Technische Universität Braunschweig
  • Studium & Lehre
    • Vor dem Studium
      • Informationen für Studieninteressierte
      • Studiengänge von A-Z
      • Bewerbung
      • Fit4TU - Self-Assessment
      • Beratungsangebote für Studieninteressierte
      • Warum Braunschweig?
    • Im Studium
      • Erstsemester-Hub
      • Semestertermine
      • Lehrveranstaltungen
      • Studien-ABC
      • Studienorganisation
      • Beratungsnavi
      • Zusatzqualifikationen
      • Finanzierung und Kosten
      • Besondere Studienbedingungen
      • Gesundheit & Wohlbefinden
      • Campusleben
    • Nach dem Studium
      • Exmatrikulation und Vorlegalisation
      • Nach dem Abschluss
      • Alumni*ae
    • Strategien und Qualitätsmanagement
      • Strategiepapiere für Studium und Lehre
      • Studienqualitätsmittel
      • Studiengangsentwicklung
      • Qualitätsmanagement
      • Systemakkreditierung
      • Rechtliche Grundlagen
      • TU Lehrpreis
    • Für Lehrende
      • Informationen für Lehrende
      • Konzepte
      • Lernmanagementsystem Stud.IP
    • Kontakt
      • Studienservice-Center
      • Sag's uns - in Studium und Lehre
      • Zentrale Studienberatung
      • Immatrikulationsamt
      • Abteilung 16 - Studium und Lehre
      • Career Service
      • Projekthaus
  • Forschung
    • Forschungsprofil
      • Forschungsschwerpunkte
      • Exzellenzcluster der TU Braunschweig
      • Forschungsprojekte
      • Forschungszentren
      • Forschungsprofile der Professuren
    • Frühe Karrierephase
      • Förderung in den frühen Phasen der wissenschaftlichen Karriere
      • Promotion
      • Postdocs
      • Nachwuchsgruppenleitung
      • Junior Professur und Tenure-Track
      • Habilitation
      • Service-Angebote für Wissenschaftler*innen
    • Forschungsdaten & Transparenz
      • Transparenz in der Forschung
      • Forschungsdaten
      • Open Access Strategie
      • Digitale Forschungsanzeige
    • Forschungsförderung
      • Netzwerk Forschungsförderung
      • Datenbanken und Stiftungen
    • Kontakt
      • Forschungsservice
      • Graduiertenakademie
  • International
    • Internationale Studierende
      • Warum Braunschweig?
      • Studium mit Abschluss
      • Austauschstudium
      • TU Braunschweig Summer School
      • Geflüchtete
      • International Student Support
    • Wege ins Ausland
      • Studium im Ausland
      • Praktikum im Ausland
      • Lehren und Forschen im Ausland
      • Arbeiten im Ausland
    • Internationale Forschende
      • Welcome Support
      • Promotionsstudium
      • Service für gastgebende Einrichtungen
    • Sprachen und interkulturelle Kompetenzvermittlung
      • Deutsch lernen
      • Fremdsprachen lernen
      • Interkulturelle Kompetenzvermittlung
    • Internationales Profil
      • Internationalisierung
      • Internationale Kooperationen
      • Strategische Partnerschaften
      • Internationale Netzwerke
    • International House
      • Wir über uns
      • Kontakt & Sprechstunden
      • Aktuelles und Termine
      • International Days
      • 5. Studentische Konferenz: Internationalisierung der Hochschulen
      • Newsletter, Podcast & Videos
      • Stellenausschreibungen
  • Die TU Braunschweig
    • Unser Profil
      • Ziele & Werte
      • Ordnungen und Leitlinien
      • Allianzen & Partner
      • Hochschulentwicklung 2030
      • Stiftungsuniversität
      • Internationale Strategie
      • Fakten & Zahlen
      • Unsere Geschichte
    • Karriere
      • Arbeiten an der TU
      • Stellenmarkt
      • Berufsausbildung an der TU
    • Wirtschaft & Unternehmen
      • Unternehmensgründung
      • Freunde & Förderer
    • Öffentlichkeit
      • Veranstaltungskalender
      • Check-in für Schüler*innen
      • Hochschulinformationstag (HIT)
      • Kinder-Uni
      • Das Studierendenhaus
      • Gasthörer*innen & Senior*innenstudium
      • Nutzung der Universitätsbibliothek
    • Presse & Kommunikation
      • Stabsstelle Presse und Kommunikation
      • Medienservice
      • Ansprechpartner*innen
      • Tipps für Wissenschaftler*innen
      • Themen und Stories
    • Kontakt
      • Allgemeiner Kontakt
      • Anreise
      • Für Hinweisgeber
  • Struktur
    • Leitung & Verwaltung
      • Das Präsidium
      • Stabsstellen
      • Verwaltung
      • Organe, Statusgruppen und Kommissionen
    • Fakultäten
      • Carl-Friedrich-Gauß-Fakultät
      • Fakultät für Lebenswissenschaften
      • Fakultät Architektur, Bauingenieurwesen und Umweltwissenschaften
      • Fakultät für Maschinenbau
      • Fakultät für Elektrotechnik, Informationstechnik, Physik
      • Fakultät für Geistes- und Erziehungswissenschaften
    • Institute
      • Institute von A-Z
    • Einrichtungen
      • Universitätsbibliothek
      • Gauß-IT-Zentrum
      • Zentrale Personalentwicklung
      • International House
      • Projekthaus
      • Transferservice
      • Hochschulsportzentrum
      • Einrichtungen von A-Z
    • Studierendenschaft
      • Studierendenparlament
      • Fachschaften
      • Studentische Wahlen
    • Lehrer*innenbildung
      • Lehrer*innenfortbildung
      • Forschung
    • Chancengleichheit
      • Gleichstellung
      • Familie
      • Diversität
    • Kontakt
      • Personensuche
  • Suche
  • Schnellzugriff
    • Personensuche
    • Webmail
    • cloud.TU Braunschweig
    • Messenger
    • Mensa
    • TUconnect (Studierendenportal)
    • Lehrveranstaltungen
    • Im Notfall
    • Stud.IP
    • UB Katalog
    • Status GITZ-Dienste
    • Störungsmeldung GB3
    • IT Dienste
    • Informationsportal (Beschäftigte)
    • Beratungsnavi
    • Linksammlung
    • DE
    • EN
    • IBR YouTube
    • Facebook
    • Instagram
    • YouTube
    • LinkedIn
    • Mastodon
Menü
  • Struktur
  • Fakultäten
  • Carl-Friedrich-Gauß-Fakultät
  • Institute
  • Institut für Betriebssysteme und Rechnerverbund
  • Offene Abschlussarbeiten
Logo IBR
IBR Login
  • Institut für Betriebssysteme und Rechnerverbund
    • News
    • Wir über uns
      • Gesamtes Team
      • Anreise
      • Raumplan
      • Projekte
      • Veröffentlichungen
      • Software
      • News Archiv
    • Connected and Mobile Systems
      • Team
      • Lehrveranstaltungen
      • Abschlussarbeiten
      • Projekte
      • Veröffentlichungen
      • Software
      • Datensätze
    • Verlässliche Systemsoftware
      • Übersicht
      • Team
      • Lehre
      • Arbeiten & Jobs
      • Forschung
      • Publikationen
    • Algorithmik
      • Team
      • Lehrveranstaltungen
      • Abschlussarbeiten
      • Projekte
      • Veröffentlichungen
    • Mikroprozessorlabor
    • Studium
      • Sommersemester 2025
      • Wintersemester 2024/2025
      • Abschlussarbeiten
    • Service
      • Bibliothek
      • Mailinglisten
      • Webmail
      • Knowledgebase
      • Wiki
      • Account Management
      • Service-Status
    • Spin-Offs
      • Docoloc
      • bliq (formerly AIPARK)
      • Confidential Technologies
    • Forschungsverbünde
      • IST.hub

Sicherheitsevaluation von Kryptografischen Verfahren in OpenPGPSecurity Evaluation of Cryptographic Schemes in OpenPGP

Bearbeiter(nur für Mitarbeiter:innen einsehbar)
BetreuerDr. Dominik Schürmann
Dr. Jürgen Koslowski
ProfessorProf. Dr.-Ing. Lars Wolf
IBR GruppeCM (Prof. Wolf)
ArtMasterarbeit, Projektarbeit
Statusabgeschlossen

Introduction

OpenPGP is a standard consisting of methods for key management, digital signatures, encryption, and data formats. It is currently defined by RFC 4880 with several extensions. It is mainly utilized for sending end-to-end signed and encrypted emails to allow confidentiality, integrity, and authenticity between sender and recipient. Its cryptography and key management has been proven to be resistant against modern active attackers and was required by Edward Snowden to allow secure communications with him. While man-in-the-middle attacks against TLS connections are easy after infiltrating a certificate authority, OpenPGP provides a more decentralized approach to key distribution and authenticity between originator and sender.

The most common implementations are the open-source command-line program gpg written in C, its corresponding user interfaces like Enigmail, and the Bouncy Castle library written in Java. With Symantec Encryption Desktop and Symantec Encryption Server, two well developed proprietary implementations exist, too.

While the OpenPGP standard keeps its promises and has a sound message syntax and well thought out formats, it also has some weak points. These are for example:

  1. Donald T. Davis criticizes simple sign-then-encrypt-schemes like the one used in OpenPGP in his paper "Defective Sign and Encrypt in S/MIME, PKCS#7, MOSS, PEM, PGP, and XML.". Although this paper was published in 2001, the problems are still relevant. Reading this paper leads to a more fundamental question: What exactly are the semantics of an OpenPGP signature? This question sounds obvious at first, but is actually not answered in OpenPGP's RFC. Does a signature provide integrity, authenticity, or non-repudiation?
  2. Symmetric encryption in OpenPGP's standard is not protected by a state-of-the art authenticated encryption algorithm. Most other protocols today employ AES-GCM (Galois-Counter Mode), which is a provably secure authenticated encryption using a MAC (GMAC). OpenPGP however, uses it's own creation called MDC with a fixed hash algorithm. The standard even has a section about future work on this problem. Recently, OpenPGP has been employed on smartphones, virtual servers, and for webmail applications. Does the attack model of OpenPGP still hold in these cases or does it need to be adjusted allowing CCA-attacks?

Tasks

The resulting thesis should contain a detailed security analysis of the OpenPGP standard including the theoretic background of the cryptographic schemes, an attack model, and possible attack scenarios. Available literature must be referenced, while attack scenarios described in the literature should be reproduced. Optionally, exploits should be written and/or available OpenPGP implementations should be improved. Preferably, the results of this thesis could improve the OpenPGP standard itself to make it resistant under new attack models.

  • First of all, a comprehensive literature research needs to be done to understand OpenPGP's cryptographic schemes, state-of-the-art cryptographic schemes/protocols, and the severity of the described issues. Some papers exist showing CCA-attacks against OpenPGP; these should be validated and evaluated if the problems have been fixed in recent versions of the RFC.
  • OpenPGP's cryptographic schemes should be evaluated and compared with state-of-the-art solutions. What attack scenarios are covered by OpenPGP and which not? Do attack models such as CPA- and CCA-attacks apply to OpenPGP?
  • The RFCs must be read and compared with the actual implementations in gpg and Bouncy Castle. Are their workarounds in place to prevent the attacks by Davis or can these issues be exploited in practice? If exploitable, a demonstration should be written in the language of your choice.
  • If any issues could be confirmed, possible countermeasures should be proposed and adapted for the OpenPGP standard. Optionally, these could be implemented by Bouncy Castle's OpenPGP classes or gpg.

Supervisors

This thesis will be supervised by Dr. Dominik Schürmann (IBR, CM group) and Dr. Jürgen Koslowski (ITI).

Requirements

For this work a very good understanding of real-world cryptography and protocols is required. To implement countermeasures, good knowledge of Java or C is required.

If you are interested, send an email to Dr. Dominik Schürmann including the following information:

  • Course of studies
  • Subject-related term
  • A small description of your knowledge in cryptography (have you taken the Cryptography courses by the ITI?)

Links

  • Adaptive-CCA on OpenPGP revisited
  • An attack on CFB mode encryption as used by OpenPGP
  • Defective Sign and Encrypt in S/MIME, PKCS#7, MOSS, PEM, PGP, and XML.
  • Discussion on the Cryptography mailinglist: Does PGP use sign-then-encrypt or encrypt-then-sign?
  • On the Security of Joint Signature and Encryption
  • RFC 4880 OpenPGP Message Format
  • RFC 3156 MIME Security with OpenPGP
  • RFC 6637 Elliptic Curve Cryptography (ECC) in OpenPGP

aktualisiert am 14.12.2015, 16:24 von Dr. Dominik Schürmann

Für alle

Stellen der TU Braunschweig
Jobbörse des Career Service
Merchandising
Sponsoring- & Spendenleistungen
Drittmittelgeförderte Forschungsprojekte
Vertrauenspersonen für Hinweisgeber

Für Studierende

Semestertermine
Lehrveranstaltungen
Studiengänge von A-Z
Informationen für Erstsemester
TUCard

Interne Tools

Status GITZ-Dienste
Handbuch für TYPO3 (Intern)
Corporate Design-Toolbox (Intern)
Glossar (DE-EN)
Meine Daten ändern
Hochschulöffentliche Bekanntmachungen

Kontakt

Technische Universität Braunschweig
Universitätsplatz 2
38106 Braunschweig
Postfach: 38092 Braunschweig
Telefon: +49 (0) 531 391-0

Anreise

© Technische Universität Braunschweig
Impressum Datenschutz Barrierefreiheit