Analyse von Seitenkanal-Angriffen mittels automatisierter Werkzeuge in der Anwendungsentwicklung
Grundlage für eine erfolgreiche Digitalisierung in Wirtschaft und Gesellschaft ist es, dass digitale Systeme Vertrauenswürdigkeit, Integrität und Authentizität gewährleisten. Dies ist jedoch unter anderem deshalb eine große Herausforderung, weil digitale Geräte sehr unterschiedlich beschaffen sind. Sowohl ressourcenarme Systeme, wie zum Beispiel „smarte“ Stromzähler, als auch leistungsstarke Desktop-PCs oder Server müssen angemessen geschützt werden.
Zudem werden permanent neue Angriffsmethoden entwickelt, wie etwa sogenannte Seitenkanalangriffe. Im Gegensatz zu anderen Angriffen erfolgen Seitenkanal-Angriffe während der Ausführung von Programmen durch die Analyse der dabei aufgezeichneten Messdaten der Hardware wie beispielsweise der Ausführungszeit, Stromaufnahme oder Abstrahlung. Dadurch können kryptographische Schlüssel und andere geheime Parameter abgehört werden. Solche Seitenkanal-Angriffe verlaufen meist sehr unauffällig und werden selten bemerkt – auch weil es innerhalb vieler Unternehmen an Expertise mangelt.
Ziel des Projekts „Entwicklungszentrierte Werkzeuge für Seitenkanalanalysen“ (engl. Developer-centric Tools for Side-Channel Analysis – DevToSCA) ist es, automatisierte Methoden zur Prüfung der Seitenkanalresistenz von Applikationen zu erforschen, deren Komplexität zu verringern und Expertise in der Sicherheitsprüfung aufzubauen. Damit Entwicklerinnen und Entwickler konkreter Anwendungen die Testmethoden nutzen können, sollen diese in benutzerfreundliche Testwerkzeuge integriert werden. Ein Werkzeug kann dann zur Evaluierung eigener kryptographischer Funktionen und Protokolle auf verschiedenen Hardwareplattformen verwendet werden und deren Anfälligkeit für Seitenkanal-Angriffe aufzeigen. Das Werkzeug soll in der Lage sein, durch Simulationen Aussagen über verschiedene Zielplattformen zu treffen, bevor weitere Untersuchungen auf einer konkreten Hardwareplattform mittels eines weiteren Werkzeugs durchgeführt werden. Außerdem soll ein zusätzliches Werkzeug zur Selbstüberwachung während des Betriebs der Systeme entwickelt werden.
Im Vorhaben wird die Grundlage für neuartige Verifikationswerkzeuge geschaffen, die während der Anwendungsentwicklung und später zu Selbsttests verwendet werden können. Entsprechend hoch ist der innovative Charakter des Vorhabens und vielfältig sind die weiteren Verwertungs- und Anschlussmöglichkeiten. Die Ergebnisse des Vorhabens sollen als Open-Source-Software zur Verfügung gestellt werden, sodass insbesondere Softwareentwickler in KMU und Großunternehmen davon profitieren. Das Vorhaben leistet damit einen wichtigen Beitrag zur Erhöhung der IT Sicherheit von künftigen Entwicklungen am Standort Deutschland und auf internationaler Ebene.