Probleme durch Lösungen – Kryptographie in der Praxis

Der Weg zu sicherer Software ist selten auf Anhieb von Erfolg gekrönt. Wird eine Sicherheitslücke publik, ist die Verwunderung stets groß und eine Ausrede schnell bei der Hand.

Mit der Erfahrung aus 30 Jahren Beratung und Software-Entwicklung zeigt dieser Vortrag am Beispiel der Nutzung kryptographischer Funktionalitäten, wo typische Fallstricke lauern und wie eine Annäherung an sichere Software gelingen kann.

Kryptographie erscheint häufig als eine naheliegende, einfache Lösung für Probleme. Dieser These gehen wir in diesem Vortrag auf den Grund.

Ein Praxisbericht, der Spuren von Threat Modeling, OpenSSL, Kryptografie, Test Driven Development, Key-Formaten, C und Swift enthalten kann.

Vorkenntnisse


  • Verständnis von Programmiersprachen
  • Grundlagen der Kryptographie

Lernziele

Der Vortrag will Verständnis dafür zu wecken, dass sichere Software nie das Ergebnis singulärer, einfacher Maßnahmen ist, sondern nur gelingen kann, wenn eine Vielzahl von Faktoren stimmen. Anhand verschiedener Praxisbeispiele aus aktuellen Projekten und der Nutzung von gängigen Bibliotheken wie OpenSSL und mbedtls kann die Zuhörerin unmittelbar anwendbares Praxiswissen mitnehmen. Denn der Teufel steckt auch hier im Detail.

Speaker

 

Thorsten Schröder
Thorsten Schröder ist geschäftsführender Gesellschafter der IT-Sicherheitsberatung modzero. Als bezahlter Hacker testet er seit über 20 Jahren im Kundenauftrag Software- und Hardwareprodukte. Seine Expertise brachte er bereits als Sachverständiger in Ausschüssen des Deutschen Bundestages ein. Er ist darüber hinaus im Bereich der sicheren Software-Entwicklung bei der modone GmbH in Berlin tätig.

Klaus Rodewig
Klaus Rodewig ist Entwicklungsleiter bei der modone GmbH sowie Mitglied im Expertenkreis Cyber-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnologie. Er programmiert und analysiert seit über 20 Jahren Software und hilft seinen Kunden dabei, sichere Software zu produzieren.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden