Cyber Security Center

Kompetenzzentrum für Informationssicherheit

CodeWeb

Architektur für Web-Anwendungen mit Komplettverschlüsselung

Entwicklung und Erprobung einer Architektur für Web Anwendungen, die eine komplette Verschlüsselung der Daten mit einem Benutzerpasswort ermöglicht, ohne gravierende Beeinträchtigungen in den Bereichen Kollaboration, Auffindbarkeit und Sicherheit hervorzurufen.

In letzter Zeit häufen sich die Meldungen über gehackte Websites. Dabei dringen Angreifer nicht nur in die Server ein, sondern nutzen auch die Möglichkeit, auf die Datenbanken mit Benutzerinformationen zuzugreifen. So wurden zum Beispiel im Anschluss an den Hack der Adobe-Unternehmenswebsite Millionen von Klartext-Passwörtern veröffentlicht. Mit der Weiterentwicklung der Web-Technologien und den immer effizienter arbeitenden Web Browsern stehen mittlerweile neue Möglichkeiten auf der Client-Seite zur Verfügung. Dadurch können komplette Prozesse vom Server auf den Client verlagert werden. Ebenso besteht die Möglichkeit, kryptographische Algorithmen in JavaScript direkt im Web Browser auszuführen. Architekturen für Web Anwendungen können entwickelt werden, die keine unverschlüsselten Daten mehr zu Webservern übertragen.

Ziel dieses Projekts ist die Entwicklung und Erprobung einer Architektur für Web Anwendungen, die eine komplette Verschlüsselung der Daten mit einem Benutzerpasswort ermöglicht. Dies führt dazu, dass die Daten weder vom Betreiber des Webservers noch eines anderen Benutzers ausgelesen werden können. Im Rahmen des Projekts soll erprobt werden, wie trotzdem unterschiedliche Personen miteinander zusammenarbeiten können. Des Weiteren führt die Verschlüsselung der Daten dazu, dass die Sicherheitsaspekte neu betrachtet werden, da Standardmethoden auf dem Server nicht mehr angewendet werden können. Es ist zusätzlich abzuklären, inwieweit ein solches System von Unternehmen gewünscht ist. Anhand der gewonnenen Erkenntnisse wird prototypisch eine Web Anwendung entwickelt, die eine effiziente Verschlüsselung mit dem Benutzerpasswort auf Client-Seite realisiert und trotzdem eine Zusammenarbeit ermöglicht.

Bisherige Lösungen und Forschungsansätze konzentrieren sich meist auf die reine Verschlüsselung der Kommunikation. Einige Ansätze behandeln zwar die Verschlüsselung auf Client-Ebene, vernachlässigen aber die kollaborative Zusammenarbeit. Aus diesem Grund unterscheidet sich dieses Forschungsprojekt von anderen Projekten in der spezifischen Ausrichtung auf die Verschlüsselung kombiniert mit Kollaboration, Auffindbarkeit und Sicherheit.

Aus den bisher genannten Punkten ergibt sich folgende zentrale Forschungsfrage:

Wie kann die Verschlüsselung in einer Web-Anwendung auf Client-Seite mit dem Benutzerpasswort erfolgen, ohne gravierende Beeinträchtigungen in den Bereichen Kollaboration, Auffindbarkeit und Sicherheit hervorzurufen?

Einzelne konkrete Fragestellungen lassen sich aus der zentralen Forschungsfrage ableiten:

+ Gibt es eine Möglichkeit, wie zwei Benutzer zusammenarbeiten können?
+ Wie kann bei einer kompletten Verschlüsselung eine Suchfunktion realisiert werden?
+ Können etablierte Sicherheitsmethoden noch angewendet werden?

Dieses Projekt gewann die hochschulinterne Ausschreibung Fit4Research und wird über 12 Monate durch eigene Mittel gefördert. Das Projekt wird von Prof. Holger Morgenstern und M.ENG. Tobias Scheible betreut und von den Studierenden Jan-Niclas Kunze und Patrick Hafner unterstützt.