Ein proaktiver Ansatz für nachhaltige IT-Sicherheit

Im Bereich der IT-Sicherheit entwickeln sich immer neue Bedrohungen. Daher werden in den EU-geförderten Projekten SHARCS und PQCRYPTO neue Paradigmen, Architekturen und Softwares entwickelt, um zu gewährleisten, dass unsere IKT-Systeme sicher und vertrauenswürdig bleiben.

In der vernetzten Welt von heute sind immer mehr Tätigkeiten von IT-Sicherheit abhängig. Durch Angebote und Dienste, die von Online-Banking und Online-Shopping über Telemedizin und Mobilkommunikation bis hin zu Cloud Computing und dem Internet der Dinge reichen, gelangen in unserer Gesellschaft vertrauliche und private Daten in zunehmendem Ausmaß ins Internet.

Da sich auch die Methoden von Hackern stetig weiterentwickeln, müssen sowohl der öffentliche als auch der private Sektor aktiv an der IT-Sicherheit arbeiten. Vor diesem Hintergrund werden in zwei EU-geförderten Projekten, SHARCS und PQCRYPTO, neue Paradigmen, Architekturen und Softwares entwickelt, um gewährleisten, dass unsere IKT-Systeme sicher und vertrauenswürdig bleiben.

Der Bedarf für modernere Verschlüsselungsverfahren

Heutzutage sind die von uns im Internet gespeicherten Daten größtenteils geschützt – entweder durch Public-Key-Algorithmen (RSA), diskrete Logarithmen in endlichen Feldern oder elliptische Kurven. In der Praxis sind diese Systeme üblicherweise ausreichend variabel, um unsere Online-Kommunikation zu schützen. Doch wenn eines Tages leistungsfähige Quantencomputer verfügbar sind, werden diese Systeme veraltet sein.

Vertrauliche Informationen wie Gesundheitsdaten oder Angelegenheiten der nationalen Sicherheit, um nur zwei Beispiele zu nennen, müssen mit einem bestimmten Sicherheitsniveau gespeichert werden. Werden Daten auf einem Quantencomputer gespeichert, bieten Verschlüsselungsverfahren auf Grundlage von RSA oder elliptischen Kurven jedoch keinen Schutz mehr vor Hacking. Da die EU und nationale Regierungen stark in die Entwicklung von Quantencomputern investieren, mahnen die Wissenschaftler von SHARCS und PQCRYPTO, dass schon heute Vorbereitungen für das Zeitalter der Quantencomputer getroffen werden müssen.

Flip Feng Shui zeigt Schwachstellen auf

Um die Ernsthaftigkeit dieser Bedrohung zu verdeutlichen, veränderten Hacking-Experten im Rahmen dieser Projekte mithilfe einer neuen, nicht auf Software-Bugs basierenden Angriffstechnik den Arbeitsspeicher Cloud-gehosteter virtueller Maschinen. Bei dieser Technik mit dem Namen „Flip Feng Shui“ (FFS) mietet ein Angreifer eine virtuelle Maschine auf demselben Host wie sein Opfer, um dann unbemerkt die Verschlüsselung der virtuellen Maschine zu knacken oder Schadsoftware zu installieren. Durch dieses Angriffsverfahren kann der Hacker nicht nur Daten einsehen und offenlegen, sondern sie auch mittels eines Hardware-Glitches verändern. Als Ergebnis kann der Server angewiesen werden, schädliche oder unerwünschte Software zu installieren, und unautorisierte Benutzer könnten sich anmelden.

Bei einem FFS-Angriff erlangten Forscher Zugriff auf eine der virtuellen Maschinen des Hosts, indem sie nur ein einzelnes Bit veränderten und so die OpenSSH-Public-Keys schwächten. Bei einem weiteren Angriff veränderten die Forscher die Einstellungen der Softwareverwaltungsanwendung APT, indem sie die URL, an der APT Software herunterlädt, leicht veränderten. Anschließend konnte auf dem Server Schadsoftware installiert werden, die als Softwareupdate angeboten wurde.

Die Bedrohungen von morgen schon heute ausräumen

Es liegt noch ein langer Weg vor uns, um die Sicherheit unserer online gespeicherten Daten zu gewährleisten. Mit nur diesem einen Test widerlegten die Forscher die weit verbreitete Auffassung, dass Hardware-Bit-Flips von nur geringem praktischem Nutzen wären. Mithilfe von FFS-Primitiven konnten die Forscher einen verheerenden Ende-zu-Ende-Angriff durchführen – ganz ohne dabei Schwachstellen in der Software auszunutzen.

Um sich gegen FFS und andere Bedrohungen zu rüsten, sind regelmäßig neue Prüfverfahren, Hardwarezertifizierungen und Anpassungen der an die Software gestellten Anforderungen erforderlich. Daher werden im SHARCS-Projekt Anwendungen konzipiert, bei denen die Sicherheit im Mittelpunkt steht, und Dienste entwickelt, die den Nutzern von Ende zu Ende durchgängige Sicherheit bieten. Gleichzeitig arbeiten die Mitglieder des PQCRYPTO-Projekts an kryptografischen Systemen, die nicht nur nach heutigen Maßstäben sicher sind, sondern auch langfristig in der Ära der Quantencomputer zuverlässig sein werden. Zusammen bieten diese Projekte ein Portfolio hochsicherer Systeme, die auf die steigenden Sicherheitsanforderungen durch Mobilgeräte, Cloud Computing und das Internet der Dinge eingehen.

Weitere Informationen:
SHARCS-Projektwebsite
PQCRYPTO-Projektwebsite

veröffentlicht: 2016-09-07
Kommentare


Privacy Policy