News

01.09.2014

Lehrender des Kompetenzzentrums für IT-Security und FH Campus Wien-Absolvent auf DCNET 2014 ausgezeichnet

Von 28. bis 30. August 2014 fand die 5th International Conference on Data Communication Networking (DCNET) zum ersten Mal in Wien statt. Das Kompetenzzentrum für IT-Security war mit DI Manuel Koschuch, Lehrender und Forscher an der FH, und Ronald Wagner, BSc, Absolvent des Bachelorstudiums Informationstechnologien und Telekommunikation, vertreten. Für ihre Einreichung „Papers, Please…-X.509 Certificate Revocation in Practice“ erhielten sie den Best Paper Award.

Gültigkeit von Signaturen und Zertifikaten überprüfen

Ronald Wagners zweite Bachelorarbeit bildete die Grundlage für das eingereichte Paper. In seiner Abschlussarbeit "X.509 Revocation Verhalten unterschiedlicher Frameworks - Grundlagen und praktische Betrachtung" nahm Wagner die zwei gängigen Methoden um den vorzeitigen Ablauf der Gültigkeit ("Revocation") von Signaturen und Zertifikaten überprüfen zu können, unter die Lupe. Eine Möglichkeit ist die Certificate Revocation List (CRL), eine neuere Variante das Online Certificate Status Protocol (OCSP). Ein Teil der Arbeit widmete sich der Analyse der Standardeinstellungen von verschiedenen Browsern, Betriebssystemen und unterschiedlichen Programmen. Signaturen werden unter anderem für Java Applikationen, Adobe Dokumente, E-Mails und auch Installationsroutinen verwendet. Bei allen diesen Einsatzmöglichkeiten für Zertifikate und Signaturen müssen die Gültigkeiten geprüft werden können. Wagner untersuchte diese Systeme auf verschiedene Anwendungsszenarien der Signatur und der Verwendung von Zertifikaten. Er stellte unterschiedliche Kombinationen aus Browser, Betriebssystem, Zertifikatsgültigkeit und Erreichbarkeit der OCSP Server empirisch nach und wertete diese aus.

Implementierte Zertifikatsprüfungen führen zu unterschiedlichen Einstellungen

Wagner fand heraus, dass die SoftwarevertreiberInnen die Zertifikatsprüfung individuell implementieren. BenutzerInnen sehen sich somit sehr unterschiedlichen Einstellungsmöglichkeiten gegenüber. Da es keine Normierung gibt, wie das Verhalten bei fehlgeschlagenen Prüfungen auf vorzeitigen Zertifikatswiderruf erfolgen muss, sind je nach HerstellerIn unterschiedliche Philosophien bezüglich des revocation-Verhaltens erkennbar. Je nach Betrachtungsweise der Zertifikatsprüfung ist das Verhalten der Systeme den Vorstellungen der HerstellerInnen entsprechend angepasst und somit von Fall zu Fall unterschiedlich.

Koschuch und Wagner führten in ihrem eingereichten Paper ihre Untersuchungen noch weiter. Sie zeigten, dass beinahe 85 % der derzeit verwendeten Zertifikate keinerlei revocation Informationen beinhalten, somit also keine einfache Möglichkeiten bieten, das Zertifikat vor Ablauf der regulären Gültigkeit zurückzuziehen. Sie verglichen verschiedene Browser auf unterschiedlichen Betriebssystemen und die Reaktion auf nicht erreichbare OCSP Server. Die Forscher stießen beim Browserverhalten auf die gesamte Bandbreite, vom Öffnen der Seite bzw. Ausführen des Programms ohne jegliche Warnung bis zur kompletten Blockade, ohne eine eindeutige Fehlermeldung anzuzeigen.