Department of Computer Science

Durch den Nebeneingang zu den Geheimnissen: Informatiker entwickeln Verfahren zum Schutz vor Seitenkanalangriffen

20230302_fbinf_DevToSCA_Miriam_Thüs_029 16zu9

Tuesday 7 March 2023

Abgewehrte oder erfolgreiche Cyberangriffe auf vernetzte Rechnersysteme sind aus den Schlagzeilen nicht mehr wegzudenken. Eine besonders trickreiche Form der Attacke sind die sogenannten Seitenkanalangriffe. Sie sind meist sehr unauffällig und werden selten bemerkt – auch, weil es in vielen Unternehmen an Expertise mangelt. Die Hochschule Bonn-Rhein-Sieg (H-BRS) entwickelt in einem BMBF-Forschungsprojekt gemeinsam mit Verbundpartnern neuartige Prüfverfahren. Diese sollen es Software-Entwicklern erlauben, die eigenen Produkte automatisiert auf ihre Seitenkanalwiderstandsfähigkeit zu überprüfen.

Schutz der IT-Systeme: Gemeinsam mit Projektpartnern entwickeln Informatikerinnen und Informatiker der H-BRS neuartige Verfahren zur Abwehr von Seitenkanalangriffen. Foto: Miriam Thüs

Seitenkanalangriffe heißen so, weil die zu schützenden Daten oder Algorithmen nicht auf direktem Weg angegriffen werden. Die Angriffsmethode sucht vielmehr nach unbeachteten Nebenzugängen, um die Schutzmechanismen eines IT-Systems zu umgehen. Hierbei macht sie sich bestimmte physikalische oder logische Effekte der Hardware- und Softwareplattform des IT-Systems zunutze, um durch Beobachtung und Analyse die eigentlich stark geschützten Informationen zu entlocken. So lässt zum Beispiel der Stromverbrauch auf die aktuelle Rechenleistung und die durchgeführten Operationen eines Prozessors schließen. Andere Angriffsmethoden messen die Zeitdauer, die ein Prozess für die Ausführung einer bestimmten Aktion benötigt. Auf diese Weise kann die angreifende Software Rückschlüsse ziehen auf verwendete geheime Parameter des angegriffenen Prozesses. Besonders kritisch sind solche Informationslecks, wenn Verschlüsselungssoftware angegriffen wird und die geheimen oder privaten Schlüssel entwendet werden können.

Mit dem Projekt DevToSCA wollen die Hochschule Bonn-Rhein-Sieg und ihre Projektpartner Software-Entwickler befähigen, die eigenen Software-Produkte automatisiert auf ihre Seitenkanalresistenz zu überprüfen. Die Projektpartner in diesem vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Projekt sind neben der H-BRS die Ruhr-Universität Bochum, Kasper & Oswald aus Bochum sowie die Rohde & Schwarz Cybersecurity. Die Partner entwickeln dazu symbolische und statistische Verifikationswerkzeuge zur Seitenkanalanalyse. Damit sollen Anwender auch in die Lage versetzt werden, ihre bereits installierten Software-Produkte im Feld  – etwa im Rahmen von Selbsttests – im Hinblick auf ihre Seitenkanaleigenschaften zu überprüfen.

Eine wesentliche Neuheit der Lösungsstrategie des DevToSCA-Projekts besteht darin, dass die Verifikationswerkzeuge speziell für die Anwendung durch Softwareentwickler ohne Expertenwissen zu Seitenkanalanalysen ausgestaltet werden. Dadurch wird diese Nutzergruppe befähigt, eigene Softwareprodukte – auch für sicherheitskritische Anwendungen und Prozesse – eigenständig zu prüfen.

20230302_fbinf_DevToSCA_Miriam_Thüs_004
Arbeitstreffen der Projektpartner in der H-BRS. Foto: Miriam Thüs

Die Hochschule Bonn-Rhein-Sieg verfügt über umfangreiche Expertise auf dem Gebiet der IT-Sicherheit. In dem 2021 gegründeten Institut für Cyber Security & Privacy bündelt sie Forschung, Lehre und Transfer zu Themen der digitalen Sicherheit und Privatheit im Cyberraum. Die Institutsleitung haben Professorin Kerstin Lemke-Rust und Professor Luigi Lo Iacono, bei denen auch die Koordination des DevToSCA-Forschungsverbunds liegt.

Professorin Lemke-Rust befasst sich in ihrer Forschung mit der Schwachstellenanalyse von kryptographischen Implementierungen auf Hardware- und Softwareplattformen – insbesondere im Hinblick auf Seitenkanalanalysen und Mikroarchitekturangriffen, zu denen auch die bekannten Vertreter Spectre und Meltdown gehören.

Professor Lo Iacono forscht mit der von ihm geleiteten Arbeitsgruppe für Daten- und Anwendungssicherheit an Themen der Sicherheit und Privatheit in verteilten Systemen. Er widmet sich aus interdisziplinärer Perspektive Fragen der technischen Umsetzung und Ausgestaltung sowie der wissenschaftlichen Evaluation von Technologien zur Förderung von Sicherheit und Privatheit und deren Nutzbarkeit für unterschiedliche Nutzergruppen.

„Mit den Erkenntnissen aus dem Projekt werden wir einem breiten Spektrum an Unternehmen und Softwareentwicklern die eigenständige Entwicklung von Softwareprodukten auf einem hohen Sicherheitsniveau ermöglichen“, so Professorin Kerstin Lemke-Rust. „Dies kommt der gesamten Wirtschaft zugute. “

Die H-BRS und ihre Projektpartner wollen die im DevToSCA-Projekt erarbeiteten Werkzeuge für Softwareentwickler als Open-Source-Software zur Verfügung stellen.

 

Pressebild: Forschung für die IT-Sicherheit

Kontakt

20150706_fbinf_kerstin_lemke-rust.png(DE)

Kerstin Lemke-Rust

Information Security

Research fields

Location

Sankt Augustin

Room

C 208

Address

Grantham-Allee 20

53757, Sankt Augustin

Telephone

+49 2241 865 238
20200506_fbinf_luigi_lo_iacono.jpg (DE)

Luigi Lo Iacono

Informationssicherheit, Daten- und Anwendungssicherheit

Location

Sankt Augustin

Room

C 210

Address

Grantham-Allee 20

53757, Sankt Augustin

Telephone

+49 2241 865 9557
portraet_martin_schulz_kum_20210609_cut_web.jpg (DE)

Martin Schulz

Science editor

Location

Sankt Augustin

Room

E 240

Address

Grantham-Allee 20

53757, Sankt Augustin

Telephone

+49 2241 865 9560