Aktuelle Studien zeigen, dass leider die große Mehrheit aktueller Softwareapplikationen Kryptografie auf unsicher Art und Weise einsetzen.
In diesem Vortrag wird das Werkzeug CogniCrypt (www.cognicrypt.de) vorgestellt, dessen Ziel es ist, Softwareentwickler aktiv bei der sicheren Einbindung kryptografischer Bibliotheken zu unterstützen. Das als offizielles Eclipse-Projekt gehostete Werkzeug unterstützt Entwickler aktuell durch die Generierung sicheren Beispielcodes für verschiedene Krypto-Nutzungsszenarien und durch eine statische Codeanalyse, die unsichere Benutzungen in Sekundenschnelle aufzeigt. Mittels einer eigens hierfür entwickelten Konfigurationssprache können Krypto-Experten CogniCrypt einfach und effizient für verschiedene Bibliotheken konfigurieren.
Im Vortrag wird zunächst auf weit verbreitete Fehlbenutzungen von Kryptografie eingegangen. Es wird erklärt, wie diese enstehen, und es wird demonstriert, wie CogniCrypt Entwickler systematisch dabei unterstützt, solche Fehlbenutzungen zu vermeiden.
Vorkenntnisse
Java-Kenntnisse
Lernziele
* Die für Anwendungsentwickler wichtigsten Grundlagen für Krypto verstehen
* Gängige Fehlbenutzungen von Kryptografie verstehen und vermeiden
* Das Werkzeug CogniCrypt verstehen und erfahren, wie man es bei der täglichen Arbeit nutzen kann.
//
Eric Bodden
@profbodden
ist einer der führenden Experten auf dem Gebiet der sicheren Softwareentwicklung, mit einem besonderen Fokus auf der Entwicklung hochpräziser Werkzeuge zur automatischen Programmanalyse. Er ist Professor für Softwaretechnik an der Universität Paderborn und ein Direktor für Softwaretechnik & IT-Sicherheit am Fraunhofer IEM. 2016 gewann seine Forschungsgruppe den 1. Platz beim Deutschen IT-Sicherheitspreis.