Kryptografie sicher nutzen

Aktuelle Studien zeigen, dass leider die große Mehrheit aktueller Softwareapplikationen Kryptografie auf unsicher Art und Weise einsetzt.

In diesem Workshop werden zunächst gängige Schwachstellen beim Einsatz kryptografischer Verfahren erklärt. Das häufigste Problem ist der Einsatz veralteter Krypto-Algorithmen, jedoch finden sich auch häufig eklatante Schachstellen beim Einsatz symmetrischer Verschlüsselung sowie bei der Ableitung von kryptografischen Schlüsseln aus Passwörtern. Darauf aufbauend werden Best Practices vorgestellt, die am Beispiel von Verschlüsselung und Authentisierung diese Schwachstellen vermeiden.

Um die Konzepte auch praktisch zu verstehen und umzusetzen, wird das Open-Source-Werkzeug CogniCrypt eingesetzt, das an der TU Darmstadt entwickelt wurde und mittlerweile ein offizielles Eclipse-Projekt ist. CogniCrypt unterstützt Softwareentwickler aktiv bei der sicheren Einbindung kryptografischer Bibliotheken, u.a. durch die Generierung sicheren Beispielcodes für verschiedene Krypto-Nutzungsszenarien und durch eine statische Codeanalyse, die unsichere Benutzungen aufzeigt.

Vorkenntnisse

* Softwareentwicklung
* Keine Krypto-Kenntnisse
* Beispiele werden in Java gezeigt, sind aber auf andere Sprachen übertragbar.

Lernziele

* Verständnis für die Probleme beim korrekten/sicheren Einsatz von Kryptografie
* Best Practices für den sicheren Einsatz von Kryptografie
* Einsatz des Open-Source-Werkzeugs CogniCrypt

 

Agenda

* Unsichere Integrationen von Kryptografie (Vortrag mit interaktiven Elementen) * Konsequenzen hieraus: Beispiele entsprechender Breaches * Gruppendiskussion: Warum wird Krypto so oft falsch eingesetzt? * Vorstellung unserer Studie hierzu, erschienen auf der ICSE 2017 * Best Practices zu Krypto: Wie kann man Verschlüsselung und Authentisierung korrekt umsetzen? * Vorstellung des Werkzeugs CogniCrypt * Hands-on-Übungen mit CogniCryp

 

Technische Anforderungen:

Technische Anforderungen:

Falls Sie ein Gerät Ihrer Firma verwenden, überprüfen Sie vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei Ihnen auftreten könnte:

  • Workshop-Teilnehmer hat keine Administrator-Rechte

  • Corporate Laptops mit übermäßig penibler Sicherheitssoftware

  • Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.

Referenten

 

Eric Bodden Eric Bodden ist einer der führenden Experten auf dem Gebiet der sicheren Softwareentwicklung, mit einem besonderen Fokus auf der Entwicklung hochpräziser Werkzeuge zur automatischen Programmanalyse. Er ist Professor für Softwaretechnik an der Universität Paderborn und ein Direktor für Softwaretechnik & IT-Sicherheit am Fraunhofer IEM. 2016 gewann Prof. Boddens Forschungsgruppe den 1. Platz beim Deutschen IT-Sicherheitspreis.

Martin Mory Martin Mory ist wissenschaftlicher Mitarbeiter an der Universität Paderborn. Er absolvierte das Masterstudium "IT Security" an der TU Darmstadt und war parallel zum Studium im Bereich Security Consulting beruflich tätig. Sein Forschungsschwerpunkt liegt im Bereich der automatisierten Analyse von in Binärform vorliegenden Programmen zur Erkennung von angreifbaren Schwachstellen.

Gold-Sponsoren

RIGS IT
WIBU Systems

Silber-Sponsor

RIPS Technologies

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden