Einführung in Software-Side Channels und Gegenmaßnahmen
Kursstart: 3. November 2025
Einführung in Software-Side Channels und Gegenmaßnahmen
Daniel Gruß
Dieser Kurs ist Teil einer MOOC-Serie: Side-Channel Security: Side-Channel- und Fault-Attacken verstehen und abwehren
Wissenschaftliche Einordnung:
Kursstart: 3. November 2025
Einführung in Software-Side Channels und Gegenmaßnahmen
Daniel Gruß
Dieser Kurs ist Teil einer MOOC-Serie: Side-Channel Security: Side-Channel- und Fault-Attacken verstehen und abwehren
-
Umfang: 5 Lektionen
-
Aufwand: 2 Stunden/Woche
-
Teilnehmende aktuell: 11
-
Lizenz: CC BY 4.0
-
Kursstart: 3. November 2025
-
Kursende: -
-
Status aktuell: Zukünftiger Kurs
-
Verfügbare Sprachen:
Details zum Kurs
Kursinhalt
Side Channels existieren in der realen Welt, aber auch in Computern und können direkt über Software ausgenutzt werden. Dies ist heutzutage ein erhebliches Problem für die Computersicherheit, über das wir Bescheid wissen müssen, um Angriffe abwehren zu können. In diesem Kurs lernen und üben Sie grundlegende softwarebasierte Side Channels und verstehen den Denkprozess hinter der Nutzung eines Side Channels. Anschließend lernen Sie, wie Sie Side Channels in Software eindämmen oder vermeiden können.
Lernziele
Nach Abschluss dieses Kurses werden Sie:
- in der Lage sein, Lecks in Side Channels in einfachen Programmen zu erkennen
- in der Lage sein, softwarebasierte Side Channels zu nutzen, um geheime Informationen zu extrahieren
- in der Lage sein, diese Sicherheitsrisiken mit Methoden zur Abschwächung und Schließung von Side Channels in Software zu verknüpfen
Vorkenntnisse
Es gibt keine speziellen Vorkenntnisse, aber es wird erwartet, dass Sie bereits begonnen haben, sich mit dem Thema Side-Channel Security auseinanderzusetzen, beispielsweise über den entsprechenden iMooX-Kurs.
Kursablauf
Dieser Kurs besteht aus 5 Teilen (Episoden+Übungen):
- Episode 1: Die Jäger des verlorenen Accounts
Manuel verliert den Zugang zu seinem Online-Account. Auf der Suche nach einer Möglichkeit, ihn wiederherzustellen, entdecken die Mitbewohner:innen, wie man aus kleinen Abweichungen in der Ausführung einen Seitenkanalangriff auf die PIN-Eingabe ableiten kann.
- Episode 2: Speicher
Claudio betreibt einen Server zur Bewertung von Kursen. Unsere Mitbewohner:innen machen sich daran, einen Fehler darin zu finden und entdecken dabei eine neue Möglichkeit, Software anzugreifen, indem sie den Speicher leeren und neu laden (die sogenannte Flush+Reload-Attacke).
- Episode 3: Nicht mit mir
Lukas und Andreas verpassen eine Abgabefrist und nutzen Flush+Reload, um ihre Abgaben trotz der abgelaufenen Frist noch unterschrieben zu bekommen.
- Episode 4: Gerechtigkeit
Claudios Kursbewertungsserver beschädigt eine Abgabe, was für einige Mitbewohner:innen zu unfairen null Punkten führt. Sie versuchen, die Gerechtigkeit wiederherzustellen und ihre Punkte zurückzubekommen, indem sie erneut Flush+Reload einsetzen.
- Episode 5: Flush+Reload: Endgame
Angesichts all dieser Attacken und spezifischer Gegenmaßnahmen diskutieren die Mitbewohner:innen mögliche allgemeine Gegenmaßnahmen gegen Flush+Reload.
Zertifikat
Für die aktive Teilnahme am Kurs erfolgt bei Abschluss die Ausstellung einer automatisierten Teilnahmebestätigung, welche Ihren Namen, den Kursnamen und die abgeschlossenen Lektionen beinhaltet. Es wird darauf hingewiesen, dass es sich nur um eine Bestätigung handelt, die aussagt, dass Sie zumindest 75% der gestellten Selbstüberprüfungsfragen richtig beantwortet haben.
Lizenz
Dieses Werk ist lizenziert unter Creative Commons - 4.0 International (CC BY 4.0)
Zusätzliche Inhalte
Diskussion
Wenn Sie eine schnellere Kommunikationsmöglichkeit als das iMooX-Forum bevorzugen, können Sie unserer offiziellen Community auf Discord beitreten. Besuchen Sie einfach https://discord.gg/rrbazVdAN9 und treten Sie dem Discord-Server von SCS bei!
Richtlinien für Diskussionen
Sowohl Discord als auch die Diskussionsforen sind Orte, an denen Sie Gedanken äußern, Ideen entwickeln und sich mit Kommiliton:innen und Dozent:innen austauschen können. Bitte lesen Sie die Diskussionsbeiträge, bevor Sie eigene Beiträge verfassen, um Redundanzen zu vermeiden. Wenn Sie einen Beitrag im Forum verfassen, markieren Sie ihn als Frage oder Diskussion. Fragen werfen Probleme auf, die einer Antwort bedürfen, während Diskussionen dem Austausch von Ideen und dem Anstoßen von Gesprächen dienen. Veröffentlichen Sie keine Lösungen oder Links zu Lösungen für Testfragen oder Hausaufgaben. Geben Sie Ihrer Nachricht einen aussagekräftigen Titel. Verwenden Sie gängige Schreibweisen für die Online-Kommunikation. Die Teilnahme an Discord und den Diskussionsforen ist freiwillig, wir empfehlen jedoch die Teilnahme, um die anderen Kursteilnehmer:innen kennenzulernen. Wir, die Kursleitenden und Tutor:innen, werden Ihre Fragen natürlich auf beiden Plattformen beantworten.
Academic Policy
Der Kurs folgt der Richtlinie zur Sicherung guter wissenschaftlicher Praxis.
Kursleitung
Daniel Gruß
Daniel Gruß (@lavados) ist Universitätsprofessor an der Technischen Universität Graz. Er liebt die Lehre und Forschung zu Themen auf Systemebene, darunter Side Channels und Transient Executive Attacks. Er implementierte die erste Remote-Fault-Attacke, die auf einer Website ausgeführt wurde, bekannt als Rowhammer.js. Sein Forschungsteam gehörte zu den Teams, die die Meltdown- und Spectre-Bugs entdeckten, die Anfang 2018 veröffentlicht wurden. Im Jahr 2023 erhielt er einen ERC Starting Grant für die Erforschung der Nachhaltigkeit von Sicherheit. Er hält regelmäßig Vorträge auf internationalen Spitzenveranstaltungen.
Partner:innen
