Mo­d­erne KI-Ver­fahren

 |  Forschung

Automatisierte Sicherheitsanalyse von kryptografischen Protokollen gegen Seitenkanalangriffe

Mit dem Eingang des Bewilligungsbescheides fiel Anfang Mai der Startschuss für das Projekt AutoSCA - Automatisierte Schwachstellenanalyse von kryptographischen Protokollen. In dem Vorhaben erforschen im Software Innovation Campus Paderborn das SI-Lab der Universit?t Paderborn, die achelos GmbH, ein herstellerunabh?ngiges Software-Entwicklungs- und -Beratungshaus mit Sitz in Paderborn, und Prof. Dr. Tibor Jager von der Bergischen Universit?t Wuppertal gemeinsam methodisch neue Techniken zur automatischen Erkennung von Schwachstellen in kryptographischen Protokollen und die automatisierte Erkennung von Seitenkan?len auf Netzwerkprotokollebene mithilfe moderner Machine-Learning-Verfahren. Assoziierter Partner in dem Vorhaben ist die T?V Informationstechnik GmbH, T?V NORD GROUP. Das Projekt mit einem Gesamtvolumen von 790.000 Euro wird vom Bundesministerium für Bildung und Forschung (BMBF) gef?rdert. Die Laufzeit des Vorhabens betr?gt drei Jahre.

Digital vernetzte, wandelbare ?Fabrik der Zukunft“

Die Entwicklungen im Zusammenhang mit Industrie 4.0 treiben die Vernetzung von Anlagen und Maschinen, dem Industrial Internet of Things (IIoT), immer weiter voran. Diese Zunahme der Vernetzung ist ein wichtiger Faktor auf dem Weg zur smarten, wandelbaren ?Fabrik der Zukunft“ und er?ffnet bemerkenswerte Potenziale zur Optimierung von Prozessen. Gleichzeitig vergr??ert sie aber auch die Angriffsfl?che auf die IT-Infrastruktur eines Unternehmens. Ein kontinuierlich wirksamer Schutz der IT-Sicherheit in Unternehmen, um bestehende und neue Sicherheitsrisiken schnell erkennen und bewerten zu k?nnen, wird somit immer wichtiger. ?Genau an diesem Punkt setzt unser Projekt AutoSCA an. Eine fortlaufende Prüfung der Wirksamkeit getroffener Schutzma?nahmen ist eine gro?e Herausforderung in komplexen und heterogenen Systemlandschaften. Dies betrifft insbesondere die Sicherheit von Software mit ihrer h?ufig kaum überschaubaren Menge an Programmzeilen. Das automatisierte Testen der Korrektheit von Softwareimplementierungen ist daher ein notwendiger Schritt zur Entlastung fachlichen Personals“, erl?utert Dr. Simon Oberthür, Projektleiter und R&D Manager des Kompetenzbereichs ?Digital Security“ im SICP – Software Innovation Campus Paderborn, die Notwendigkeit des Vorhabens. 

Analyse von Seitenkanalangriffen

Diese effektive und effiziente Automatisierung wird dabei durch die Verbindung von neuen Erkenntnissen in der IT-Sicherheit mit den Methoden der Künstlichen Intelligenz (KI) erm?glicht. ?Bei der Analyse von Seitenkanalangriffen geht es um das automatische Entdecken und Kategorisieren komplexer Muster in hochdimensionalen Daten. Maschinelle Lernverfahren sind für Probleme dieser Art hervorragend geeignet. Besonders vielversprechend sind Deep-Learning-Methoden basierend auf tiefen neuronalen Netzen, die wir mit modernen Techniken des automatisierten maschinellen Lernens (AutoML) und der Hyperparameter-Optimierung kombinieren wollen“, erl?utert Prof. Dr. Eyke Hüllermeier, Direktor des Kompetenzbereichs ?Smart Systems“ im SICP und Leiter der Fachgruppe ?Intelligente Systeme und Maschinelles Lernen“ an der Universit?t Paderborn. Der Fokus liegt dabei auf Schwachstellen, die auf physikalischen oder logischen Nebeneffekten der Implementierungen, sogenannten Seitenkan?len, beruhen. Auf dieser Forschung aufbauend wird ein Werkzeug zur automatisierten Erkennung von komplexen kryptographischen Angriffstechniken in einem Proof-of-Concept implementiert. 

Schwachstellen automatisiert erkennen

?Moderne kryptographische Verfahren sind in der Regel so stark, dass man die eigentlichen Algorithmen kaum noch ?knacken” kann. Seitenkanalangriffe umgehen das jedoch geschickt und sind deshalb der praktischste Ansatz, um auch die Sicherheit von sehr starken kryptographischen Algorithmen anzugreifen. Wir entwickeln innerhalb des Vorhabens Techniken, um Schwachstellen bereits in der Entwicklungsphase automatisiert zu erkennen und dadurch Sicherheitslücken und ?Daten-Leaks” von vorneherein zu vermeiden“, so Prof. Dr. Tibor Jager, Leiter der Fachgruppe ?IT-Sicherheit und Kryptographie“ an der Bergischen Universit?t Wuppertal. Thomas Freitag, Gesch?ftsführer der achelos GmbH, erg?nzt: ?Sicherheit und Kryptografie z?hlen zu den Kernkompetenzen von achelos. Im F?rderprojekt AutoSCA bringen wir unsere praktische Erfahrung aus dem Testmanagement sowie unsere hochperformanten Testwerkzeuge ein. Diese eignen sich optimal, um die Anforderungen an Testziele zu definieren, und erm?glichen gleichzeitig ein automatisiertes Erkennen und Behandeln von kryptografischen Schwachstellen. Wir freuen uns, unsere Testwerkzeuge im Rahmen des Projekts durch die Einbindung von Komponenten der Künstlichen Intelligenz auf ein neues Level zu heben.“

Erh?hung der IT-Sicherheit in Unternehmen

Ziel des Projektes ist es, aktuelle Themen wie Künstliche Intelligenz und IT-Sicherheit in die wirtschaftliche Praxis zu übertragen. ?Genau das hilft uns dabei, Schwachstellen aufzudecken und erh?ht so die IT-Sicherheit in den Unternehmen. Auf diese Weise wird zudem ein erheblicher Nutzen für die Unternehmen erzeugt, die keine eigene Forschung betreiben k?nnen, wie kleine und mittlere Unternehmen“, so Dr. Simon Oberthür.

Es ist vorgesehen, die Erkenntnisse aus dem Vorhaben in ein Reallabor zum Thema Erleben/Erfahrbarkeit und Verstehen innovativer Methoden zu integrieren. Methoden der Künstlichen Intelligenz sollen auf diese Weise für interessierte Parteien verst?ndlicher gemacht werden und ihnen so den fachlichen Dialog und die Teilnahme an Forschungsprojekten erleichtern.

Weitere Informationen: https://www.sicp.de/projekte/autosca/

Kerstin Sellerberg, Software Innovation Campus Paderborn

Foto: Adobe Stock/Alexander Limbach.

Contact

business-card image

Dr. Simon Oberthür

Software Innovation Campus Paderborn (SICP)

R&D Manager - Digital Security

Write email +49 5251 60-6822