אבטחת מידע תאוריה בראי המציאות

Information Security Theory vs. Reality

ערן טרומר
Eran Tromer


0368-4474-01, Winter 2011-2012


Time: Tuesday 16:00-19:00

Place: Dan David building, room 201   ([map] → Buildings →"Classrooms - Dan David")

Final exams:
The course has a mailing list, open to registration.

New attendees, please fill the questionnaire.



תקציר תוכן הקורס:

הקורס יעסוק ביסודות אבטחת המידע במערכות מיחשוב ותקשורת, ובאתגרים אשר בפער שבין העקרונות ליישומים מעשיים. מחד, הקורס ידון בעקרונות בניית מערכות מאובטחות באמצעים כגון אכיפת גישה והרשאות, ניהול זרימת מידע, שפות תכנות יעודיות, אלגוריתמים קריפטוגרפיים, כלי תכנות ואימות וזיהוי ארועים חריגים. מאידך, הקורס יציג אתגריים מרכזיים במערכות מציאותיות, ובכלל זאת פרצות אבטחה במימוש קוד, זליגה ושיבוש של מידע באמצעים פיזיקליים, אתגרי אבטחה במיחשוב ענן, התקפות מבוזרות רחבות-היקף, וחולשות במערכות ניידות כגון טלפונים סלולריים ורכבים. נדון בסיבות לפער בין העקרונות התאורתיים לאתגרי המציאות, ובכיווני מחקר עדכניים לצמצומו. הקורס יכלול התנסות ישירה בכלי הגנה והתקפה.


הקורס מתאים לתלמידי מחקר וכן לתלמידי תואר ראשון מתקדמים (מדמ"ח שנה ג', הנדסה שנה ד'). נדרשים הבנה טובה של מבנה מחשבים (מערכות הפעלה, שפת מכונה, עקרונות שפות תכנות, רשתות תקשורת), נסיון תכנות מעשי, והכרת מושגי בסיס בקריפטוגרפיה.


Schedule and material to date:


Week
Topic
Slides
Supplementary material
1
Introduction
[ppt] [pdf]

2
Cryptographic review, fault attacks
[ppt] [pdf]
3
Power analysis, KeeLoq
(guest lecturer: Yossi Oren)
[pptx] [pdf]
4
Access control
[pptx] [pdf]
5
Process confinement
[ppt] [pdf]

6
Smart phone security
(guest lecturer: Roei Schuster)
[pptx] [pdf]

7
Information flow control
[ppt] [pdf]
8
Control hijacking attacks
[pptx] [pdf]
9
Reverse engineering
(guest lecturer: Inbar Raz)
[pptx] [pdf]
10
Secure computing architecture
[pptx] [pdf]
11
PKI, SSL and VPN
(guest lecturer: Yoav Nir)
[pptx] [pdf]
12
Tamper resilience and hardware security
[pdf]
13
Conditional access and digital right management
(guest lecturer: Itsik Mantin)
[pdf]
14
More on vulnerabilities and exploits,
Fully homomorphic encryption
[pptx] [pdf]

(formatting updated on 2012-02-15)


Exercises:

Number
Topic
Due date
Description
Supplementary material
1
Cache attacks, information flow control

3 Jan 2012
Pair exercise.
[pdf] [docx]
[data] (as zip file)
[data-unix] replacement plaintext file, see mailing list
2
Vulnerabilities, VMs monitoring, information flow control, TPM, certificates
2 Feb 2012
Pair exercise.
[pdf]
3
Hardware security, digital right management, hidden keys
14 Feb 2012
Pair exercise.
[pdf] [data]


Tentative list of topics: