How (Not) to Apply Cryptography – die Sicht eines Pentesters

In zahlreichen Sicherheitsüberprüfungen haben wir vor allem eines festgestellt: Kryptografie und deren richtige Umsetzung sind ein schwieriges Thema. In diesem Vortrag möchten wir uns einigen Beispielen aus der Praxis widmen und darauf eingehen, was falsch gemacht wurde und wie man es hätte besser machen können.

TLS ist dabei nur ein kleiner Bestandteil. In der jüngeren Vergangenheit haben wir mehrere Produkte geprüft, bei denen TLS nicht zu dem Use Case gepasst hat oder aber aufgrund von Einschränkungen durch die verwendete Hardware nicht möglich gewesen ist – das Internet of Things lässt grüßen. Entwickler stehen dann plötzlich vor der Herausforderung, in ihren Produkten kryptografische Konzepte anwenden und implementieren zu müssen.

Wie man dabei Krypto-Libraries (nicht) verwenden sollte und was bei der Schlüsselverteilung, der Authentifizierung, der gesicherten Übertragung und dem lokalen Ablegen sensibler Daten zu beachten ist, wird anhand der Beispiele anschaulich erläutert.

Vorkenntnisse

Idealerweise der Vortrag Einführung in die angewandte Kryptographie bzw. ein grober Überblick über die bekannten kryptographischen Verfahren sowie ein Verständnis der CIA-Schutzziele.

Lernziele

Die Teilnehmer haben nach dem Vortrag ein Bewusstsein dafür, wo typische Stolperfallen bei der Verwendung kryptographischer Verfahren lauern, und sollen in der Lage sein, diese bei eigenen Projekten zu erkennen. Die Beispiele beinhalten sowohl Fehler bei der Konzeptionierung als auch bei der Implementierung, wobei es hierbei nicht um die Implementierung der Verfahren selber geht, sondern um die Berücksichtigung relevanter Aspekte und in weiterer Folge die korrekte Anwendung fertiger Bibliotheken.