Prototypische Implementierung und Evaluation eines CBOM Standards
Zur Crypto-Inventarisierung werden verschiedene Tools benötigt. Funktionieren diese denn auch alle zusammen?
Motivation
Grundsätzlich werden kryptographische Verfahren und Prototokolle bei der Kommunikation zwischen IT-Systemen genutzt, um Sicherheitsziele wie Vetraulichkeit und Authentizität zu erreichen und Angriffe durch unberechtigte Dritte abzuwehren. Neue Erkenntnisse und Technologien können jedoch dazu führen, dass vermeintlich sichere Kryptographie plötzlich gebrochen werden kann. Ein aktuelles Beispiel ist die Bedrohung durch Quantencomputer, welche diverse Verfahren brechen könnten, sobald ausreichend leistungsstarke Modelle verfügbar sind.
Krypto-Agilität ist die Fähigkeit eines Systems, auf die veränderte Sicherheitslage oder neue kryptografische Standards zu reagieren, ohne dabei größere Ausfälle zu erzeugen. Um schnell und präziese reagieren zu können, muss der Ist-Zustand im System bekannt sein, d.h. welche kryptografischen Verfahren an welcher Stelle verwendet werden sowie ob und wie diese ausgetauscht werden können. Um dieses Wissen bereitzustellen, kann die verwendete Kryptografie in einem sog. Crypto-Inventory erfasst werden.
Die Erzeugung und Wartung eines Crypto-Inventories sollte, wo immer möglich, automatisiert geschehen. Da i.d.R. verschiedene Technologien zum Einsatz kommen, welche Kryptografie verwenden, werden auch verschiedene Tools benötigt, um die verwendete Kryptografie zu inventarisieren. Ein Beispiel für Tools zur automatisierten Erzeugung von Crypto-Inventories ist das prototypisch in unserer Arbeitsgruppe entwickelte Crypto-Detection-Tool. Dabei stellt sich die Frage, ob verschiedene bestehende Tools zusammen arbeiten können und die Formate kompatibel sind.
Ziel
Im Rahmen der Masterarbeit soll analysiert werden, in wieweit zusammen mit dem CBOM-Standard CycloneDX ein umfängliches Crypto-Inventory abgebildet werden kann. Bei Bedarf sollen Vorschläge zur Erweiterung des Standards erarbeitet werden.
Im Anschluss kann der CycloneDX-CBOM Standard sowie die erarbeiteten Erweiterungsvorschläge auf Basis des in unserer Arbeitsgruppe entwickelten prototypischen Crypto-Detection Tools (CDT) implementiert und das CBOM Format praktisch evaluiert werden.
Aufgaben
- Literaturrecherche bzgl.
- Krypto-Agilität und Crypto-Inventories, Standards und Anforderungen
- Bestehende Software und Konzepte zur Crypto-Inventarisierung
- Bestehende Standards zur Crypto-Inventarisierung
- Beschreibung von Anwendungsfällen von Crypto-Inventories und Ableitung von Anforderungen an die verwendeten Formate und Standards
- Prüfung der Erfüllung von Anforderungen bestehender Standards und Erarbeitung von Vorschlägen zur Standardisierung bzw. Erweiterung bestehender Standards
- Prototypische Implementierung
Voraussetzungen
- Kenntnisse in IT-Sicherheit & Angewandte Kryptographie
- Kenntnisse in der Programmiersprache C
- Kenntnisse in Computernetze & Betriebssysteme
- Spaß an der Verknüpfung von theoretischen Konzepten und Praxis
Referenzen und Literatur (Auswahl)
- Hohm, J., Heinemann, A., Wiesmaier, A. (2023). Towards a Maturity Model for Crypto-Agility Assessment. In: Jourdan, GV., Mounier, L., Adams, C., Sèdes, F., Garcia-Alfaro, J. (eds) Foundations and Practice of Security. FPS 2022. Lecture Notes in Computer Science, vol 13877. Springer, Cham.
- Schmitt, N., Henrich, J., Heinz, D., Alnahawi, N., Wiesmaier, A. (2024). On Criteria and Tooling for Cryptographic Inventories. In: S. Wendzel et al. (Hrsg.): SICHERHEIT 2024, Lecture Notes in Informatics (LNI),Gesellschaft für Informatik, Bonn 2024
- Ott, D., Paterson, K., & Moreau, D. (2023). Where Is the Research on Cryptographic Transition and Agility?. Communications of the ACM, 66(4), 29-32.
- CycloneDX Specification
- Crypto-Detection-Tool (CDT) Repository
Beginn
- sofort oder nach Absprache
Bei Interesse melden Sie sich bitte bei Nicolai Schmitt