#WeKnowCybersecurity

Cybersecurity-Blog des Fraunhofer AISEC

Cybersicherheit
Tobias Specht

Parsing von X.509-Zertifikaten: Wie sicher sind TLS-Bibliotheken?

Digitale Zertifikate wie X.509 sind für die sichere Internetkommunikation unerlässlich, da sie Authentifizierung und Datenintegrität ermöglichen. Unterschiede in der Art und Weise, wie sie von verschiedenen TLS-Bibliotheken geparst werden, können jedoch zu Sicherheitsrisiken führen. In einer aktuellen Studie des Fraunhofer AISEC wurden sechs weit verbreitete X.509-Parser mit realen Zertifikaten analysiert. Die Ergebnisse zeigen Unstimmigkeiten auf, die sich auf sicherheitskritische Anwendungen auswirken könnten. In diesem Artikel fassen wir die wichtigsten Ergebnisse zusammen und erklären, warum Unternehmen ihre kryptografischen Bibliotheken genau unter die Lupe nehmen sollten.

Zum Artikel »
Tobias Specht 26. Februar 2025
Kryptografie
Ivan Gavrilan

Impeccable Keccak: Absicherung kryptografischer Implementierungen mit fehlerresisitenten Schaltkreisen

Bedrohungen für die Cybersicherheit entwickeln sich stets weiter und kryptografische Implementierungen sind zunehmend von Angriffen durch Fehlerinjektionen gefährdet. Das Fraunhofer AISEC präsentiert mit Impeccable Keccak einen neuen Ansatz zur Sicherung von SLH-DSA (SPHINCS+), einem digitalen Signaturverfahren der Post-Quanten-Kryptografie, das von der NIST 2024 standardisiert wurde. Durch den Einsatz fehlerresistenter Schaltkreise und die Gewährleistung aktiver Sicherheit stellt dies einen neuen Ansatz für fehlerresistente Kryptografie dar.

Zum Artikel »
Ivan Gavrilan 13. Januar 2025
Quantencomputing
Maximilian Wendlinger

Quantenbasierte und klassische KI-Sicherheit: Wie man robuste Modelle gegen Adversarial Attacks entwickelt

Der Fortschritt im Quantum Machine Learning (QML) bringt spannende Entwicklungen mit sich, wie z. B. höhere Effizienz oder das Potenzial, Probleme zu lösen, die für klassische Computer unlösbar sind. Doch wie sicher sind quantenbasierte KI-Systeme im Vergleich zu klassischen KI-Modellen gegen Adversarial Attacks? Eine vom Fraunhofer AISEC durchgeführte Studie geht dieser Frage nach, indem sie die Robustheit von Quanten- und klassischen Machine-Learning-Modellen in Angriffssituationen analysiert und vergleicht. Unsere Erkenntnisse über Schwachstellen und Robustheit von Machine-Learning-Modellen bilden die Grundlage für praktische Methoden zum Schutz vor solchen Angriffen, die in diesem Artikel vorgestellt werden.

Zum Artikel »
Maximilian Wendlinger 13. Dezember 2024
IoT-Sicherheit
Felix Oberhansl

Fraunhofer AISEC im Auftrag des BSI: Neue Studie zur Synthese von kryptografischen Hardware-Implementierungen

Die Studie des Fraunhofer AISEC zur Sicherheit kryptografischer Hardware-Implementierungen fokussiert Angriffe auf physische Hardware, wie Seitenkanalangriffe und Fehlerangriffe, sowie Maßnahmen zu deren Abwehr. Diese Schutzmechanismen können durch Optimierungen im Prozess des Chip-Designs potenziell Schaden nehmen. Die Untersuchung zeigt, dass Schutzmaßnahmen in komplexe Design-Abläufe integriert und bei der Hardware-Design-Synthese berücksichtigt werden sollten, um gegenüber Hardware-Angriffen resilient zu sein. Die Erkenntnisse nutzen Hardware-Designern bei der Entwicklung von robusten und sicheren Chips.

Zum Artikel »
Felix Oberhansl 7. November 2024
Cybersicherheit
Christian Banse

Sicherheitslücken in Software schneller entdecken und beheben mit CSAF

Das Common Security Advisory Framework (CSAF) ist ein maschinenlesbares Format für Sicherheitshinweise und spielt eine entscheidende Rolle bei der Umsetzung der Sicherheitsanforderungen aus dem Cyber Resilience Act (CRA): Sicherheitslücken lassen sich schneller entdecken und beheben, indem Sicherheitsinformationen automatisiert erstellt und ausgetauscht werden. Das Fraunhofer AISEC hat jetzt die Software-Bibliothek »kotlin-csaf« veröffentlicht, die den CSAF-Standard in der Programmiersprache Kotlin umsetzt.

Zum Artikel »
Christian Banse 16. Oktober 2024
Cybersicherheit
Immanuel Kunz

Privacy By Design in der Software-Entwicklung

Verstöße gegen Datenschutzbestimmungen und Eingriffe in die Privatsphäre sorgen immer wieder für Schlagzeilen. Oft sind reaktive Maßnahmen nicht weitreichend genug, um persönliche Daten in Unternehmen und öffentlichen Einrichtungen zu schützen. Datenschutzbewusste Organisationen nutzen daher einen etablierten Software-Entwicklungsprozess, der systematische Schutzmaßnahmen umfasst. Dazu gehören die Auswahl von Technologien zur Verbesserung des Datenschutzes, die Analyse potenzieller Bedrohungen sowie die kontinuierliche Neubewertung von Risiken während der Programmlaufzeit. In diesem Blogbeitrag geben wir einen Überblick, wie datenschutz- und privacyfreundliche Software entwickelt und betrieben werden kann. Dabei konzentrieren wir uns auf risikobasiertes Privacy Engineering als Basis für »Privacy by Design«.

Zum Artikel »
Immanuel Kunz 4. Juni 2024
Headerbild zum Blogartikel "Neue Studie zu Laser-basiertem Fehlerangriff auf XMSS" im Cybersecurityblog des Fraunhofer AISEC
Kryptografie
Silvan Streit

Fraunhofer AISEC im Auftrag des BSI: Neue Studie zu Laser-basiertem Fehlerangriff auf XMSS

Für die Sicherheit von eingebetteten Systemen muss die Integrität und Authentizität der Software geprüft werden – z. B anhand von Signaturen. Gezielte Hardware-Angriffe ermöglichen jedoch die Übernahme des Systems mit Schadsoftware. Welchen Risiken sind moderne kryptografische Implementierungen ausgesetzt? Welche Gegenmaßnahmen sind zu ergreifen?

Zur Beantwortung dieser Fragen führte das Fraunhofer AISEC im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Studie zu Laser-basierten Fehlerangriffen auf XMSS durch. Im Fokus steht ein hash-basiertes, quantensicheres Schema für die Erstellung und Überprüfung von Signaturen, das auf dem Winternitz One-Time-Signature-Verfahren (WOTS) basiert.

Zum Artikel »
Silvan Streit 6. März 2024
Quantencomputing
Kilian Tscharke

Anomalieerkennung mit Quantum Machine Learning zur Identifizierung von Cybersicherheitsproblemen in Datensätzen

Seit der Veröffentlichung von ChatGPT hat die Popularität des maschinellen Lernens (ML) immens zugenommen. Neben der Verarbeitung natürlicher Sprache (NLP) ist die Erkennung von Anomalien ein wichtiger Zweig der Datenanalyse, dessen Ziel es ist, auffällige und vom restlichen Datensatz abweichende Beobachtungen oder Ereignisse zu identifizieren. Am Fraunhofer AISEC forschen Cybersecurity-Experten an Methoden des Quantum Machine Learning (QML) zur Erkennung von Anomalien, um Cybersicherheitsprobleme in Datensätzen zu erkennen. Der Blogbeitrag zeigt zwei Ansätze: Die Klassifizierung von Quantenmaterie und die Berechnung von sicherheitsrelevanten Anomalien mithilfe eines Quantencomputers.

Zum Artikel »
Kilian Tscharke 30. Januar 2024
Industrial Security
Nico Haas

Der Weg zum automatisierten Cloud-Sicherheitsmonitoring

Die Überwachung der Sicherheit einer Cloud und eine entsprechende Zertifizierung erfordern erheblichen Aufwand und bestehen aus vielen, hauptsächlich manuellen und somit fehleranfälligen Prozessen. Unser Assurance-Tool »Clouditor« schafft Abhilfe, indem es die Vorbereitung auf ein Zertifizierungsaudit systematisiert und automatisiert. So lassen sich Cloud-Dienste kontinuierlich überwachen und ihre Compliance mit Cloud-Sicherheitskatalogen wie BSI C5[1], EUCS[2] oder CCM [3] überprüfen.

Zum Artikel »
Nico Haas 6. Dezember 2023
Industrial Security
Tobias Specht

gallia – ein erweiterbares Framework für Penetrationstests

gallia ist ein erweiterbares Framework für Penetrationstests mit Fokus auf den Automotive-Bereich, das von Fraunhofer AISEC unter der Apache 2.0 Lizenz entwickelt wurde. Der Anwendungsbereich der Toolchain umfasst die Durchführung von Penetrationstests von einem einzelnen Steuergerät bis hin zu ganzen Fahrzeugen. Derzeit liegt der Hauptfokus von Testings auf der UDS-Schnittstelle, ist aber nicht darauf beschränkt.
Der folgende Blogartikel gibt einen Gesamtüberblick über die Architektur von gallia. Er geht auf die Plugin-Schnittstelle sowie den beabsichtigten Automotive-Anwendungsfall ein. Der Beitrag behandelt zudem die Interaktion zwischen einzelnen Komponenten und zeigt, wie gallia für andere Anwendungsfälle erweitert werden kann.

Zum Artikel »
Tobias Specht 28. August 2023

Most Popular

Keinen Beitrag verpassen?

Bitte geben Sie Ihre E-Mail-Adresse ein, um keinen Blog-Beitrag zu verpassen.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.
Bitte füllen Sie das Pflichtfeld aus.

* Pflichtfeld

* Pflichtfeld

Mit dem Ausfüllen des Formulars akzeptieren Sie unsere Datenschutzerklärung.
Twitter Linkedin Youtube Xing Rss