Vertrauenswürdige IT-Systeme durch Kryptografie
Banking, Mails, Shopping: Immer mehr Daten werden online gesammelt, verarbeitet und gespeichert. Gleichzeitig steigen die Anforderungen, diese sicher zu verschlüsseln. Denn Quantencomputer könnten aktuelle Verschlüsselungen in Zukunft knacken. Gefragt sind Lösungen, die heute und auch zukünftig vertrauenswürdige IT-Systeme ermöglichen. Im Sonderforschungsbereich (SFB) „CROSSING“ (Cryptography-Based Security Solutions: Enabling Trust in New and Next Generation Computing Environments) arbeiten Wissenschaftler*innen daran, Sicherheitslösungen auf Grundlage von Kryptografie zu entwickeln, die selbst leistungsfähigen Quantencomputern standhalten sollen. In dem Gemeinschaftsprojekt kooperiert die TU Darmstadt mit der Universität Paderborn, der Universität Duisburg-Essen, der Universität Regensburg sowie dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt. Mehr als 65 Forscher*innen aus den Bereichen Quantenphysik, Kryptografie, Systemsicherheit und Software-Engineering arbeiten interdisziplinär zusammen, um durch die neuen Sicherheitslösungen Vertrauen in die aktuelle und nächste Generation von Computerumgebungen zu schaffen. Im vergangenen Jahr wurde der SFB, der seit 2014 von der Deutschen Forschungsgemeinschaft (DFG) gefördert wird, um eine dritte Laufzeit mit einer Fördersumme von zehn Millionen Euro bis 2026 verlängert.
Prof. Dr. Eric Bodden vom Heinz Nixdorf Institut und Institut für Informatik der Universität Paderborn leitet das Teilprojekt „Secure Integration of Cryptographic Software“ im Bereich „Engineering“ des SFB. Mit seinem Team entwickelt er Methoden und Technologien, die eine sichere Integration von Verschlüsselungstechnologie in verschiedene Anwendungen gewährleisten. Dadurch sollen auch Personen, die keine Expert*innen auf dem Gebiet sind, in der Lage sein, kryptografische Verfahren korrekt anzuwenden.
Mehr Informationssicherheit: Frei zugängliche Plattform für Entwickler*innen
Den Forscher*innen des SFB ist es in den ersten beiden Förderphasen bereits gelungen, neue, gegen Quantenangriffe sichere Verschlüsselungs- und Signaturverfahren zu entwickeln. Doch auch wenn Kryptografie eine Vielzahl von Lösungen zum Schutz sensibler Daten bietet, birgt deren Implementierung einige Herausforderungen. So müssen sich Softwareentwickler*innen mit Fragen zur Wahl, Komposition und Integration kryptografischer Komponenten auseinandersetzen. Dabei besteht u. a. die Gefahr, unsichere Kombinationen zu erstellen.
Um diese Hürden zu überwinden, hat sich das Team um Prof. Bodden zum Ziel gesetzt, Entwickler*innen mit Automatisierungswerkzeugen unter die Arme zu greifen. Dafür haben die Wissenschaftler*innen verschiedene Softwareentwicklungs- und Analysetechniken entworfen. Die Werkzeuge stellen sie in der intelligenten Open-Source-Plattform „CogniCrypt“, die die SFB-Forscher*innen gemeinsam entwickelt haben, für alle frei zugänglich bereit. Auf diese Art wollen sie Anwendungsentwickler*innen zum einen dabei helfen, geeignete kryptografische Komponenten auszuwählen und zum anderen, diese auch sicher in ihre Software einzubinden, um Schwachstellen und Fehler von vornherein zu verhindern.
Sicherheitslücken von Anfang an vermeiden
Um Verständnis für den richtigen Umgang mit diesen Sicherheitslösungen zu schaffen, haben die Wissenschaftler*innen Kryptografie-Regeln dokumentiert. Denn: Sollten Elemente innerhalb einer Anwendung nicht auf ganz bestimmte Art und Weise ausgeführt werden, treten schnell Sicherheitslücken auf, die erheblichen Schaden anrichten können.
Dabei verfolgen die Wissenschaftler*innen den sogenannten „Allowlisting“-Ansatz. „Das ‚Allowlisting‘ ist eine Anwendungskontrolle, die schädliche Sicherheitsangriffe reduziert, indem sie nur die Ausführung von korrekter Kryptografie erlaubt“, erläutert Michael Schlichtig, wissenschaftlicher Mitarbeiter der Fachgruppe „Secure Software Engineering“ am Heinz Nixdorf Institut. Anstelle von „Denylisting“, wonach Ausführungen aufgrund von bereits bekannten Bedrohungen untersagt werden, sehen die Wissenschaftler*innen dabei einen großen Vorteil: „Wenn ich alle möglichen Bedrohungen auflisten muss, kann ich dabei schnell etwas übersehen und die Lösung wird unsicher. Über ‚Allowlisting‘ hingegen stellen wir sicher, dass nur der sichere Einsatz von Kryptografie gewährt wird“, erklärt Schlichtig.
In der nun dritten und letzten Förderphase arbeiten die Wissenschaftler*innen der verschiedenen Projektgruppen aktuell daran, ihre Forschungsergebnisse optimal zu verbinden, sodass die neu entwickelten kryptografiebasierten Sicherheitslösungen für Entwickler*innen, Administrator*innen und Endbenutzer*innen der IT einfach, aber effektiv anwendbar sind.