11. Dezember 2018

Workshop im Rahmen der heise devSec(): Kryptografie sicher nutzen

Aktuelle Studien zeigen, dass leider die große Mehrheit aktueller Softwareapplikationen Kryptografie auf unsichere Art und Weise einsetzt.

In dem Workshop, der im Oktober an der Print Media Academy Heidelberg stattfand, wurden zunächst gängige Schwachstellen beim Einsatz kryptografischer Verfahren erklärt. Das häufigste Problem ist der Einsatz veralteter Krypto-Algorithmen, jedoch finden sich auch häufig eklatante Schachstellen beim Einsatz symmetrischer Verschlüsselung sowie bei der Ableitung von kryptografischen Schlüsseln aus Passwörtern. Darauf aufbauend wurden Best Practices vorgestellt, die am Beispiel von Verschlüsselung und Authentisierung diese Schwachstellen vermeiden.

Um die Konzepte auch praktisch zu verstehen und umzusetzen, wird das Open-Source-Werkzeug CogniCrypt eingesetzt, das an der TU Darmstadt entwickelt wurde und mittlerweile ein offizielles Eclipse-Projekt ist. CogniCrypt unterstützt Softwareentwickler aktiv bei der sicheren Einbindung kryptografischer Bibliotheken, u.a. durch die Generierung sicheren Beispielcodes für verschiedene Krypto-Nutzungsszenarien und durch eine statische Codeanalyse, die unsichere Benutzungen aufzeigt.

Agenda:

  • Unsichere Integrationen von Kryptografie (Vortrag mit interaktiven Elementen)
  • Konsequenzen hieraus: Beispiele entsprechender Breaches
  • Gruppendiskussion: Warum wird Krypto so oft falsch eingesetzt?
  • Vorstellung unserer Studie hierzu, erschienen auf der ICSE 2017
  • Best Practices zu Krypto: Wie kann man Verschlüsselung und Authentisierung korrekt umsetzen?
  • Vorstellung des Werkzeugs CogniCrypt
  • Hands-on-Übungen mit CogniCrypt

Um CogniCrypt live anzuwenden, sollte eine aktuelle Eclipse-Version installiert sein sowie das Plugin von www.cognicrypt.de installiert werden.

Vorkenntnisse

  • Softwareentwicklung
  • keine Krypto-Kenntnisse
  • Beispiele werden in Java gezeigt, sind aber auf andere Sprachen übertragbar

Lernziele

  • Verständnis für die Probleme beim korrekten/sicheren Einsatz von Kryptografie
  • Best Practices für den sicheren Einsatz von Kryptografie
  • Einsatz des Open-Source-Werkzeugs CogniCrypt


Weitere Informationen zur heise devSec():
https://www.heise-devsec.de

zurück zur Übersicht