Kryptografie sicher nutzen

Aktuelle Studien zeigen, dass leider die große Mehrheit aktueller Softwareapplikationen Kryptografie auf unsicher Art und Weise einsetzt.

In diesem Workshop werden zunächst gängige Schwachstellen beim Einsatz kryptografischer Verfahren erklärt. Das häufigste Problem ist der Einsatz veralteter Krypto-Algorithmen, jedoch finden sich auch häufig eklatante Schachstellen beim Einsatz symmetrischer Verschlüsselung sowie bei der Ableitung von kryptografischen Schlüsseln aus Passwörtern. Darauf aufbauend werden Best Practices vorgestellt, die am Beispiel von Verschlüsselung und Authentisierung diese Schwachstellen vermeiden.

Um die Konzepte auch praktisch zu verstehen und umzusetzen, wird das Open-Source-Werkzeug CogniCrypt eingesetzt, das an der TU Darmstadt entwickelt wurde und mittlerweile ein offizielles Eclipse-Projekt ist. CogniCrypt unterstützt Softwareentwickler aktiv bei der sicheren Einbindung kryptografischer Bibliotheken, u.a. durch die Generierung sicheren Beispielcodes für verschiedene Krypto-Nutzungsszenarien und durch eine statische Codeanalyse, die unsichere Benutzungen aufzeigt.

Vorkenntnisse

* Softwareentwicklung
* Keine Krypto-Kenntnisse
* Beispiele werden in Java gezeigt, sind aber auf andere Sprachen übertragbar.

Lernziele

* Verständnis für die Probleme beim korrekten/sicheren Einsatz von Kryptografie
* Best Practices für den sicheren Einsatz von Kryptografie
* Einsatz des Open-Source-Werkzeugs CogniCrypt

 

Agenda

  • Unsichere Integrationen von Kryptografie (Vortrag mit interaktiven Elementen)
  • Konsequenzen hieraus: Beispiele entsprechender Breaches
  • Gruppendiskussion: Warum wird Krypto so oft falsch eingesetzt?
  • Vorstellung unserer Studie hierzu, erschienen auf der ICSE 2017
  • Best Practices zu Krypto: Wie kann man Verschlüsselung und Authentisierung korrekt umsetzen?
  • Vorstellung des Werkzeugs CogniCrypt
  • Hands-on-Übungen mit CogniCrypt

 

Technische Anforderungen:

Um CogniCrypt live anzuwenden, sollte eine aktuelle Eclipse-Version installiert sein, sowie das Plugin von https://www.eclipse.org/cognicrypt/ installiert werden.

Falls Sie ein Gerät Ihrer Firma verwenden, überprüfen Sie vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei Ihnen auftreten könnte:

  • Workshop-Teilnehmer hat keine Administrator-Rechte

  • Corporate Laptops mit übermäßig penibler Sicherheitssoftware

  • Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.

Speaker

 

Martin Mory
Martin Mory ist wissenschaftlicher Mitarbeiter an der Universität Paderborn. Er absolvierte das Masterstudium "IT Security" an der TU Darmstadt und war parallel zum Studium im Bereich Security Consulting beruflich tätig. Sein Forschungsschwerpunkt liegt im Bereich der automatisierten Analyse von in Binärform vorliegenden Programmen zur Erkennung von angreifbaren Schwachstellen.

Johannes Späth
Johannes Späth ist Experte für statische Programmanalyse und IT-Sicherheit. 2020 wurde er Mitgründer des Unternehmens CodeShield, das Technologien rund um Programmanalyse für Softwareentwickler anbietet. Nach seinem Mathematikstudium war er zuvor fünf Jahre bei der Fraunhofer-Gesellschaft (SIT und IEM) als wissenschaftlicher Mitarbeiter und als Seniorexperte tätig. 2019 promovierte er mit einer Arbeit, deren Erkenntnisse auch in das Codeanalysetool CogniCrypt eingeflossen sind.

Gold-Sponsoren

WIBU Systems
Xanitizer

Silber-Sponsoren

Cologne Intelligence
Wings-Fernstudium

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden