Guideline für Cryptograhic Inventories
Sag mal, welche Crypto-Verfahren nutzen wir eigentlich? Ich glaub', ich hab' den Überblick verloren.
Motivation
Eine beispielsweise durch Quantencomputer erzielte Steigerung der Rechenleistung könnte eine baldige Kompromittierung asymmetrischer Kryptographie ermöglichen. Eine Migration von klassischen Verfahren hin zu Post Quanten Kryptographie scheint unausweichlich. Unzählige Softwaresysteme sind betroffen. Dabei wird deutlich, wie wichtig und schwierg es ist, einen umfassenden Überblick über die bisher verwendeten kryptografischen Algorithmen und Konfigurationen im System zu erlangen. Doch nur so kann eine vollständige und somit erfolgreiche Migration hin zu Quantensicherheit erlangt werden.
Ziel
Das Ziel dieser Arbeit ist die Ausarbeitung von Anforderungen an ein sogenanntes Cryptographic Inventory, welches alle kryptographischen Verfahren und die zugehörigen Konfigurationen eines Softwaresystems erfasst. Darauf aufbauend soll eine Guideline für die Erstellung eines solchen Inventories mit konkreten Arbeitsschritten definiert werden. Für die Ausarbeitung sollte eine umfangreiche Literaturrecherche durchgeführt werden. Bekannte Anforderungen und Konzepte zur Erstellung vollständiger Inventories aus anderen Kontexten sollen berücksichtigt und verglichen werden. Die entwickelte Guideline soll in Zukunft Entwickler und Verantwortliche dabei unterstützen, ihre Systeme vollständig und lückenlos kryptografisch abzusichern. Des Weiteren soll die Verwendung veralteter, unsicherer Verfahren und Konfigurationen vermieden werden.
Aufgaben
- Literaturrecherche bzgl.
- Anforderungen an diverse Inventories im Kontext von Softwaresystemen
- Guidelines bzgl. der Erstellung diverse Inventories im Kontext von Softwaresystemen
- Arten unterschieldicher kryptographischer Verfahren und Konfigurationen, die in Softwaresystemen verwendet werden
- Zusammentragen von Anforderugen an Cryptographic Inventories mithilfe der Ergebnisse der Literaturrecherche
- Erstellung einer Guideline im Sinne eines Prozesses mit konkreten Arbeitsschritten zur Erstellung eines vollständigen Cryptographic Inventories
- Evaluation der Guideline mithilfe der Anfoderungen und möglicherweise mithilfe eines (fiktiven) Beispielsystems
Voraussetzungen
- Kenntnisse in IT-Sicherheit
- Kentnisse in Prozessmanagement
- Kenntnisse in Computernetze & Betriebssysteme
- Spaß an Literatur und theoretischen Konzepten
Referenzen und Literatur (Auswahl)
- Hohm, J., Heinemann, A., Wiesmaier, A. (2023). Towards a Maturity Model for Crypto-Agility Assessment. In: Jourdan, GV., Mounier, L., Adams, C., Sèdes, F., Garcia-Alfaro, J. (eds) Foundations and Practice of Security. FPS 2022. Lecture Notes in Computer Science, vol 13877. Springer, Cham.
- Barker, W., Polk, W., & Souppaya, M. (2020). Getting ready for post-quantum cryptography: explore challenges associated with adoption and use of post-quantum cryptographic algorithms. The Publications of NIST Cyber Security White Paper (DRAFT), CSRC, NIST, GOV, 26.
- NIST Post-Quantum Cryptography Standardization
- Ott, D., Paterson, K., & Moreau, D. (2023). Where Is the Research on Cryptographic Transition and Agility?. Communications of the ACM, 66(4), 29-32.
Beginn
- sofort oder nach Absprache
Bei Interesse melden Sie sich bitte bei Nicolai Schmitt oder Johanna Henrich