Skip to main content
European Commission logo
polski polski
CORDIS - Wyniki badań wspieranych przez UE
CORDIS
CORDIS Web 30th anniversary CORDIS Web 30th anniversary

An end-to-end verification architecture for building Certified Implementations of Robust, Cryptographically Secure web applications

Article Category

Article available in the following languages:

Kompleksowe podejście do kwestii cyberbezpieczeństwa

Obecnie większość rozwiązań w zakresie cyberbezpieczeństwa działa w sposób reaktywny, skupiając się na pojedynczych zagrożeniach. Nowe ramy weryfikacji bezpieczeństwa pozwalają na identyfikację i eliminację całych klas cyberzagrożeń.

Gospodarka cyfrowa icon Gospodarka cyfrowa

Większość ludzi korzysta z technologii cyfrowych na co dzień, nie zastanawiając się nad wszystkimi cyberzagrożeniami, które czyhają na nasze urządzenia i aplikacje. Możemy sobie na to pozwolić ze względu na różne zabezpieczenia chroniące nasze urządzenia – biblioteki kryptograficzne, protokół Transport Layer Security (TLS), mechanizmy bezpieczeństwa wbudowane w przeglądarki internetowe czy protokoły pojedynczego logowania. Kolejne cyberataki uświadamiają nam jednak, że obecna sytuacja pozostawia jeszcze wiele do życzenia. „Choć wszystkie te elementy znalazły szerokie zastosowanie, nie wiemy dokładnie, w jakim stopniu tak naprawdę zapewniają nam bezpieczeństwo”, twierdzi Karthik Bhargavan, badacz z francuskiego Krajowego Instytutu Badań w zakresie Nauk Cyfrowych i Technologii (Inria). „W rzeczywistości nawet najmniejszy błąd w kodzie czy gotowym komponencie może prowadzić – i często prowadzi – do głośnych ataków”. Zamiast próbować rozwiązywać każdy z tych problemów z osobna, dzięki wsparciu finansowanego ze środków Unii Europejskiej projektu CIRCUS Bhargavan stara się zastosować bardziej całościowe podejście. „Zamiast tracić czas na zajmowanie się każdym nowym zagrożeniem, proponujemy opracowanie formalnych ram weryfikacji bezpieczeństwa, które pozwolą na wykrywanie i eliminowanie całych klas podatności za jednym zamachem”, dodaje.

Koniec z wymówkami

Na początek badacze skupieni wokół projektu CIRCUS pomogli w zaprojektowaniu, analizie i standaryzacji protokołu TLS w wersji 1.3 – najnowszego wydania tego rozwiązania, na którym opiera się bezpieczne przeglądanie stron internetowych. „Nasz wkład w opracowanie standardu został uznany przez jego twórców w publikacji, a opublikowane badania otrzymały nagrodę za najlepszą pracę”, dodaje Bhargavan. Drugi etap tego wspieranego przez Europejską Radę ds. Badań Naukowych koncentrował się na opracowaniu HACL* – pierwszej formalnie zweryfikowanej i wysokowydajnej biblioteki algorytmów kryptograficznych. „Dzięki HACL* nie ma już żadnego usprawiedliwienia dla stosowania niezweryfikowanego kodu kryptograficznego w aplikacjach i zastosowaniach o krytycznym znaczeniu dla bezpieczeństwa”, dodaje. Jak twierdzi Bhargavan, kilka firm od razu zwróciło się do zespołu o pomoc we wdrożeniu kodu HACL* do swoich produktów, takich jak jądro Linux, Mozilla Firefox, WireGuard, Microsoft MsQuic, Tezos czy ElectionGuard. „Przejście od etapu projektu badawczego do rozwiązania produkcyjnego i wynikająca z tego konieczność poprawy jakości naszego produktu wymagała od nas wiele nauki i jeszcze więcej pracy”, twierdzi badacz. „Choć zadania te wykraczały poza nasze pierwotne plany dotyczące projektu, podjęcie ich pozwoliło nam przyspieszyć transfer wyników przeprowadzonych badań do zastosowań przemysłowych w realnym świecie”.

Rozwój cyberbezpieczeństwa

Zespołowi projektu CIRCUS udało się skutecznie rozwinąć dziedzinę cyberbezpieczeństwa dzięki weryfikacji formalnej i kryptografii stosowanej. „Dzięki wsparciu z budżetu Unii Europejskiej udało nam się udowodnić, że jest możliwa formalna weryfikacja wysokowydajnego oprogramowania kryptograficznego gotowego do wdrożenia”, podsumowuje Bhargavan. Choć prace nad projektem dobiegły już końca, kod biblioteki HACL* jest dostępny za darmo w serwisie GitHub. Ponadto zarówno Bhargavan, jak i jego zespół nadal kontynuują pracę nad wieloma zagadnieniami, które pojawiły się w czasie realizacji projektu, w tym nad weryfikacją oprogramowania kryptograficznego stworzonego w językach zorientowanych na weryfikację, takich jak Rust. Badacze są także na wczesnym etapie przekazywania badań i wyników projektu CIRCUS prywatnej spółce, której celem jest zbudowanie społeczności przemysłowej wokół zweryfikowanego oprogramowania kryptograficznego.

Słowa kluczowe

CIRCUS, cyberbezpieczeństwo, ramy weryfikacji bezpieczeństwa, cyberzagrożenie, Transport Layer Security, cyberataki, programowanie, HACL*, algorytmy kryptograficzne, kod kryptograficzny, kryptografia

Znajdź inne artykuły w tej samej dziedzinie zastosowania