16. Februar 2021 / David Rohnert

Guido Schmitz vom SEC nominiert für CAST/GI Promotionspreis IT-Sicherheit 2020

Guido Schmitz vom Institut für Informationssicherheit (SEC) wurde für die Endrunde des CAST/GI Promotionspreises IT-Sicherheit 2020/2021 nominiert. Mit seiner Dissertation "Privacy-Preserving Web Single Sign-On: Formal Security Analysis and Design" hat er den Sprung unter die besten vier geschafft. Nur die besten Dissertationen Deutschlands im Bereich Cybersicherheit wurden hier ausgewählt.

Auch wenn der Preis an einen anderen Finalisten ging, gratulieren wir Guido Schmitz zu dieser herausragenden Leistung.

 

Kurz-Zusammenfassung der Dissertation
"Privacy-Preserving Web Single Sign-On: Formal Security Analysis and Design":

Viele Dienste im Web bieten ihren Nutzer*innen an, zum Login ihre Konten bei Drittanbietern zu verwenden, z.B. mittels Facebook Login oder Google Sign-In. Die dazu verwendeten Verfahren werden Web-Single-Sign-On (Web-SSO) genannt und finden auch außerhalb des Webs immer mehr Anwendung. Beispielsweise ermöglichen sie inzwischen Zustelldiensten ein fremdes Auto öffnen, um darin ein Paket abzulegen. Hier stellen sich grundlegende Fragen: Sind diese Systeme sicher? Wie ist es dabei um Privacy bestellt?

In meiner Dissertation habe ich diese Fragestellungen eingehend untersucht und neue Methoden entwickelt, solche Eigenschaften formal zu analysieren. Grundlage für meinen Ansatz ist das aktuell umfassendste Modell für die Web-Infrastruktur (WIM), welches ich mitentwickelt und im Rahmen meiner Dissertation so erweitert habe, dass damit auch Privacy-Eigenschaften analysiert werden können.

Mit diesem Ansatz habe ich verschiedene Web-SSOs analysiert und mehrere schwerwiegende Sicherheitslücken aufgedeckt. Zusammen mit Standardisierungsorganisationen habe ich auch an der Verbesserung der entsprechenden Spezifikationen gearbeitet. Insbesondere in Bezug auf Privacy habe ich jedoch festgestellt, dass das bisher einzige Privacy-freundliche Web-SSO-System "BrowserID" dieses Ziel nicht erreicht.

Um diese Lücke zu schließen, habe ich ein neues Web-SSO entwickelt: SPRESSO (Secure Privacy-REspecting Single Sign-On). Meinen Designprozess habe ich kontinuierlich mit einer formalen Analyse begleitet und formal bewiesen, dass mein System starke Sicherheits- und Privacy-Eigenschaften bietet. SPRESSO ist damit das erste Web-SSO, das diese Eigenschaften beweisbar garantiert.

Zum Seitenanfang