Innovative Methoden und Werkzeuge für mehr Sicherheit im Web
Es gibt nur wenige geeignete Leitlinien oder automatisierte Tools, um Sicherheitseigenschaften zu entwerfen oder zu analysieren. Uneinheitliche Methoden und Werkzeuge zur Analyse von Sicherheitsprotokollen während ihrer Entwicklung machen die Früherkennung und Prävention von Sicherheitslücken unmöglich und eine umfassende Analyse dieser Protokolle viel schwieriger. Darüber hinaus beschäftigen sich fortschrittliche Verifikationstools nur mit begrenzten Aspekten der Sicherheit eines Protokolls und erfordern spezielle Kenntnisse, über die ein normaler Protokollentwickler nicht verfügt. Das EU-finanzierte END2ENDSECURITY Projekt (Practical design and analysis of certifiably secure protocols – Theory and tools for end-to-end security) zielte auf die Gewährleistung einer End-to-End-Sicherheit durch Lösungen zur automatischen Entwicklung von Sicherheitsprotokollen und -programmen auf Basis von High-Level-Spezifikationen von ausgewählten Sicherheitsanforderungen und Protokollaufgaben. Um seine Ziele zu erreichen, entwickelt END2ENDSECURITY verschiedene allgemeine Methoden und Werkzeuge, vor allem dynamische Verifikationstechniken für mobile Geräte, ein datenschutzfreundliches System für verhaltensbezogene Online-Werbung (OBA) und kryptographische Protokolle. AppGuard ermöglicht es Benutzern, unter Verwendung von Inline-Referenzüberwachung Sicherheits- und Datenschutzrichtlinien in Drittanbieteranwendungen zu implementieren. Dies begrenzt die Ausbreitung von Schwachstellen auf Drittanbieteranwendungen und das Betriebssystem. Die entwickelte App ist öffentlich verfügbar und wurde bis heute bereits mehr als eine halben Million Mal heruntergeladen. ObliviAd wurde entwickelt, um als eine praktische und sichere Architektur für OBA zu dienen, bei der die Online-Aktivitäten der Nutzer erfasst werden, um personalisierte Anzeigen erstellen zu können. In diesem Fall kommt ein sicheres Hardware-basiertes Retrieval-System für private Information zum Einsatz, um Anzeigen zu verbreiten, und das Mischen mit hoher Latenz von elektronischen Token, um bei den Werbekunden abzurechnen, ohne dass Kundendaten dem Makler offengelegt werden. ObliviAd ist eine kostengünstige Option für Makler, die die Genauigkeit der Anzeigenauswahl beibehält. Außerdem wurde ein allgemeiner Rahmen für die Entwicklung und Überprüfung von kryptographischen Beweisen geschaffen. Die Projektergebnisse wurden bei hochkarätigen Konferenzen präsentiert und in führenden Zeitschriften veröffentlicht. Informationssysteme werden ständig bedroht und sind scheinbar ungenügend ausgerüstet, um mit verschiedenen Sicherheitslücken umgehen zu können. Dank END2ENDSECURITY sollen neue automatisierte und leicht zu bedienende Methoden und Werkzeuge eine hohe Sicherheit bieten.
Schlüsselbegriffe
Sicherheitsprotokolle, Sicherheitslücken, END2ENDSECURITY, Drittanbieternanwendungen