KoTeBi – Kombinatorisches Testen von TLS-Bibliotheken auf allen Ebenen


Laufzeit 01.07.2022 bis 30.06.2025

Sicherheitslücken bei der TLS-Programmierung automatisiert erkennen (KoTeBi)

Motivation
Das Protokoll Transport Layer Security (TLS) ist heute der wichtigste Sicherheitsstandard auf Computern und Smartphones. Es dient der Absicherung von Kommunikation über das Internet und wird beispielsweise beim Streaming von Videos eingesetzt.
Durch menschliche Fehler in der Implementierung von TLS und anderen Verschlüsselungsprotokollen entstehen jedoch immer wieder Sicherheitslü-cken. Diese werden zunehmend herausfordernder, da sie sich aus komplexen Kombinationen verschiedener Protokollversionen sowie deren Teilschritten ergeben. Während der Softwareentwicklung ist dieses komplexe Zusammenspiel äußerst schwer zu antizipieren. Abhilfe können vollumfängliche Sicherheitstests schaffen, insofern sie diese Komplexität ausreichend berück-sichtigen.

Ziele und Vorgehen
Ziel des Vorhabens „Kombinatorisches Testen von TLS-Bibliotheken auf allen Ebenen (KoTeBi)“ ist es, Schwachstellen und Kompatibilitätsprobleme schon während der Programmierung zu erkennen und zu vermeiden. Um dies zu erreichen, werden die Forschenden ein System entwickeln, das ein durchgängiges Testen von Programmbibliotheken, den Implementierungen eines spezifischen Protokolls, ermöglicht. Dazu erforschen die Projektbeteiligten Methoden zur automatisierten Erkennung von Sicherheitslücken, die sich insbe-sondere aus der Kombination von Protokollversi-onen und deren Teilschritten ergeben. Software-entwicklerinnen und -entwickler sollen befähigt werden, ihre eigene Implementierung mit dem Werkzeug zu testen, sodass die Absicherung bereits im Entwicklungsprozess stattfindet.

Innovationen und Perspektiven
Werden – wie im Projekt anvisiert − Schwachstellen in sicherheitskritischen Applikationen systematisch und kontinuierlich erfasst, hilft dies erheblich dabei, Dienstleistungen und Produkte besser abzusichern.
Perspektivisch ermöglicht das Vorhaben die selbständige Sicherheitsanalyse von Eigenentwicklungen. Dies ist beispielsweise vielversprechend mit Blick auf neue kryptographische Verfahren, die heute und in Zukunft immer stärker benötigt werden. Denn existierende Verschlüsselungsprotokolle wie TLS wurden zumeist für leistungsstarke Computer entwickelt. Für ressourcenarme Geräte, zum Beispiel im Internet der Dinge, taugen sie dagegen nur bedingt.
Neben Beschäftigten in der Softwareentwicklung können auch Prüfinstitute und Aufsichtsbehörden von automatisierten Tests profitieren. Beispiels-weise ist die Verwendung der Forschungsergebnisse für Werkzeuge zur Zertifizierung von Software denkbar. Indem die Forschenden die Entwicklung von Kommunikationsprotokollen sicherer machen, leisten sie einen wichtigen Beitrag zur Zukunftsfähigkeit Deutschlands und Europas in einer digitalen Welt.

IT-Systeme stammen heutzutage nicht mehr aus einer Hand, sondern bestehen aus einem komplexen Gefüge von Einzelkomponenten, vom Chip bis zur Benutzerschnittstelle. Die Sicherheitseigenschaften dieser komplexen Systeme sind selbst für Expertinnen und Experten häufig schwer zu beurteilen. Im Rahmen des Forschungsrahmenprogramms der Bun-desregierung zur IT-Sicherheit „Digital. Sicher. Souverän.“ fördert das Bundesministerium für Bildung und Forschung daher die Erforschung und Entwicklung von Methoden und Technologien zur Sicherheitsanalyse auf allen Systemschichten. Ziel ist es, innovative Bausteine und Gesamtlösungen für sichere und nachvollzieh-bare IT-Systeme von der Entwicklung bis zum Einsatz und der Anwendung dieser Systeme zu schaffen.

Konsortium
Koordinator: Universität Paderborn
Projektpartner: Hackmanit GmbH, Bochum, InnoZent OWL e.V., Ruhr-Universität Bochum, Universität Paderborn