Vertrauenswürdige IT-Systeme durch Kryptografie
Banking, Mails, Shopping: Immer mehr Daten werden online gesammelt, verarbeitet und gespeichert. Gleichzeitig steigen die Anforderungen, diese sicher zu verschlüsseln. Denn Quantencomputer k?nnten aktuelle Verschlüsselungen in Zukunft knacken. Gefragt sind L?sungen, die heute und auch zukünftig vertrauenswürdige IT-Systeme erm?glichen. Im Sonderforschungsbereich (SFB) ?CROSSING“ (Cryptography-Based Security Solutions: Enabling Trust in New and Next Generation Computing Environments) arbeiten Wissenschaftler*innen daran, Sicherheitsl?sungen auf Grundlage von Kryptografie zu entwickeln, die selbst leistungsf?higen Quantencomputern standhalten sollen. In dem Gemeinschaftsprojekt kooperiert die TU Darmstadt mit der Universit?t Paderborn, der Universit?t Duisburg-Essen, der Universit?t Regensburg sowie dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt. Mehr als 65 Forscher*innen aus den Bereichen Quantenphysik, Kryptografie, Systemsicherheit und Software-Engineering arbeiten interdisziplin?r zusammen, um durch die neuen Sicherheitsl?sungen Vertrauen in die aktuelle und n?chste Generation von Computerumgebungen zu schaffen. Im vergangenen Jahr wurde der SFB, der seit 2014 von der Deutschen Forschungsgemeinschaft (DFG) gef?rdert wird, um eine dritte Laufzeit mit einer F?rdersumme von zehn Millionen Euro bis 2026 verl?ngert.
Prof. Dr. Eric Bodden vom Heinz Nixdorf Institut und Institut für Informatik der Universit?t Paderborn leitet das Teilprojekt ?Secure Integration of Cryptographic Software“ im Bereich ?Engineering“ des SFB. Mit seinem Team entwickelt er Methoden und Technologien, die eine sichere Integration von Verschlüsselungstechnologie in verschiedene Anwendungen gew?hrleisten. Dadurch sollen auch Personen, die keine Expert*innen auf dem Gebiet sind, in der Lage sein, kryptografische Verfahren korrekt anzuwenden.
Mehr Informationssicherheit: Frei zug?ngliche Plattform für Entwickler*innen
Den Forscher*innen des SFB ist es in den ersten beiden F?rderphasen bereits gelungen, neue, gegen Quantenangriffe sichere Verschlüsselungs- und Signaturverfahren zu entwickeln. Doch auch wenn Kryptografie eine Vielzahl von L?sungen zum Schutz sensibler Daten bietet, birgt deren Implementierung einige Herausforderungen. So müssen sich Softwareentwickler*innen mit Fragen zur Wahl, Komposition und Integration kryptografischer Komponenten auseinandersetzen. Dabei besteht u. a. die Gefahr, unsichere Kombinationen zu erstellen.
Um diese Hürden zu überwinden, hat sich das Team um Prof. Bodden zum Ziel gesetzt, Entwickler*innen mit Automatisierungswerkzeugen unter die Arme zu greifen. Dafür haben die Wissenschaftler*innen verschiedene Softwareentwicklungs- und Analysetechniken entworfen. Die Werkzeuge stellen sie in der intelligenten Open-Source-Plattform ?CogniCrypt“, die die SFB-Forscher*innen gemeinsam entwickelt haben, für alle frei zug?nglich bereit. Auf diese Art wollen sie Anwendungsentwickler*innen zum einen dabei helfen, geeignete kryptografische Komponenten auszuw?hlen und zum anderen, diese auch sicher in ihre Software einzubinden, um Schwachstellen und Fehler von vornherein zu verhindern.
Sicherheitslücken von Anfang an vermeiden
Um Verst?ndnis für den richtigen Umgang mit diesen Sicherheitsl?sungen zu schaffen, haben die Wissenschaftler*innen Kryptografie-Regeln dokumentiert. Denn: Sollten Elemente innerhalb einer Anwendung nicht auf ganz bestimmte Art und Weise ausgeführt werden, treten schnell Sicherheitslücken auf, die erheblichen Schaden anrichten k?nnen.
Dabei verfolgen die Wissenschaftler*innen den sogenannten ?Allowlisting“-Ansatz. ?Das ?Allowlisting‘ ist eine Anwendungskontrolle, die sch?dliche Sicherheitsangriffe reduziert, indem sie nur die Ausführung von korrekter Kryptografie erlaubt“, erl?utert Michael Schlichtig, wissenschaftlicher Mitarbeiter der Fachgruppe ?Secure Software Engineering“ am Heinz Nixdorf Institut. Anstelle von ?Denylisting“, wonach Ausführungen aufgrund von bereits bekannten Bedrohungen untersagt werden, sehen die Wissenschaftler*innen dabei einen gro?en Vorteil: ?Wenn ich alle m?glichen Bedrohungen auflisten muss, kann ich dabei schnell etwas übersehen und die L?sung wird unsicher. ?ber ?Allowlisting‘ hingegen stellen wir sicher, dass nur der sichere Einsatz von Kryptografie gew?hrt wird“, erkl?rt Schlichtig.
In der nun dritten und letzten F?rderphase arbeiten die Wissenschaftler*innen der verschiedenen Projektgruppen aktuell daran, ihre Forschungsergebnisse optimal zu verbinden, sodass die neu entwickelten kryptografiebasierten Sicherheitsl?sungen für Entwickler*innen, Administrator*innen und Endbenutzer*innen der IT einfach, aber effektiv anwendbar sind.