Die Konferenz für
sichere Software- und Webentwicklung
Heidelberg, Print Media Academy, 16.-18. Oktober 2018

heise devSec 2018 » Programm »

// How (Not) to Apply Cryptography – die Sicht eines Pentesters

In zahlreichen Sicherheitsüberprüfungen haben wir vor allem eines festgestellt: Kryptografie und deren richtige Umsetzung sind ein schwieriges Thema. In diesem Vortrag möchten wir uns einigen Beispielen aus der Praxis widmen und darauf eingehen, was falsch gemacht wurde und wie man es hätte besser machen können.

TLS ist dabei nur ein kleiner Bestandteil. In der jüngeren Vergangenheit haben wir mehrere Produkte geprüft, bei denen TLS nicht zu dem Use Case gepasst hat oder aber aufgrund von Einschränkungen durch die verwendete Hardware nicht möglich gewesen ist – das Internet of Things lässt grüßen. Entwickler stehen dann plötzlich vor der Herausforderung, in ihren Produkten kryptografische Konzepte anwenden und implementieren zu müssen.

Wie man dabei Krypto-Libraries (nicht) verwenden sollte und was bei der Schlüsselverteilung, der Authentifizierung, der gesicherten Übertragung und dem lokalen Ablegen sensibler Daten zu beachten ist, wird anhand der Beispiele anschaulich erläutert.

Vorkenntnisse
Idealerweise der Vortrag Einführung in die angewandte Kryptographie bzw. ein grober Überblick über die bekannten kryptographischen Verfahren sowie ein Verständnis der CIA-Schutzziele.

Lernziele
Die Teilnehmer haben nach dem Vortrag ein Bewusstsein dafür, wo typische Stolperfallen bei der Verwendung kryptographischer Verfahren lauern, und sollen in der Lage sein, diese bei eigenen Projekten zu erkennen. Die Beispiele beinhalten sowohl Fehler bei der Konzeptionierung als auch bei der Implementierung, wobei es hierbei nicht um die Implementierung der Verfahren selber geht, sondern um die Berücksichtigung relevanter Aspekte und in weiterer Folge die korrekte Anwendung fertiger Bibliotheken.

// Simon Metzler Simon Metzler

hat an der Fachhochschule Oberösterreich in Hagenberg im Bachelor und Master Sichere Informationssysteme studiert. Als Berater der cirosec GmbH hat er zahlreiche Audits und Penetration Tests sowohl bei Webapplikationen und Web Services als auch bei sehr spezifischen Anwendungen mit besonderen Anforderungen durchgeführt. Er setzt sich hierfür verstärkt mit den Themen Kryptografie und Exploit-Techniken sowie deren Schutzmechanismen auseinander. Konträr dazu hat er mehrere forensische Untersuchungen durchgeführt und teilt seinen Erfahrungsschatz als Trainer der von cirosec angebotenen Schulungen "Hacking Extrem" und "Forensik Extrem".