Aktuelle Studien zeigen, dass leider die große Mehrheit aktueller Softwareapplikationen Kryptografie auf unsicher Art und Weise einsetzt.
In diesem Workshop werden zunächst gängige Schwachstellen beim Einsatz kryptografischer Verfahren erklärt. Das häufigste Problem ist der Einsatz veralteter Krypto-Algorithmen, jedoch finden sich auch häufig eklatante Schachstellen beim Einsatz symmetrischer Verschlüsselung sowie bei der Ableitung von kryptografischen Schlüsseln aus Passwörtern. Darauf aufbauend werden Best Practices vorgestellt, die am Beispiel von Verschlüsselung und Authentisierung diese Schwachstellen vermeiden.
Um die Konzepte auch praktisch zu verstehen und umzusetzen, wird das Open-Source-Werkzeug CogniCrypt eingesetzt, das an der TU Darmstadt entwickelt wurde und mittlerweile ein offizielles Eclipse-Projekt ist. CogniCrypt unterstützt Softwareentwickler aktiv bei der sicheren Einbindung kryptografischer Bibliotheken, u.a. durch die Generierung sicheren Beispielcodes für verschiedene Krypto-Nutzungsszenarien und durch eine statische Codeanalyse, die unsichere Benutzungen aufzeigt.
Agenda
- ab 8.30: Registrierung und Begrüßungskaffee
- 9.30: Beginn
- Vorstellungsrunde, Ziele des Workshops, Agenda
- Unsichere Integrationen von Kryptografie (Vortrag mit interaktiven Elementen)
- Konsequenzen hieraus: Beispiele entsprechender Breaches
- 11.00 - 11.15: Kaffeepause
- Übungen in Kleingruppen zum Thema "Best Practices zu Krypto": Wie kann man Verschlüsselung und Authentisierung korrekt umsetzen?
- Vorstellung der erarbeiteten Lösungen, Diskussion von Musterlösungen
- Kurzvorstellung relevanter Normen von BSI und NIST
- 12.30 - 13.30: Mittagspause
- Gruppendiskussion: Was sind Ihre Erfahrungen mit der Nutzung von Kryptografie, persönlich und in Ihrem Unternehmen?
- Vorstellung der ICSE'17-Studie "Jumping Through Hoops: Why do Java Developers Struggle With Cryptography APIs?" (Sarah Nadi, Stefan Krüger, Mira Mezini, Eric Bodden)
- Vorstellung des Eclipse Open-Source Werkzeugs CogniCrypt (https://www.eclipse.org/cognicrypt/)
- 15.30 - 15.45: Kaffeepause
- Hands-on-Übungen mit CogniCrypt:
- Crypto-Integrationscode automatisch generieren
- Vorhandene Integrationen automatisiert prüfen, Anwendung von CogniCrypt auf die Beispiele vom Vormittag
- Regelsätze verstehen und anpassen
- Weiterführende Informationen zu CogniCrypt:
- Was sind die Pläne für weitere Entwicklungen?
- Wie kann man sich engagieren?
- Feedbackrunde und Diskussion
- ca. 17.30 Uhr: Ende
Technische Anforderungen:
- Um CogniCrypt live anzuwenden, sollte eine aktuelle Eclipse-Version installiert sein, sowie das Plugin von https://www.eclipse.org/cognicrypt/ installiert werden.
Falls Sie ein Gerät Ihrer Firma verwenden, überprüfen Sie vorher bitte, ob eines der folgenden, gelegentlich vorkommenden Probleme bei Ihnen auftreten könnte:
- Workshop-Teilnehmer hat keine Administrator-Rechte
- Corporate Laptops mit übermäßig penibler Sicherheitssoftware
- Gesetzte Corporate-Proxies, über die man in der Firma kommunizieren muss, die aber in einer anderen Umgebung entsprechend nicht erreicht werden.
Vorkenntnisse
* Softwareentwicklung
* keine Krypto-Kenntnisse
* Beispiele werden in Java gezeigt, sind aber auf andere Sprachen übertragbar
Lernziele
* Verständnis für die Probleme beim korrekten/sicheren Einsatz von Kryptografie
* Best Practices für den sicheren Einsatz von Kryptografie
* Einsatz des Open-Source-Werkzeugs CogniCrypt
//
Eric Bodden
@profbodden
ist einer der führenden Experten auf dem Gebiet der sicheren Softwareentwicklung, mit einem besonderen Fokus auf der Entwicklung hochpräziser Werkzeuge zur automatischen Programmanalyse. Er ist Professor für Softwaretechnik an der Universität Paderborn und ein Direktor für Softwaretechnik & IT-Sicherheit am Fraunhofer IEM. 2016 gewann Prof. Boddens Forschungsgruppe den 1. Platz beim Deutschen IT-Sicherheitspreis.
//
Martin Mory
ist wissenschaftlicher Mitarbeiter an der Universität Paderborn. Er absolvierte das Masterstudium "IT Security" an der TU Darmstadt und war parallel zum Studium im Bereich Security Consulting beruflich tätig. Sein Forschungsschwerpunkt liegt im Bereich der automatisierten Analyse von in Binärform vorliegenden Programmen zur Erkennung von angreifbaren Schwachstellen.