Wissenschaftler der Universit?t Paderborn haben in Zusammenarbeit mit der TU Darmstadt und dem Fraunhofer-Institut für Entwurfstechnik Mechatronik einen ?Kryptographie-Assistenten“ für besseren Datenschutz vorgestellt. CogniCrypt unterstützt Software-Entwickler bei der Integration von Kryptographie-Komponenten in ihre Software und überprüft den korrekten Einbau und die Konfiguration.
Nicht erst seit den gro?en Datenschutz-Skandalen ist die Sicherheit von Software für deren Nutzer ein wichtiges Auswahlkriterium. Deswegen achten viele darauf, dass die von ihnen benutzten Anwendungen zum Beispiel Verschlüsselung anbieten. Doch selbst das ist keine Garantie für Datensicherheit: Software-Entwickler haben meistens keine Erfahrung mit Kryptographie – und bauen deswegen die Krypto-Bausteine fehlerhaft ein. Das Ergebnis: Die Anwendungen sind trotz vermeintlich eingebauter Verschlüsselung unsicher.
Um dem abzuhelfen, haben Wissenschaftler der TU Darmstadt im Rahmen des von der Deutschen Forschungsgemeinschaft gef?rderten Sonderforschungsbereichs CROSSING nun CogniCrypt, einen ?Kryptographie-Assistenten“ für Software-Entwickler, vorgestellt. Diese k?nnen ab sofort weltweit auf dieses Werkzeug zugreifen. Um die Benutzung so einfach wie m?glich zu machen, wurde CogniCrypt so eingerichtet, dass es sich nahtlos in den Workflow der Entwickler einbinden l?sst. Der Krypto-Assistent l?sst sich auf der weitverbreiteten ?Eclipse“-Plattform für integrierte Entwicklungssoftware-Werkzeuge installieren, die von vielen Programmiererinnen und Programmierern verwendet wird, und ist auch direkt über den Eclipse-Marketplace verfügbar.
?CogniCrypt erlaubt es Entwicklern, nicht nur Krypto-Fehlbenutzungen in ihrem Programmcode zu erkennen, sondern gibt auch Ratschl?ge für die Behebung dieser Schwachstelle“, erl?utert Informatik-Professorin Mira Mezini von der Technischen Universit?t Darmstadt. ?Das Tool erlaubt es ihnen sogar, automatisch Programmcode für die sichere Integration von Kryptographie zu generieren. Das ist auch bitter n?tig: In einer gro?angelegten Studie mit CogniCrypt fanden wir heraus, dass gut drei Viertel aller Anwendungen Kryptographie auf unsichere Weise einbetten.“
?Für CogniCrypt haben wir eine eigene Beschreibungssprache – Crypto Specification Language (CrySL) – entwickelt, mit der Kryptographen die Benutzungsregeln ihrer entwickelten Krypto-Komponenten definieren k?nnen, sodass CogniCrypt den Anwendungsentwicklern Hinweise über die richtige Benutzung der Krypto-Komponenten textbasiert und ohne Auseinandersetzung mit dem Quellcode pr?sentieren kann. In Zukunft planen wir sogar die automatisierte Generierung dieser Texthinweise. Das macht es für Kryptographen einfacher, ihre Krypto-Komponenten in CogniCrypt zu integrieren“, erkl?rt Prof. Eric Bodden vom Heinz Nixdorf Institut der Universit?t Paderborn und vom Fraunhofer-Institut für Entwurfstechnik Mechatronik (IEM) und einer der beteiligten Wissenschaftler im Sonderforschungsbereich CROSSING der TU Darmstadt.
Als Open Source verfügbar
CogniCrypt ist als Eclipse Open Source Projekt verfügbar. So k?nnen Kryptographen anderer Universit?ten und Forschungseinrichtungen überprüfen, ob CogniCrypt die erforderlichen Prüfungen des Anwendungscodes auch korrekt umsetzt. Auch neue Krypto-Bausteine k?nnen hinzugefügt werden. Zusammen mit dem Feedback der Software-Entwickler, die ebenfalls neue Funktionen vorschlagen und hinzufügen k?nnen, soll eine lebendige Community um CogniCrypt herum entstehen. So bleibt der Krypto-Assistent durch die Kraft der Gemeinschaft immer aktuell und verbessert sich st?ndig weiter.
Entwickelt wurde CogniCrypt im Sonderforschungsbereich CROSSING an der TU Darmstadt in Zusammenarbeit mit der Universit?t Paderborn und dem Fraunhofer IEM. Mehr als 65 Wissenschaftlerinnen und Wissenschaftler aus Kryptographie, Quantenphysik, Systemsicherheit und Softwaretechnik arbeiten in CROSSING zusammen und betreiben sowohl Grundlagen- als auch anwendungsorientierte Forschung. Ziel ist es, Sicherheitsl?sungen zu entwickeln, die auch in der Zukunft sichere und vertrauenswürdige IT-Systeme erm?glichen. CROSSING wird seit 2014 und bis 2022 von der Deutschen Forschungsgemeinschaft gef?rdert.
Weitere Informationen: www.cognicrypt.de
Weitere Informationen zur Arbeit mit CogniCrypt in Paderborn gibt es hier:
https://www.iem.fraunhofer.de/it-security
