• IT-Karriere:
  • Services:

Software-Entwickler: Krypto-Fehler vermeiden mit Cognicrypt

In vielen Apps steckt fehlerhafte Kryptographie. Auf der Sicherheitskonferenz Ruhrsec wurde eine Lösung vorgestellt: Cognicrypt. Die Open-Source-Software sucht nach Fehlern im Code und generiert sichere Krypto-Funktionen. Neben Java sollen bald auch weitere Programmiersprachen folgen.

Artikel von veröffentlicht am
Entwickler implementieren Verschlüsselung oft fehlerhaft.
Entwickler implementieren Verschlüsselung oft fehlerhaft. (Bild: Alexas_Fotos)

Ein Passwortmanager der Sicherheitsfirma Norton und die App der Volksbanken hatten bis vor kurzem eine Gemeinsamkeit: Bei beiden wurden kryptographische Funktionen fehlerhaft implementiert. Entdeckt wurde das durch die Open-Source-Software Cognicrypt. Damit lassen sich Apps auf derartige fehlerhafte Funktionen hin untersuchen. Cognicrypt kann aber nicht nur analysieren, sondern auch den Code für kryptographische Funktionen generieren, wie der Sicherheitsforscher und Professor für Softwaretechnik an der Universität Paderborn, Eric Bodden, auf der Sicherheitskonferenz Ruhrsec in Bochum gezeigt hat.

Stellenmarkt
  1. finanzen.de, Berlin
  2. Continental AG, Frankfurt am Main

Die Apps von Norton und den Volksbanken sind keineswegs die einzigen mit fehlerhaften kryptographischen Funktionen, sie sind Teil einer Studie der Cognicrypt-Entwickler, an der auch Bodden mitgewirkt hat. Diese untersuchte die 250 Top-Android-Apps aus den Bereichen Banking, Gesundheit und Passwortspeicher im Google Playstore. In 71 Prozent der Fälle fanden sie fehlerhafte kryptographische Implementierungen. Häufig schreiben App-Entwickler den Code jedoch gar nicht selbst, sondern greifen auf Snippets aus Repositorys wie Maven zurück. Auch hier führten die Forscher eine Studie durch und analysierten über 2,7 Millionen Java-Snipptes auf Maven. Sie wurden in 73 Prozent der Fälle fündig. Nicht selten hätten die Entwickler gleich mehrere Fehler gemacht, sagt Bodden. Das häufigste Problem sei die Verwendung von AES im unsicheren ECB-Modus.

Den eigenen Code untersuchen

Cognicrypt soll den Entwicklern dabei helfen, die kryptographischen APIs sicher zu verwenden. Entwickelt wurde die Software am kollaborativen Forschungszentrum Crossing der TU Darmstadt, an deren Forschung auch Bodden beteiligt ist. Die Software ist als Plugin für die Entwicklungsumgebung Eclipse verfügbar und kann so direkt im Entwicklungsprozess eines Java-Programmes oder einer App verwendet werden. Neben Java sollen zukünftig auch die Programmiersprachen C und C++ sowie weitere Entwicklungsumgebungen unterstützt werden. Auch eine Integration in Online-Dienste ist geplant.

Die Software analysiert den Programm-Code bei jeder Änderung binnen Sekunden und warnt bei hinzugefügten Schwachstellen oder der Verwendung von veralteten oder unsicheren Algorithmen. Die Warnungen werden in Form von Fehlermarkierungen ausgegeben, erklären das Problem und schlagen Korrekturen für die betroffenen Zeilen vor.

Durch die Kombination verschiedener Analysetechniken sowie den Fokus auf die Krypto-Analyse habe Cognicrypt eine niedrige False-Positivie-Rate, erklärt Bodden. Bei der Analyse der 2,7 Millionen Java-Snippets auf Maven habe diese bei 5 Prozent gelegen. Statische Analyse von Software-Code warte üblicherweise mit deutlich mehr False Positives auf.

Cognicrypt generiert sicheren Krypto-Code

"Ein Ziel war es, sicheren Krypto-Integration-Code zu generieren, damit die Entwickler nicht alles selber schreiben müssen", sagt Bodden. Mit Cognicrypt lasse sich für zahlreiche kryptografische Anwendungsszenarien, beispielsweise die Verschlüsselung einer Datei oder die Authentifizierung eines Nutzers, korrekter und sicherer Quellcode generieren. Diesen könne der Entwickler direkt in die Anwendungen integrieren, erklärt Bodden. Mit ein paar Klicks lassen sich die Aufgabe und die Algorithmen auswählen, die verwendet werden sollen. Anschließend generiert die Software den Java-Code für die Krypto-Funktion. Dabei werde nicht viel Wissen vorausgesetzt.

Bodden hofft nach eigenen Angaben auf bessere und vor allem einfachere Krypto-APIs, "die nur auf die richtige Weise verwendet werden können." Vielleicht könnte Cognicrypt damit in fünf Jahren obsolet werden. Sie sei für heute geschrieben und helfe den Entwicklern, Kryptographie auf eine sichere Weise zu verwenden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 1.699€ (Bestpreis mit Saturn, Vergleichspreis 1.939€)
  2. (aktuell u. a. Netzteile von be quiet! zu Bestpreisen)
  3. 47€
  4. (u. a. NieR Automata für 13,99€ und PSN Card 25 Euro [DE] für 21,99€ - Bestpreise!)

JohSpaeth 06. Jun 2019

Hallo, ich bin ein Mitarbeiter der Gruppe von Eric Bodden und bin an der Entwicklung rund...

JohSpaeth 06. Jun 2019

Hallo, ich bin ein Mitarbeiter der Gruppe von Eric Bodden und habe CogniCrypt...


Folgen Sie uns
       


The Outer Worlds - Fazit

Das Rollenspiel The Outer Worlds schickt Spieler an den Rand der Galaxie. Es erscheint am 25. Oktober 2019 und bietet spannende Missionen und Action.

The Outer Worlds - Fazit Video aufrufen
Concept One ausprobiert: Oneplus lässt die Kameras verschwinden
Concept One ausprobiert
Oneplus lässt die Kameras verschwinden

CES 2020 Oneplus hat sein erstes Konzept-Smartphone vorgestellt. Dessen einziger Zweck es ist, die neue ausblendbare Kamera zu zeigen.
Von Tobias Költzsch

  1. Bluetooth LE Audio Neuer Standard spielt parallel auf mehreren Geräten
  2. Streaming Amazon bringt Fire TV ins Auto
  3. Thinkpad X1 Fold im Hands-off Ein Blick auf Lenovos pfiffiges Falt-Tablet

Open Power CPU: Open-Source-ISA als letzte Chance
Open Power CPU
Open-Source-ISA als letzte Chance

Die CPU-Architektur Power fristet derzeit ein Nischendasein, wird aber Open Source. Das könnte auch mit Blick auf RISC-V ein notwendiger Befreiungsschlag werden. Dafür muss aber einiges zusammenkommen und sehr viel passen.
Eine Analyse von Sebastian Grüner

  1. Open Source Monitoring-Lösung Sentry wechselt auf proprietäre Lizenz
  2. VPN Wireguard fliegt wegen Spendenaufruf aus Play Store
  3. Picolibc Neue C-Bibliothek für Embedded-Systeme vorgestellt

Holo-Monitor angeschaut: Looking Glass' 8K-Monitor erzeugt Holo-Bild
Holo-Monitor angeschaut
Looking Glass' 8K-Monitor erzeugt Holo-Bild

CES 2020 Mit seinem neuen 8K-Monitor hat Looking Glass Factory eine Möglichkeit geschaffen, ohne zusätzliche Hardware 3D-Material zu betrachten. Die holographische Projektion wird in einem Glaskubus erzeugt und sieht beeindruckend realistisch aus.
Von Tobias Költzsch und Martin Wolf

  1. UHD Alliance Fernseher mit Filmmaker-Modus kommen noch 2020
  2. Alienware Concept Ufo im Hands on Die Switch für Erwachsene
  3. Galaxy Home Mini Samsung schraubt Erwartungen an Bixby herunter

    •  /