Embed Size (px)
Citation preview
09.11.2000
Roland Vogt
Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI GmbH)
Verläßlichkeit im elektronischen Verläßlichkeit im elektronischen ZahlungsverkehrZahlungsverkehr
IT-Security-ForumIT-Security-ForumIT-Security-ForumIT-Security-Forum
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
GliederungGliederung
• Bedeutung Wozu braucht man FairPay?
• Zielsetzung Was leistet FairPay?
• Struktur Wer steckt hinter FairPay?
• Ergebnis Was bietet FairPay?
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
... „Online-Überweisung“ ... Weltneuheit bei L´TUR ...
BedeutungBedeutung
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
... „Online-Überweisung“ ... Weltneuheit bei L´TUR ...
BedeutungBedeutung
Originalton L´TUR (29. Juni 2000):... Die Felder Bankleitzahl, Empfänger, den Betrag sowie Ihren Namen und Vornamen haben wir für Sie gemäß Ihren Angaben ausgefüllt. Geben Sie bitte nur noch Ihre Kontonummer, Homebanking-PIN sowie eine verfügbare TAN-Nummer ein. Die Eingabe Ihrer PIN-Nummer erfolgt aus Sicherheitsgründen verdeckt. Dann nur noch auf „verbindlich buchen“ klicken und Ihre Überweisung wird getätigt.
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
... „Online-Überweisung“ ... Weltneuheit bei L´TUR ...
BedeutungBedeutung
Originalton L´TUR (29. Juni 2000):... Die Felder Bankleitzahl, Empfänger, den Betrag sowie Ihren Namen und Vornamen haben wir für Sie gemäß Ihren Angaben ausgefüllt. Geben Sie bitte nur noch Ihre Kontonummer, Homebanking-PIN sowie eine verfügbare TAN-Nummer ein. Die Eingabe Ihrer PIN-Nummer erfolgt aus Sicherheitsgründen verdeckt. Dann nur noch auf „verbindlich buchen“ klicken und Ihre Überweisung wird getätigt.
... The history of the subject
[crypto systems] shows the
same mistakes being made over
and over again.
R. J. Anderson, Comm. ACM 37 (1994) 11
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
... „Online-Überweisung“ ... Weltneuheit bei L´TUR ...
BedeutungBedeutung
Originalton L´TUR (29. Juni 2000):... Die Felder Bankleitzahl, Empfänger, den Betrag sowie Ihren Namen und Vornamen haben wir für Sie gemäß Ihren Angaben ausgefüllt. Geben Sie bitte nur noch Ihre Kontonummer, Homebanking-PIN sowie eine verfügbare TAN-Nummer ein. Die Eingabe Ihrer PIN-Nummer erfolgt aus Sicherheitsgründen verdeckt. Dann nur noch auf „verbindlich buchen“ klicken und Ihre Überweisung wird getätigt.
... It turns out that the threat model
commonly used by cryptosystem
designers was wrong: most frauds
were not caused by cryptanalysis or
other technical attacks, but by
implementation errors and
management failures. This suggests
that a paradigm shift is overdue in
computer security.
R. J. Anderson, Comm. ACM 37 (1994) 11
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
BedeutungBedeutung
Kommunikation in offenen Netzen wie– Kommerzielle Transaktionen (Verträge, ...),– Übertragung personenbezogener Daten
(Medizin, öffentliche Verwaltung, ...),– Elektronischer Zahlungsverkehr,– ...
muß geschützt werden.
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
BedeutungBedeutung
• Verläßlichkeit schützt die Interessen ...
• Verläßlichkeit gibt wirtschaftliche Impulse ...
• ... und ist ein Ziel wiss.-techn. Kriminalprävention.
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
BedeutungBedeutung
• Verläßlichkeit schützt die Interessen ...
• Verläßlichkeit gibt wirtschaftliche Impulse ...
• ... und ist ein Ziel wiss.-techn. Kriminalprävention.
Der elektronische
Zahlungsverkehr ist ein
Aktionsfeld international
organisierter Kriminalität.
Bundesinnenminister Otto Schily
Fachforum „Sicherheit des
Zahlungsverkehrs“
Berlin, 18. Sept. 2000
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
BedeutungBedeutung
• Verläßlichkeit schützt die Interessen ...
• Verläßlichkeit gibt wirtschaftliche Impulse ...
• ... und ist ein Ziel wiss.-techn. Kriminalprävention.
Das Thema [IT-Security] ist von
außerordentlicher Bedeutung
für die innere Sicherheit aller
Industrienationen.
Bundesinnenminister Otto Schily
Fachforum „Sicherheit des
Zahlungsverkehrs“
Berlin, 18. Sept. 2000
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
GliederungGliederung
• Bedeutung Wozu braucht man FairPay?
• Zielsetzung Was leistet FairPay?
• Struktur Wer steckt hinter FairPay?
• Ergebnis Was bietet FairPay?
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
ZielsetzungZielsetzung
Im Rahmen von FairPay wird eine Methodik etabliert, die es ermöglicht, Produkte für den elektronischen Zahlungsverkehr in offenen Netzen
– zuverlässig,– effektiv und– zertifizierbar
zu entwickeln.
Security Engineeri
ng
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
ZielsetzungZielsetzung
Schwerpunkte der Arbeit in FairPay:
• Sicherheitsmanagement– Prozeß-Sicherheit (Verbindlichkeit, Anonymität, ...)
• Informationstechnologie– Software-Sicherheit (Korrektheit, Wirksamkeit, ...)
• Kryptograhie– Transaktions-Sicherheit (Integrität, Authentizität, ...)
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
ZielsetzungZielsetzung
Schwerpunkte der Arbeit in FairPay:
• Sicherheitsmanagement– Prozeß-Sicherheit (Verbindlichkeit, Anonymität, ...)
• Informationstechnologie– Software-Sicherheit (Korrektheit, Wirksamkeit, ...)
• Kryptograhie– Transaktions-Sicherheit (Integrität, Authentizität, ...)
Vertrauens-
würdigkeit
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
ZielsetzungZielsetzung
• Man muß im E-Commerce auf gut organisierte und zahlungskräftige Angreifer vorbereitet sein.
• Man braucht Klarheit über Bedrohungen und über Sicherheitsziele.
• Man braucht präzis beschriebene Schutzmaßnahmen und -mechanismen.
• Man braucht garantierte Sicherheitseigenschaften, auf die man sich verlassen kann.
• Man muß im E-Commerce auf gut organisierte und zahlungskräftige Angreifer vorbereitet sein.
• Man braucht Klarheit über Bedrohungen und über Sicherheitsziele.
• Man braucht präzis beschriebene Schutzmaßnahmen und -mechanismen.
• Man braucht garantierte Sicherheitseigenschaften, auf die man sich verlassen kann.
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
ZielsetzungZielsetzung
• Man muß im E-Commerce auf gut organisierte und zahlungskräftige Angreifer vorbereitet sein.
• Man braucht Klarheit über Bedrohungen und über Sicherheitsziele.
• Man braucht präzis beschriebene Schutzmaßnahmen und -mechanismen.
• Man braucht garantierte Sicherheitseigenschaften, auf die man sich verlassen kann.
• Man muß im E-Commerce auf gut organisierte und zahlungskräftige Angreifer vorbereitet sein.
• Man braucht Klarheit über Bedrohungen und über Sicherheitsziele.
• Man braucht präzis beschriebene Schutzmaßnahmen und -mechanismen.
• Man braucht garantierte Sicherheitseigenschaften, auf die man sich verlassen kann.
Für den objektiven Nachweis
von Verläßlichkeit braucht man
formale Methoden inkl.
logischer Schlußweisen.
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
GliederungGliederung
• Bedeutung Wozu braucht man FairPay?
• Zielsetzung Was leistet FairPay?
• Struktur Wer steckt hinter FairPay?
• Ergebnis Was bietet FairPay?
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
StrukturStruktur
KonsortiumKonsortiumKonsortiumKonsortium
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
StrukturStruktur
KonsortiumKonsortiumKonsortiumKonsortiumFörderungFörderungFörderungFörderung
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
GliederungGliederung
• Bedeutung Wozu braucht man FairPay?
• Zielsetzung Was leistet FairPay?
• Struktur Wer steckt hinter FairPay?
• Ergebnis Was bietet FairPay?
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
ErgebnisErgebnis
Methodologie
Werkzeuge
Bausteine
Kooperation
Kommunikation
Evaluation
09.11.2000Roland Vogt IT-Security-ForumSYSTEMS 2000
Verläßlichkeit im elektronischen Zahlungsverkehr
ErgebnisErgebnis
Methodologie
Werkzeuge
Bausteine
Kooperation
Kommunikation
Evaluation
Wissens-transfer
09.11.2000
Transferzentrum
Roland Vogt
Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI GmbH)
Verläßlichkeit im elektronischen Verläßlichkeit im elektronischen ZahlungsverkehrZahlungsverkehr
IT-Security-ForumIT-Security-ForumIT-Security-ForumIT-Security-Forum
http://FairPay.DFKI.dehttp://FairPay.DFKI.dehttp://FairPay.DFKI.dehttp://FairPay.DFKI.de
09.11.2000
Transferzentrum
Roland Vogt
Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI GmbH)
Verläßlichkeit im elektronischen Verläßlichkeit im elektronischen ZahlungsverkehrZahlungsverkehr
IT-Security-ForumIT-Security-ForumIT-Security-ForumIT-Security-Forum
http://FairPay.DFKI.dehttp://FairPay.DFKI.dehttp://FairPay.DFKI.dehttp://FairPay.DFKI.de
It is clear that much greater
effort is needed to improve the
security and robustness of our
computer systems. ... Warning
signs seem to be largely
ignored.
Comm. ACM, 43 (2000) 7, July 2000
09.11.2000
Transferzentrum
Roland Vogt
Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI GmbH)
Verläßlichkeit im elektronischen Verläßlichkeit im elektronischen ZahlungsverkehrZahlungsverkehr
IT-Security-ForumIT-Security-ForumIT-Security-ForumIT-Security-Forum
http://FairPay.DFKI.dehttp://FairPay.DFKI.dehttp://FairPay.DFKI.dehttp://FairPay.DFKI.de
It is clear that much greater
effort is needed to improve the
security and robustness of our
computer systems. ... Warning
signs seem to be largely
ignored.
Comm. ACM, 43 (2000) 7, July 2000
It is clear that much greater
effort is needed to improve the
security and robustness of our
computer systems. ... Warning
signs seem to be largely
ignored.
Comm. ACM, 43 (2000) 7, July 2000
![CESAR: A Lunar Crater Exploration and Sample Return Robotvigir.missouri.edu/~gdesouza/Research/Conference_CDs/...The outdoor security robot Asguard [1] was developed at the DFKI in](https://img.pdfslide.org/doc/110x75/5fad65e21bd12147e166c349/cesar-a-lunar-crater-exploration-and-sample-return-gdesouzaresearchconferencecds.jpg)
