Projektstart KoTeBi - 1. Treffen

18.08.2022

TLS (Transport Layer Security) ist der wichtigste praktisch eingesetzte Sicherheitsstandard - mit TLS werden die Authentizität, Integrität und Vertraulichkeit privater und geschäftlicher Kommunikation sichergestellt, Datenschutz gewährleistet und komplexe IT-Systeme abgesichert.

Während die theoretische Sicherheit von TLS gut untersucht und verstanden ist, entstehen durch Implementierungsfehler immer wieder gravierende Sicherheitslücken, die für Angriffe ausgenutzt werden können (HeartBleed, POODLE, ROBOT, DROWN, RACCOON, …). Konnten die ersten Implementierungsfehler noch leicht manuell gefunden werden, nutzen neuere Angriffe ein komplexes Zusammenspiel mehrerer TLS-Versionen und zahlreicher TLS-Features.

Um die Sicherheit solch komplexer kryptographischer Implementierungen sicherstellen zu können, ist die Entwicklung von Methoden zum automatisierten Testen aller möglichen Kombinationen dieser Features auf allen Ebenen unbedingt erforderlich. Das Ziel der Projekts KoTeBi – Kombinatorisches Testen von TLS-Bibliotheken auf allen Ebenen ist es, solche automatisierten Testmethoden zu entwickeln und praktisch in einer Testsuite umzusetzen. Die im Projekt entwickelte Testsuite wird damit für den Einsatz durch Entwickler, Integratoren, Produkthersteller sowie Prüfinstituten und Aufsichtsbehörden geeignet sein, um TLS-Implementierungen im Hinblick auf Sicherheit und Interoperabilität zu testen.

Als Basis für die Testsuite wird das Open Source Framework TLS-Attacker verwendet, das gemeinsam von der Uni Paderborn und der Ruhr-Uni Bochum entwickelt wurde. Anforderungen werden von den Firmenpartnern beigesteuert, die die Entwicklung kritisch begleiten. Eine Integration in ein Software-Testing-Framework ist geplant. ”Unsere Testsuite wird damit sowohl für Compliance- und Sicherheitstests von TLS-Bibliotheken durch ihre Entwickler eingesetzt als auch begleitend zur Entwicklung neuer auf TLS basierenden Software-Komponenten durch Produkthersteller verwendet. ” so Herr Kemkes von InnoZent OWL e.V.

Das Konsortium (Universität Paderborn, Ruhr-Uni Bochum, ZÜV Informationstechnik GmbH, Hackmanit GmbH, InnoZent OWL e.V.) wurde gezielt zusammengestellt, um die Anwendbarkeit der Ergebnisse in der Praxis sicherzustellen und um die akademische Neuheit zu garantieren. Somit ergeben sich aus dem Projekt viele Themen, die für die Wissenschaft als auch für die Wirtschaft hochinteressant sind, unter anderem.

Kombinatorisches Testen für TLS: Bisherige Arbeiten im Bereich von Analysen von TLS haben sich vor allem auf konkrete Analysen von einzelnen Sicherheitslücken konzentriert. Das volle Potential vom Testen von umfangreichen Bibliotheken wurde noch nicht erforscht. “In unserem Projekt werden wir Kombinatorisches Testen einsetzen, welches uns ermöglicht die Test-Parameter schlau und effizient zu wählen und damit große Test-Abdeckung zu erzielen. Damit legen wir auch einen neuen Ansatz für die Analysen von kryptographischen Protokollen allgemein.” Erklärt Prof. Schwenk von der Ruhr-Uni Bochum.

Testen mit Compiler Flags: Unsere Testsuite wird zusätzlich zu den kompilierten TLS-Bibliotheken auch die Compiler Optionen kombinatorisch testen. Dabei werden die Bibliotheken während des Testens mit unterschiedlichen Compiler Flags kompiliert, um die Auswirkungen von unterschiedlichen Plattform-spezifischen Eigenschaften und “versteckten” TLS-Features zu untersuchen. “In den vergangenen Jahren hat sich gezeigt, dass ausgerechnet unterschiedliche Compiler Flags und versteckte TLS-Features neue Sicherheitslücken ermöglichen können. Daher ist deren Berücksichtigung bei den Tests sehr wichtig.” so Prof. Somorovsky von der Uni Paderborn.

Continuous Testing (CT) und Continuous Development (CD) Integration: Im Rahmen des Projektes werden wir Plugins für CI implementieren. “Diese Plugins werden es ermöglichen, unsere Testsuite in der Entwicklung von TLS-Bibliotheken einzusetzen und kontinuierlich zu testen.” so Prof. Niemietz von der Hackmanit GmbH.  Die Testsuite wird die Compliance und Sicherheit der TLS-Bibliotheken nach offiziellen Richtlinien (BSI / CC) evaluieren. “Damit werden die TLS-Bibliotheken  für die anstehende Zertifizierung direkt vorbereitet.” ergänzt Herr Schröder von der TÜV Informationstechnik GmbH, die als assoziierter Partner involviert ist.

Partner: Hackmanit, InnoZent OWL, Ruhr Universität Bochum, Universität Paderborn