Kom­bi­na­to­ri­sches Tes­ten von TLS-Bi­blio­the­ken auf al­len Ebe­nen (Ko­Te­Bi)

Laufzeit: 07.2022 bis 06.2025
Fördervolumen gesamt: 1,733 Mio. Euro
Fördervolumen der Universität: 637.907 Euro
Gefördert durch: Bundesministerium für Bildung und Forschung (BMBF)

TLS (Transport Layer Security) ist der wichtigste praktisch eingesetzte Sicherheitsstandard - mit TLS werden die Authentizität, Integrität und Vertraulichkeit privater und geschäftlicher Kommunikation sichergestellt, Datenschutz gewährleistet und komplexe IT-Systeme abgesichert. Während die theoretische Sicherheit von TLS gut untersucht und verstanden ist, entstehen durch Implementierungsfehler immer wieder gravierende Sicherheitslücken, die für Angriffe ausgenutzt werden können (HeartBleed, POODLE, ROBOT, DROWN, RACCOON, ...). Während die ersten Implementierungsfehler noch leicht manuell gefunden werden konnten, nutzen neuere Angriffe ein komplexes Zusammenspiel mehrerer TLS-Versionen und zahlreicher TLS-Features.

Um die Sicherheit solch komplexer kryptographischer Implementierungen sicherstellen zu können, ist die Entwicklung von Methoden zum automatisierten Testen aller möglichen Kombinationen dieser Features auf allen Ebenen unbedingt erforderlich. Das Ziel des beantragten Projekts ist es, solche automatisierten Testmethoden zu entwickeln und praktisch in einer Testsuite umzusetzen. Unsere Testsuite kann damit für den Einsatz durch Entwickler, Integratoren, Betreibern sowie Prüfinstituten und Aufsichtsbehörden geeignet, um TLS-Implementierungen im Hinblick auf Sicherheit und Interoperabilität zu testen. Als Basis für die Testsuite wird das Open Source Framework TLS-Attacker verwendet, das gemeinsam von der Uni Paderborn und der Ruhr-Uni Bochum entwickelt wurde.

Anforderungen werden von den Firmenpartnern beigesteuert, die die Entwicklung kritisch begleiten. Eine Integration in ein Software-Testing-Framework ist geplant, sodass unsere Testsuite sowohl für Compliance- und Sicherheitstests existierender Implementierungen, als auch begleitend zur Entwicklung neuer Implementierungen eingesetzt werden kann.

Projektpartner: Hackmanit GmbH, InnoZent OWL e.V., Ruhr-Universität Bochum

Sie interessieren sich für: