CogniCrypt ist ein Werkzeug, das Sicherheitslücken frühzeitig in der Softwareentwicklung aufdecken kann, es nutzt dazu hochpräzise und effiziente statische Code-Analyse. Entstanden ist CogniCrypt aus einem langjährigen Forschungsprojekt und es wird aktiv vom Fraunhofer IEM weiterentwickelt. CogniCrypt warnt vor Fehlbenutzungen von Kryptobibliotheken und sichert damit die Softwarequalität. Im it’s OWL-Transferprojekt haben das Fraunhofer IEM und achelos fünf Monate gemeinsamen an der Weiterentwicklung von CogniCrypt gearbeitet. Die Ergebnisse sind in Form eines Wissenstransfers und weiterer Regeln für zusätzliche Kryptobibliotheken in das Open Source Projekt eingeflossen.
CogniCrypt | CogniCrypt macht die Softwareentwicklung sicherer und qualitativ hochwertiger. Das Werkzeug erbringt den Nachweis korrekt genutzter Anwendungsschnittstellen (API`s). CogniCrypt unterstützt zusätzlich bei Code Reviews, das Werkzeug erbringt den Nachweis korrekt genutzter Anwendungsschnittstellen (API`s).
|
Projektlaufzeit | 01.01.2019 bis 31.05.2019
|
Projektpartner | Fraunhofer IEM, achelos GmbH (beide Paderborn)
|
Projektbeitrag von achelos | Kontinuierlicher Wissenstransfer im Projekt Die Security-Expertinnen und -Experten von achelos haben das Produkt in den Continuous-Integration-Prozess ihrer Softwareentwicklung integriert und das Werkzeug getestet. achelos konnte ihr tiefes kryptografisches Wissen im Rahmen des Transferprojekts einbringen und so gemeinsam mit dem Fraunhofer IEM zur kontinuierlichen Weiterentwicklung des Produkts beitragen. CogniCrypt ist um neue Regeln erweitert worden, die Fehlimplementierungen anderer Bibliotheken (Bouncy Castle) erkennen und Sicherheitslücken frühzeitig vermeiden. Die Regeln wurden hierbei konform der Technischen Richtlinie 02102-1 des BSI geschrieben. |
Förderung |
it’s OWL Transfergutschein |
Projektwebsite |
|
Das Eclipse-Plug-in CogniCrypt spürt Fehlbenutzungen von Kryptografie direkt in der Entwicklungsumgebung auf. (Foto: Copyright: Fraunhofer IEM)
Die Ausgangslage des CogniCrypt-Transferprojekts
Viele Sicherheitslücken in Softwarelösungen sind Fehlimplementierungen von Kryptographie, die häufig mit der großen Anzahl an Verschlüsselungsalgorithmen und deren Konfiguration (Schlüssellänge, Blockmodi oder Padding) zusammenhängen. In der Softwareentwicklung mangelt es oft an Kenntnissen, wann welcher Algorithmus zu wählen ist. Dies führt unweigerlich zu Sicherheitslücken.
Statische Code-Analyse im Fokus
Die statische Code-Analysefunktion von CogniCrypt überprüft während der Entwicklung kontinuierlich den Code auf korrekte Implementierungen. Beim Speichern des Codes im Editor wird im Hintergrund eine statische Analyse ausgelöst und warnt bei falscher Verwendung einer kryptografischen Programmierschnittschelle (API).
Ziel des Projektes war es, das Werkzeug CogniCrypt an mehreren Stellen in den Softwareentwicklungsprozess der achelos zu integrieren. Um Fehlimplementierungen zu vermeiden, hat das Fraunhofer IEM Regeln für die korrekte Benutzung von Softwarebibliotheken spezifiziert. Im Verlauf des Projektes ist CogniCrypt um neue Regeln erweitert worden, um Fehler in der Implementierung anderer Bibliotheken (Bouncy Castle) ebenfalls zu erkennen und Sicherheitslücken frühzeitig zu vermieden. Das Team von achelos besitzt komplexes Wissen in Kryptografie und deren Anwendung und hat sich durch kontinuierliches Feedback in die Weiterentwicklung von CogniCrypt eingebracht.
Im Rahmen des Sonderforschungsbereichs CROSSING der Technischen Universität Darmstadt und in Zusammenarbeit mit dem Heinz Nixdorf Institut der Universität Paderborn wurde das Werkzeug CogniCrypt entwickelt. Es erlaubt Unternehmen im Bereich Sicherheit und Kryptografie, sicherheitskritische Fehlbenutzungen kryptografischer Bibliotheken schnell und zuverlässig zu identifizieren und zu beheben, sowie vollautomatisch sicheren Krypto-Integrationscode für verschiedene gängige Nutzungsszenarien zu generieren. Mit Unterstützung des Fraunhofer IEM wurde CogniCrypt bis zur Marktreife weiterentwickelt und lässt sich in die Entwicklungsumgebung Eclipse einbinden.
Fraunhofer IEM
Fraunhofer IEM aus Paderborn bietet intelligente Mechatronic
Das Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM bietet am Standort Paderborn Expertise für intelligente Mechatronik im Kontext Industrie 4.0. Wissenschaftlerinnen und Wissenschaftler aus den Bereichen Maschinenbau, Softwaretechnik und Elektrotechnik arbeiten fachübergreifend zusammen und erforschen innovative Methoden und Werkzeuge für die Entwicklung von intelligenten Produkten, Produktionssystemen und Dienstleistungen.
it’s OWL
It`s OWL Technologienetzwerk für intelligente technische Systeme in OWL
Im Technologie-Netzwerk it‘s OWL – Intelligente Technische Systeme OstWestfalenLippe entwickeln über 200 Unternehmen, Forschungseinrichtungen und Organisationen Lösungen für intelligente Produkte und Produktionsverfahren. Mit Unterstützung des Landes Nordrhein-Westfalen wurden dazu in der Zeit von 2018 bis 2022 Projekte im Umfang von 100 Millionen Euro umgesetzt. Themenschwerpunkte sind künstliche Intelligenz, digitale Plattformen, digitaler Zwilling und Arbeit 4.0. Ausgezeichnet im Spitzencluster-Wettbewerb der Bundesregierung, gilt it‘s OWL als eine der größten Initiativen für Industrie 4.0 im Mittelstand.
Pressemitteilung Projektabschluss
Interview mit Thomas Freitag:
Mehr als Forschung für Erfolgsgeschichten Fraunhofer IEM
Sie haben Fragen? Ihr Ansprechpartner in diesem Bereich ist: