSL Mobile localStorage X X - - - AppCache X X - - - Datei Lesen X X - - - Browser - X - - - Passwortverwalt ung Zugriff Key-Server - X X X X Zugriff Daten löschen - X X X X Daten einfügen - X X X X Login&Logout - X X X X Kryptographie - X - - - 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 26
Evaluation Funktionen Lokal Web- Firefox 1 IE 9 Chrome Opera 11 Server 18 localStorage X X X X X X AppCache X X X - X X Datei Lesen X X X X X X Browser X X X - - - Passwortverw altung Zugriff Key-Server X X X X X X Zugriff Daten löschen - X X X X X Daten - X X X X X einfügen Login&Logout - X X X X X Kryptographie X X X X X X 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 27
Evaluation Was geschieht mit den verschlüsselten Daten, die von jemandem kopiert werden können? …warte noch < 20 Jahre damit… 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 28
Ausblick • Modulerweiterungen und Verschlüsselungsverfahren • z.B. Kalender, Bilderverwaltung, Verwaltung von Notizen und E- Mails • Public-Key-Verfahren und symmetrische Verschlüsselungsverfahren • Datensuche durch Musteranwendung ermöglichen • Implementierung der Web-Front-End Funktionen für den Offline-Modus • Durch den Einsatz vom localStorage oder sessionStorage 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 29
Ausblick • Verwendung von weiteren HTML5-Schnittstellen • WebSockets für die Realisierung von Web-Applikationen für lokale Ausführungen. Aktuelle werden WebSockets nicht von allen Browsern unterstützt • HTML5-Tag keygen: Zur Erzeugung von Schlüsselpaaren für Publick-Key-Verfahren (nur für Formen (Forms) ) • Web Workers für größere Berechnungen (E-Mails, Bilder…) 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 30
Questions??? 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 31
26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 32
SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 33
SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 34
SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 35
SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 36
SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 37
SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 38
SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 39

Empfohlen

SSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash TechnologieSSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash TechnologieKroll Ontrack GmbH
 
Mediadaten 2014
Mediadaten 2014Mediadaten 2014
Mediadaten 2014emotion banking
 
Ano, meses y semanas
Ano, meses y semanasAno, meses y semanas
Ano, meses y semanasM Carmen Baeza Rubio
 
Aihk Mitteilungen 06 2012
Aihk Mitteilungen 06 2012Aihk Mitteilungen 06 2012
Aihk Mitteilungen 06 2012aihkch
 
Gründernacht rhein main frankfurt 14.12.
Gründernacht rhein main frankfurt 14.12.Gründernacht rhein main frankfurt 14.12.
Gründernacht rhein main frankfurt 14.12.Für-Gründer.de
 
Procesos cognitivos y HCI
Procesos cognitivos y HCIProcesos cognitivos y HCI
Procesos cognitivos y HCIOmar Sosa-Tzec
 
Mitwirken bei WordPress
Mitwirken bei WordPressMitwirken bei WordPress
Mitwirken bei WordPressBirgit Olzem
 
RETOS Y OPORTUNIDADES EN MARKETING Q3 2014
RETOS Y OPORTUNIDADES EN MARKETING Q3 2014RETOS Y OPORTUNIDADES EN MARKETING Q3 2014
RETOS Y OPORTUNIDADES EN MARKETING Q3 2014PAVEL ALVAREZ
 

Empfohlen

SSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash TechnologieSSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash TechnologieKroll Ontrack GmbH
 
Mediadaten 2014
Mediadaten 2014Mediadaten 2014
Mediadaten 2014emotion banking
 
Ano, meses y semanas
Ano, meses y semanasAno, meses y semanas
Ano, meses y semanasM Carmen Baeza Rubio
 
Aihk Mitteilungen 06 2012
Aihk Mitteilungen 06 2012Aihk Mitteilungen 06 2012
Aihk Mitteilungen 06 2012aihkch
 
Gründernacht rhein main frankfurt 14.12.
Gründernacht rhein main frankfurt 14.12.Gründernacht rhein main frankfurt 14.12.
Gründernacht rhein main frankfurt 14.12.Für-Gründer.de
 
Procesos cognitivos y HCI
Procesos cognitivos y HCIProcesos cognitivos y HCI
Procesos cognitivos y HCIOmar Sosa-Tzec
 
Mitwirken bei WordPress
Mitwirken bei WordPressMitwirken bei WordPress
Mitwirken bei WordPressBirgit Olzem
 
RETOS Y OPORTUNIDADES EN MARKETING Q3 2014
RETOS Y OPORTUNIDADES EN MARKETING Q3 2014RETOS Y OPORTUNIDADES EN MARKETING Q3 2014
RETOS Y OPORTUNIDADES EN MARKETING Q3 2014PAVEL ALVAREZ
 
Bit WiSe 2013 | Basisinformationstechnologie I - 12: Algorithmen und Datenstr...
Bit WiSe 2013 | Basisinformationstechnologie I - 12: Algorithmen und Datenstr...Bit WiSe 2013 | Basisinformationstechnologie I - 12: Algorithmen und Datenstr...
Bit WiSe 2013 | Basisinformationstechnologie I - 12: Algorithmen und Datenstr...Institute for Digital Humanities, University of Cologne
 
Adaptionsbarrieren nachhaltiger Innovationen
Adaptionsbarrieren nachhaltiger InnovationenAdaptionsbarrieren nachhaltiger Innovationen
Adaptionsbarrieren nachhaltiger InnovationenTobias Löhr
 
Sommer Rennradwoche 2014 in Südtirol
Sommer Rennradwoche 2014 in SüdtirolSommer Rennradwoche 2014 in Südtirol
Sommer Rennradwoche 2014 in SüdtirolHotel Lindenhof
 
Síntesis de Diseño e Interacción Humano Computadora
Síntesis de Diseño e Interacción Humano ComputadoraSíntesis de Diseño e Interacción Humano Computadora
Síntesis de Diseño e Interacción Humano ComputadoraOmar Sosa-Tzec
 
Principios de Diseño Visual para Interacción Humano-Computadora
Principios de Diseño Visual para Interacción Humano-ComputadoraPrincipios de Diseño Visual para Interacción Humano-Computadora
Principios de Diseño Visual para Interacción Humano-ComputadoraOmar Sosa-Tzec
 
Content für das Enterprise 2.0 - 5 Thesen
Content für das Enterprise 2.0 - 5 ThesenContent für das Enterprise 2.0 - 5 Thesen
Content für das Enterprise 2.0 - 5 ThesenMichael Hafner
 
Crowd funding monitor 2011
Crowd funding monitor 2011Crowd funding monitor 2011
Crowd funding monitor 2011Für-Gründer.de
 
Revista caudal nº 3
Revista caudal nº 3Revista caudal nº 3
Revista caudal nº 3asalinasc
 
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...Peter Hecker
 
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...Peter Hecker
 
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoffstackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian WiethoffNETWAYS
 
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - Webinar
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - WebinarSSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - Webinar
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - WebinarKroll Ontrack GmbH
 
Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...
Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...
Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...NETWAYS
 
Avoid Network-Issues and Polling
Avoid Network-Issues and PollingAvoid Network-Issues and Polling
Avoid Network-Issues and PollingKai Donato
 
Top 10 Internet Trends 2009
Top 10 Internet Trends 2009Top 10 Internet Trends 2009
Top 10 Internet Trends 2009Jürg Stuker
 
openstack Übersicht @GPN15
openstack Übersicht @GPN15openstack Übersicht @GPN15
openstack Übersicht @GPN15m1no
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Agenda Europe 2035
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
2009 - DNC: Silverlight ohne UI - Nur als Cache
2009 - DNC: Silverlight ohne UI - Nur als Cache2009 - DNC: Silverlight ohne UI - Nur als Cache
2009 - DNC: Silverlight ohne UI - Nur als CacheDaniel Fisher
 
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText BasisAnwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basisnetmedianer GmbH
 
Pimp My SharePoint - Performanceprobleme vorbeugen, analysieren und beheben
Pimp My SharePoint - Performanceprobleme vorbeugen, analysieren und behebenPimp My SharePoint - Performanceprobleme vorbeugen, analysieren und beheben
Pimp My SharePoint - Performanceprobleme vorbeugen, analysieren und behebenDavid Schneider
 
DOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pubDOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pubLoopback.ORG
 

Weitere ähnliche Inhalte

Andere mochten auch

Adaptionsbarrieren nachhaltiger Innovationen
Adaptionsbarrieren nachhaltiger InnovationenAdaptionsbarrieren nachhaltiger Innovationen
Adaptionsbarrieren nachhaltiger InnovationenTobias Löhr
 
Sommer Rennradwoche 2014 in Südtirol
Sommer Rennradwoche 2014 in SüdtirolSommer Rennradwoche 2014 in Südtirol
Sommer Rennradwoche 2014 in SüdtirolHotel Lindenhof
 
Síntesis de Diseño e Interacción Humano Computadora
Síntesis de Diseño e Interacción Humano ComputadoraSíntesis de Diseño e Interacción Humano Computadora
Síntesis de Diseño e Interacción Humano ComputadoraOmar Sosa-Tzec
 
Principios de Diseño Visual para Interacción Humano-Computadora
Principios de Diseño Visual para Interacción Humano-ComputadoraPrincipios de Diseño Visual para Interacción Humano-Computadora
Principios de Diseño Visual para Interacción Humano-ComputadoraOmar Sosa-Tzec
 
Content für das Enterprise 2.0 - 5 Thesen
Content für das Enterprise 2.0 - 5 ThesenContent für das Enterprise 2.0 - 5 Thesen
Content für das Enterprise 2.0 - 5 ThesenMichael Hafner
 
Crowd funding monitor 2011
Crowd funding monitor 2011Crowd funding monitor 2011
Crowd funding monitor 2011Für-Gründer.de
 
Revista caudal nº 3
Revista caudal nº 3Revista caudal nº 3
Revista caudal nº 3asalinasc
 

Andere mochten auch (8)

Bit WiSe 2013 | Basisinformationstechnologie I - 12: Algorithmen und Datenstr...
Bit WiSe 2013 | Basisinformationstechnologie I - 12: Algorithmen und Datenstr...Bit WiSe 2013 | Basisinformationstechnologie I - 12: Algorithmen und Datenstr...
Bit WiSe 2013 | Basisinformationstechnologie I - 12: Algorithmen und Datenstr...
 
Adaptionsbarrieren nachhaltiger Innovationen
Adaptionsbarrieren nachhaltiger InnovationenAdaptionsbarrieren nachhaltiger Innovationen
Adaptionsbarrieren nachhaltiger Innovationen
 
Sommer Rennradwoche 2014 in Südtirol
Sommer Rennradwoche 2014 in SüdtirolSommer Rennradwoche 2014 in Südtirol
Sommer Rennradwoche 2014 in Südtirol
 
Síntesis de Diseño e Interacción Humano Computadora
Síntesis de Diseño e Interacción Humano ComputadoraSíntesis de Diseño e Interacción Humano Computadora
Síntesis de Diseño e Interacción Humano Computadora
 
Principios de Diseño Visual para Interacción Humano-Computadora
Principios de Diseño Visual para Interacción Humano-ComputadoraPrincipios de Diseño Visual para Interacción Humano-Computadora
Principios de Diseño Visual para Interacción Humano-Computadora
 
Content für das Enterprise 2.0 - 5 Thesen
Content für das Enterprise 2.0 - 5 ThesenContent für das Enterprise 2.0 - 5 Thesen
Content für das Enterprise 2.0 - 5 Thesen
 
Crowd funding monitor 2011
Crowd funding monitor 2011Crowd funding monitor 2011
Crowd funding monitor 2011
 
Revista caudal nº 3
Revista caudal nº 3Revista caudal nº 3
Revista caudal nº 3
 

Ähnlich wie Secure Mobile Cloud Service for personal data with web frontend based on HTML5

JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...Peter Hecker
 
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...Peter Hecker
 
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoffstackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian WiethoffNETWAYS
 
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - Webinar
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - WebinarSSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - Webinar
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - WebinarKroll Ontrack GmbH
 
Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...
Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...
Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...NETWAYS
 
Avoid Network-Issues and Polling
Avoid Network-Issues and PollingAvoid Network-Issues and Polling
Avoid Network-Issues and PollingKai Donato
 
Top 10 Internet Trends 2009
Top 10 Internet Trends 2009Top 10 Internet Trends 2009
Top 10 Internet Trends 2009Jürg Stuker
 
openstack Übersicht @GPN15
openstack Übersicht @GPN15openstack Übersicht @GPN15
openstack Übersicht @GPN15m1no
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Agenda Europe 2035
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalQAware GmbH
 
2009 - DNC: Silverlight ohne UI - Nur als Cache
2009 - DNC: Silverlight ohne UI - Nur als Cache2009 - DNC: Silverlight ohne UI - Nur als Cache
2009 - DNC: Silverlight ohne UI - Nur als CacheDaniel Fisher
 
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText BasisAnwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basisnetmedianer GmbH
 
Pimp My SharePoint - Performanceprobleme vorbeugen, analysieren und beheben
Pimp My SharePoint - Performanceprobleme vorbeugen, analysieren und behebenPimp My SharePoint - Performanceprobleme vorbeugen, analysieren und beheben
Pimp My SharePoint - Performanceprobleme vorbeugen, analysieren und behebenDavid Schneider
 
DOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pubDOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pubLoopback.ORG
 
Tipps zur Performanceoptimierung für Liferay Portal
Tipps zur Performanceoptimierung für Liferay PortalTipps zur Performanceoptimierung für Liferay Portal
Tipps zur Performanceoptimierung für Liferay PortalStefan Hilpp
 
ShareConf 2014: 10 Gründe warum der SharePoint langsam ist
ShareConf 2014: 10 Gründe warum der SharePoint langsam istShareConf 2014: 10 Gründe warum der SharePoint langsam ist
ShareConf 2014: 10 Gründe warum der SharePoint langsam istDavid Schneider
 
Logstash: Open Source Log-Management (Webinar vom 20.02.2014)
Logstash: Open Source Log-Management (Webinar vom 20.02.2014)Logstash: Open Source Log-Management (Webinar vom 20.02.2014)
Logstash: Open Source Log-Management (Webinar vom 20.02.2014)NETWAYS
 
HTML5-Performance: So rennt Ihre App und nicht Ihre Anwender (weg)
HTML5-Performance: So rennt Ihre App und nicht Ihre Anwender (weg)HTML5-Performance: So rennt Ihre App und nicht Ihre Anwender (weg)
HTML5-Performance: So rennt Ihre App und nicht Ihre Anwender (weg)André Krämer
 
WebGL - 3D im Browser - Erfahrungsbericht mit BabylonJS
WebGL - 3D im Browser - Erfahrungsbericht mit BabylonJSWebGL - 3D im Browser - Erfahrungsbericht mit BabylonJS
WebGL - 3D im Browser - Erfahrungsbericht mit BabylonJSOliver Hader
 

Ähnlich wie Secure Mobile Cloud Service for personal data with web frontend based on HTML5 (20)

JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
 
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
JavaScript goes Enterprise - Node.js-Anwendungen mit Visual Studio und den No...
 
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoffstackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
 
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - Webinar
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - WebinarSSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - Webinar
SSD vs HDD: Risiken und Nebenwirkungen der Flash-Technologie - Webinar
 
Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...
Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...
Elastic Stack: Grundlagen der zentralen Logdatenverwaltung (Webinar vom 15. A...
 
Avoid Network-Issues and Polling
Avoid Network-Issues and PollingAvoid Network-Issues and Polling
Avoid Network-Issues and Polling
 
Top 10 Internet Trends 2009
Top 10 Internet Trends 2009Top 10 Internet Trends 2009
Top 10 Internet Trends 2009
 
openstack Übersicht @GPN15
openstack Übersicht @GPN15openstack Übersicht @GPN15
openstack Übersicht @GPN15
 
Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)Wolfgang Mader (Huemer Data Center)
Wolfgang Mader (Huemer Data Center)
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue Normal
 
2009 - DNC: Silverlight ohne UI - Nur als Cache
2009 - DNC: Silverlight ohne UI - Nur als Cache2009 - DNC: Silverlight ohne UI - Nur als Cache
2009 - DNC: Silverlight ohne UI - Nur als Cache
 
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText BasisAnwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
Anwender-Case Karl Storz GmbH & Co. KG auf OpenText Basis
 
Pimp My SharePoint - Performanceprobleme vorbeugen, analysieren und beheben
Pimp My SharePoint - Performanceprobleme vorbeugen, analysieren und behebenPimp My SharePoint - Performanceprobleme vorbeugen, analysieren und beheben
Pimp My SharePoint - Performanceprobleme vorbeugen, analysieren und beheben
 
DOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pubDOAG 2015 enterprise_securitymitlda_pundpki-pub
DOAG 2015 enterprise_securitymitlda_pundpki-pub
 
[DE] Keynote ECM Vision | Dr. Ulrich Kampffmeyer | Computerwoche | 2007
[DE] Keynote ECM Vision | Dr. Ulrich Kampffmeyer | Computerwoche | 2007[DE] Keynote ECM Vision | Dr. Ulrich Kampffmeyer | Computerwoche | 2007
[DE] Keynote ECM Vision | Dr. Ulrich Kampffmeyer | Computerwoche | 2007
 
Tipps zur Performanceoptimierung für Liferay Portal
Tipps zur Performanceoptimierung für Liferay PortalTipps zur Performanceoptimierung für Liferay Portal
Tipps zur Performanceoptimierung für Liferay Portal
 
ShareConf 2014: 10 Gründe warum der SharePoint langsam ist
ShareConf 2014: 10 Gründe warum der SharePoint langsam istShareConf 2014: 10 Gründe warum der SharePoint langsam ist
ShareConf 2014: 10 Gründe warum der SharePoint langsam ist
 
Logstash: Open Source Log-Management (Webinar vom 20.02.2014)
Logstash: Open Source Log-Management (Webinar vom 20.02.2014)Logstash: Open Source Log-Management (Webinar vom 20.02.2014)
Logstash: Open Source Log-Management (Webinar vom 20.02.2014)
 
HTML5-Performance: So rennt Ihre App und nicht Ihre Anwender (weg)
HTML5-Performance: So rennt Ihre App und nicht Ihre Anwender (weg)HTML5-Performance: So rennt Ihre App und nicht Ihre Anwender (weg)
HTML5-Performance: So rennt Ihre App und nicht Ihre Anwender (weg)
 
WebGL - 3D im Browser - Erfahrungsbericht mit BabylonJS
WebGL - 3D im Browser - Erfahrungsbericht mit BabylonJSWebGL - 3D im Browser - Erfahrungsbericht mit BabylonJS
WebGL - 3D im Browser - Erfahrungsbericht mit BabylonJS
 

Mehr von Amir Neziri

Security of Web Servers and Web Applications
Security of Web Servers and Web ApplicationsSecurity of Web Servers and Web Applications
Security of Web Servers and Web ApplicationsAmir Neziri
 
Quellcode Analyse
Quellcode AnalyseQuellcode Analyse
Quellcode AnalyseAmir Neziri
 
Privacy and identity management for everyone
Privacy and identity management for everyonePrivacy and identity management for everyone
Privacy and identity management for everyoneAmir Neziri
 
Sichere Handy-Ortung zur Unterstützung des Katastrophenmanagements auf Basis ...
Sichere Handy-Ortung zur Unterstützung des Katastrophenmanagements auf Basis ...Sichere Handy-Ortung zur Unterstützung des Katastrophenmanagements auf Basis ...
Sichere Handy-Ortung zur Unterstützung des Katastrophenmanagements auf Basis ...Amir Neziri
 
Software(runtime) attacks
Software(runtime) attacksSoftware(runtime) attacks
Software(runtime) attacksAmir Neziri
 
Electronic credentials
Electronic credentialsElectronic credentials
Electronic credentialsAmir Neziri
 
Introduction to cryptography
Introduction to cryptographyIntroduction to cryptography
Introduction to cryptographyAmir Neziri
 

Mehr von Amir Neziri (7)

Security of Web Servers and Web Applications
Security of Web Servers and Web ApplicationsSecurity of Web Servers and Web Applications
Security of Web Servers and Web Applications
 
Quellcode Analyse
Quellcode AnalyseQuellcode Analyse
Quellcode Analyse
 
Privacy and identity management for everyone
Privacy and identity management for everyonePrivacy and identity management for everyone
Privacy and identity management for everyone
 
Sichere Handy-Ortung zur Unterstützung des Katastrophenmanagements auf Basis ...
Sichere Handy-Ortung zur Unterstützung des Katastrophenmanagements auf Basis ...Sichere Handy-Ortung zur Unterstützung des Katastrophenmanagements auf Basis ...
Sichere Handy-Ortung zur Unterstützung des Katastrophenmanagements auf Basis ...
 
Software(runtime) attacks
Software(runtime) attacksSoftware(runtime) attacks
Software(runtime) attacks
 
Electronic credentials
Electronic credentialsElectronic credentials
Electronic credentials
 
Introduction to cryptography
Introduction to cryptographyIntroduction to cryptography
Introduction to cryptography
 

Secure Mobile Cloud Service for personal data with web frontend based on HTML5

  • 1. Masterarbeit Secure Mobile Cloud Service for personal data with web frontend based on HTML5 Betreuer: Prof. Dr. Michael Waidner Verantwortlicher Mitarbeiter: Jan Peter Stotz Bearbeiter: Amir Neziri
  • 2. Einführung • Persönliche Daten werden vermehrt auf viele unterschiedliche Geräten verteilt • Aktueller Ansatz: Geräte synchronisieren sich mit einem Cloud-Service-Anbieter • Cloud-Service-Anbieter bieten den Benutzern billige und größere Speicher zur Verwaltung persönlichen Daten • Problem: Benutzer hat keine Kontrolle über seine eigenen persönlichen Daten. 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 2
  • 3. Einführung • Fraunhofer SIT Studie über Cloud-Speicherdiensten (2012) 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 3
  • 4. Einführung • US Patriot-Act Quelle: heise.de 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 4
  • 5. Agenda • Ziele • Stand der Technik heute • Design • Prototypische Implementierung • DEMO • Evaluation • Ausblick 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 5
  • 6. Ziele • Prototypische Entwicklung und Implementierung eines webbasierten Systems • Implementierung nur mit Hilfe von HTML5 und JavaScript • Verwaltung von persönlichen Daten nur in verschlüsselter Form • Bewertung von Mechanismen zur Verwaltung von kryptographischen Schlüsseln • Benutzerfreundliches System und akzeptable Sicherheit verfügbar 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 6
  • 7. Stand der Technik heute • Verschlüsselungsverfahren • Symmetrische Verschlüsselung • Asymmetrische Verschlüsselung • Hybride Verfahren • Elliptische Kurven • Mobiele Verschlüsselungshardware • Schlüsselmanagement • Webbrowser (Passwordmanagement) • Hardware, Chipkarten Smart Cards und Java Cards • Hypertext Markup Language5 (HTML5) • localStorage, sessionStorage, AppCache… 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 7
  • 8. Stand der Technik heute • Not only SQL Datenbanken (NoSQL) • Asynchronus JavaScript and XML (Ajax) • Transport Layer Security Protocol (TLS) • Alternative Implementierungen • Omnicloud (Fraunhofer Institut) • Amazon Simple Storage Service (Amazon S3) • BoxCryptor für Dropbox, Google Drive und Microsoft SkyDrive 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 8
  • 9. Design 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 9
  • 10. Design • Anforderungen • Simulierung eines Cloud-Service-Anbieters • Verschlüsselung und Entschlüsselung der persönlichen Daten • Entwicklung des Web-Front-Ends mit Hilfe von HTML5 und JavaScript • Schlüsselmanagement 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 10
  • 11. Design • Daten werden in JavaScript Object Notation (JSON)-Format strukturiert (Dokument) • Symmetrische Datenverschlüsselung • NIST-Standard: Advanced Encryption Standard (AES )256 Bit • Sicherheitskonzept • TLS-Protokoll für Kommunikation zwischen Web-Front-End und Cloud-Service-Anbieter • Datenverschlüsselung im Browser 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 11
  • 12. Design • Sicherheitskonzept • Jedes Dokument wird mit einem eigenem Schlüssel verschlüsselt • Passwörter werden nicht persistent im Klartext abgelegt • Zugriffskontrolle auf Cloud-Service-Anbieter-Seite • Schlüsselverwaltung • Benutzer merkt eine einfaches Passwort • Ein (komplexes) Passwort wird extern gespeichert • Firefox Browser, Key-Server, Festplatte, USB-Stick oder SD- Karten 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 12
  • 13. Design • Struktur der Datenspeicherung Name Vorname Adresse Tel Neziri Amir Am triesch 32, 0176 0983 8374 Alsfeld … in JSON-Format umgewandelt { „name“: „Neziri“, „vorname“: „Amir“, „adresse“: „Am triesch 32, Alsfeld“, „tel“: „0176 0983 8374“ } 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 13
  • 14. Design • Nach der Verschlüsselung der Daten, das JSON-Format wird erweitert • _id: Notwendig zur Identifizierung eines Dokumentes • _rev_id: Dient für die Revision des Dokuments • key: Authentication Data, Initial Vector, iter, mode, salt, Tagsize, keysize und der Schlüssel 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 14
  • 15. Design { " _id " : " 82cca8060f3da5e87473f0ae04000b90 " , " _rev " : "162bd2b426b958485ef211435879e009d " , "name " : " dAWRkJWo4LPrza77d6Y " , " vorname " : " ew2Ci //RVQg5XNkF" , " adresse " : " ew3LrZWoX2o7S1eJdAaAR0jMVI+lWCuc55DvalmS " , " tel " : " ClHcz8fxAyFrA0+JcR4w3wGCLvEmww" , " key " : "88ofF26wzuCUXLYYJi8uYvFgi7AvmOj9eZNp+KEniLGuXfW2kN0mzjaHeFslR9 ATWU1p3ZwKTSmW2UETRoR+02I2D1xxNKIU6hP6cS4IaxJKrkva6yIQzpcBLYVIl07 BYx25W PvcBIIJZvFCq3In4DeKDfCz7P/J195kK8b5a/oFEBdVPiE49xS0uzr5NAyxWSLx5u4UY PV251I " } 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 15
  • 16. Design - Verschlüsselungsprozess 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 16
  • 17. Prototypische Implementierung • Anforderungen (Funktionale Anforderungen) • Web-Front-End soll über einen Web-Server zur Verfügung gestellt werden • Verschiedene Einstellung sollen im Web-Front-End angeboten werden, wie z.B.: Verschlüsselungsverfahren, URL Eingabe, Zugangsdaten etc. • Verwaltung von persönlichen Kontaktdaten in verschlüsselter Form • Datensynchronisierung • Verwendung einer NoSQL-Datenbank 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 17
  • 18. Prototypische Implementierung • Anforderungen (Nicht Funktionale) • Sicherheit: Sichere Datenübertragung und Datenverschlüsslung im Browser des Benutzers • Bedienbarkeit: Benutzungsfreundlichkeit u.a. auch in mobilen Szenarien • Wartbarkeit: Anpassungen erleichtern • Effizienz: Auswirkungen auf Ressourcenverbrauch (z.B. Akkulaufzeit in mobilen Geräten) 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 18
  • 19. Prototypische Implementierung • Entwicklungsumgebung (Windows7 virtuelle Maschine) Software Version Eclipse IDE for JavaScript Web Developers Helios Release Jquery, Jquery JSONP und JQuery Mobile 1.1.0, 1.7.1, 2.1.4 und 1.1.0 Standford JavaScript Crypto Library (SJCL) Firefox 11.0 Chrome 18.0.1025.142 m Opera 11.62 Internet Explorer 9.0.8112.16421 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 19
  • 20. Prototypische Implementierung • Konfigurationsänderung des Firefox-Browsers notwendig für den Zugriff der Passwortverwaltung • Firefox->aobout:config- >singed.applets.codebase_principal_support=true • Key-Server für die Schlüsselverwaltung • Datenkommunikation über TLS • Datenstruktur in JSON-Format • Datenverschlüsselung mit AES-256 • USB-Sticks, Festplatten und SD-Karten für die Schlüsselverwaltung • Datenverschlüsselung mit AES-256 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 20
  • 21. Prototypische Implementierung • Web-Front –End heißt SMOLCS (Secure Mobile Cloude Service) • Architektur • Cloud-Service-Anbieter • Software-As-a-Service • CouchDB mit Representational State Transfer (REST)-APIs 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 21
  • 22. DEMO 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 22
  • 23. Evaluation • Datenübertragung zwischen SMOLCS und Cloud-Service- Anbieter erfolgt über TLS-Protokoll • Persönliche Daten des Benutzers werden auf der Benutzerseite im Browser mit AES-256 Algorithmus verschlüsselt bzw. entschlüsselt • Schlüsselverwaltung im Firefox-Browser hat negative Konsequenzen auf die gesammte Sicherheit des Systems • Key-Server ist eine alternative Lösung zur Browser- Passwortverwaltung 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 23
  • 24. Evaluation • HTML5 Sicherheit im SMOLCS • „Persistent Attack Vectors“-Angriff nicht möglich: Daten werden aus localStorage gefiltert • „Session-Hijacking“ und „User Tracking“ sind nicht möglich: keine Benutzer-Session-Ids und eindeutige Daten werden im localStorage gespeichert • „Cache Poisoning“-Angriff ist sehr kritisches Sicherheitsproblem. Dies kann nicht vom Entwickler des Web-Front-Ends vermieden werden (HTML5 Spezifikation). • Mögliche Lösung: Integrität des Web-Front-Ends durch Browser-Plog-Ins überprüfen. 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 24
  • 25. Evaluation 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 25
  • 26. Evaluation Funktionen HTML5 JavaScript JQuery&JQuery REST API HTTP/SSL Mobile localStorage X X - - - AppCache X X - - - Datei Lesen X X - - - Browser - X - - - Passwortverwalt ung Zugriff Key-Server - X X X X Zugriff Daten löschen - X X X X Daten einfügen - X X X X Login&Logout - X X X X Kryptographie - X - - - 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 26
  • 27. Evaluation Funktionen Lokal Web- Firefox 1 IE 9 Chrome Opera 11 Server 18 localStorage X X X X X X AppCache X X X - X X Datei Lesen X X X X X X Browser X X X - - - Passwortverw altung Zugriff Key-Server X X X X X X Zugriff Daten löschen - X X X X X Daten - X X X X X einfügen Login&Logout - X X X X X Kryptographie X X X X X X 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 27
  • 28. Evaluation Was geschieht mit den verschlüsselten Daten, die von jemandem kopiert werden können? …warte noch < 20 Jahre damit… 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 28
  • 29. Ausblick • Modulerweiterungen und Verschlüsselungsverfahren • z.B. Kalender, Bilderverwaltung, Verwaltung von Notizen und E- Mails • Public-Key-Verfahren und symmetrische Verschlüsselungsverfahren • Datensuche durch Musteranwendung ermöglichen • Implementierung der Web-Front-End Funktionen für den Offline-Modus • Durch den Einsatz vom localStorage oder sessionStorage 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 29
  • 30. Ausblick • Verwendung von weiteren HTML5-Schnittstellen • WebSockets für die Realisierung von Web-Applikationen für lokale Ausführungen. Aktuelle werden WebSockets nicht von allen Browsern unterstützt • HTML5-Tag keygen: Zur Erzeugung von Schlüsselpaaren für Publick-Key-Verfahren (nur für Formen (Forms) ) • Web Workers für größere Berechnungen (E-Mails, Bilder…) 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 30
  • 31. Questions??? 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 31
  • 32. 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 32
  • 33. SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 33
  • 34. SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 34
  • 35. SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 35
  • 36. SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 36
  • 37. SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 37
  • 38. SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 38
  • 39. SMOLCS-Screenshots 26/06/2012 | Department 20 | Prof. Dr. Michael Weidner & Jan Peter Stotz | Amir Neziri 39

Hinweis der Redaktion

  1. 2/3/2011 | | 2/3/2011 | |
  2. Quelle: http://www.heise.de/ix/meldung/Wahrnehmung-des-Patriot-Act-beunruhigt-US-Cloud-Firmen-1389600.html 2/3/2011 | |