Deutsche Forscher veröffentlichen einen Kryptografieassistenten

Ein Team aus Wissenschaftlern und Forschern der TU Darmstadt, der Universität Paderborn und des Fraunhofer Institut für Entwurfstechnik Mechatronik (IEM) hat mit CogniCrypt ein Werkzeug für Java-Entwickler herausgegeben. Das Open-Source-Tool soll sie bei der Integration von Kryptografiekomponenten unterstützen und ihnen helfen, Fehler hinsichtlich Sicherheit und Datenschutz zu vermeiden.

Die Macher bezeichnen CogniCrypt als Kryptografieassistenten. Ihre Motivation zum Erstellen des Werkzeugs war und ist, dass viele Softwareentwickler zwar Kryptografie verwenden, sie aber häufig fehlerhaft einbinden. Oft enthalten vermeintlich sichere Anwendungen Angriffspunkte, die nicht auf den ersten Blick erkennbar sind. Das mag zum einen an der Verschlüsselung selbst in Form des verwendeten Algorithmus oder eines unzureichenden Salt liegen. Zum anderen ergeben sich einige Schwachstellen durch die Natur von Java: Als String zwischengespeicherte Passwörter bleiben beispielsweise im Hauptspeicher, bis der Garbage Collector sie entfernt.

Fehlersuche und Kryptosprache

Der Assistent lässt sich in die Eclipse-Entwicklungsumgebung einbinden und unterstützt Entwickler bei der Verwendung von Kryptografie-APIs während des gesamten Entwicklungsprozesses. Zum einen generiert es für zahlreiche Kryptografie-Anwendungsszenarien sicheren Quellcode und zum anderen unterzieht es neuen Code fortlaufend einer statischen Analyse, um das fehlerhafte Verwenden von Softwarekomponenten zu verhindern.

CogniCrypt bietet zudem eine eigene Beschreibungssprache, die Crypto Specification Language (CrySL), mit der Kryptografieexperten Benutzungsregeln von Kryptografiekomponenten definieren können. Damit können sie Softwareentwicklern textliche Hinweise zum Einsatz der Komponenten geben, ohne sich mit dem Sourcecode auseinanderzusetzen. Mittelfristig soll das Tool in der Lage sein, die Texthinweise automatisiert zu generieren.

Blick in den Code

Mit der Veröffentlichung als Eclipse-Open-Source-Projekt möchten die Macher nicht nur die einfache Verbreitung sicherstellen, sondern anderen Kryptografieexperten die Kontrolle ermöglichen, ob das Tool die Anbindung der Komponenten und die Überprüfung des Sourcecodes korrekt umsetzt. Außerdem erhoffen sie sich weitere Funktionen von der Community.

Weitere Details lassen sich den Meldungen der TU Darmstadt, der Universität Paderborn und des Fraunhofer IEM entnehmen. Eine Dokumentation und Hinweise zur Installation finden sich auf der CogniCrypt-Site bei Eclipse. Der Sourcecode ist auf GitHub zu finden.

Siehe dazu auf heise Developer:

• CogniCrypt: Kryptografie richtig nutzen
  

(rme)