Umfassender an die Cybersicherheit herangehen
Die meisten von uns führen ein glückliches digitales Leben und vergessen dabei, dass unsere Geräte und Anwendungen ständigen Bedrohungen ausgesetzt sind. Größtenteils liegt das daran, dass die Sicherheit dieser Geräte durch verschiedene wichtige Komponenten geschützt wird, etwa Verschlüsselungsbibliotheken, Transport Layer Security (TLS), browserinterne Sicherheitsmechanismen und Single-Sign-on-Protokolle. Regelmäßige Cyberangriffe haben jedoch bewiesen, dass diese Maßnahmen alles andere als perfekt sind. „Obwohl diese Komponenten nach wie vor weit verbreitet sind, wissen wir nicht, wie viel Sicherheit sie uns wirklich bieten“, sagt Karthik Bhargavan, ein Forscher am nationalen Forschungsinstitut für Informatik und Technologie (Inria) in Frankreich. „In Wirklichkeit können selbst die kleinsten Fehler im Code einer Komponente prekäre und schwerwiegende Angriffe nach sich ziehen.“ Statt jedes Problem einzeln zu beheben, möchte Bhargavan mit Unterstützung des EU-finanzierte Projekts CIRCUS seine Fühler in alle Richtungen ausstrecken. „Wir möchten unsere Zeit nicht dafür verschwenden, jeder einzelnen neuen Bedrohung nachzugehen, sondern ein formales Framework für die Sicherheitsüberprüfung entwickeln, das ganze Klassen von Sicherheitslücken auf einmal erkennen und beseitigen kann“, fügt er hinzu.
Keine Ausreden mehr
Zunächst half das CIRCUS-Forschungsteam bei der Entwicklung, Analyse und Standardisierung von TLS 1.3 der aktuellen Version des TLS-Protokolls, das sicheres Surfen im Internet unterstützt. „Unser Beitrag dazu wurde in der veröffentlichten Norm gewürdigt und unsere unterstützende Forschung hat einen Preis für die beste Veröffentlichung erhalten“, so Bhargavan. Die zweite Phase des Projekts, das durch den Europäischen Forschungsrat unterstützt wurde, war der Arbeit an HACL* gewidmet, der ersten formal verifizierten Hochleistungsbibliothek für Verschlüsselungsalgorithmen. „Dank HACL* gibt es keinen Grund mehr, nicht verifizierten Verschlüsselungscode in populären sicherheitskritischen Anwendungen zu nutzen“, merkt er an. Laut Bhargavan wollten zahlreiche Unternehmen sofort Hilfe bei der Einbindung des HACL*-Codes in ihre Produkte, darunter Mozilla Firefox, Linux Kernel, WireGuard, Microsoft MsQuic, Tezos und ElectionGuard. „Die Qualität der Software aus einem Forschungsvorhaben so zu verbessern, dass sie produktionsreif wird, erforderte unsererseits viel Lern- und Entwicklungsarbeit“, sagt er. „Obwohl dies nicht unser eigentlicher Plan war, konnten wir die Forschungsergebnisse so schneller auf reale industrielle Anwendungen übertragen.“
Die Möglichkeiten der Cybersicherheit ausreizen
Das CIRCUS-Projekt konnte die Möglichkeiten der Cybersicherheit hinsichtlich der formalen Verifikation und angewandten Verschlüsselung erfolgreich ausreizen. „Mit finanzieller Unterstützung der EU konnten wir zeigen, dass eine produktionsreife, leistungsfähige Verschlüsselungssoftware in der Tat formal verifiziert werden kann“, so Bhargavan abschließend. Obwohl das Projekt beendet ist, ist der HACL*-Code frei auf GitHub verfügbar. Darüber hinaus arbeiten Bhargavan und sein Team weiterhin an der Weiterentwicklung vieler Themen, die während des Projekts aufgekommen sind, etwa an der Verifizierung von Verschlüsselungssoftware, die in gängigen verifikationsorientierten Sprachen wie Rust geschrieben ist. Die Forscherinnen und Forscher haben außerdem begonnen, die Forschung an CIRCUS und ihre Ergebnisse an ein privates Unternehmen zu übertragen. Damit soll eine Industriegemeinschaft rund um verifizierte Verschlüsselungssoftware aufgebaut werden.
Schlüsselbegriffe
CIRCUS, Cybersicherheit, Framework für die Sicherheitsüberprüfung, Cyberbedrohung, Transport Layer Security, Cyberangriff, Kodierung, HACL*, Verschlüsselungsalgorithmen, Verschlüsselungscode, Verschlüsselung