Seitenkanalfreie Software für eingebettete Systeme

Mit zunehmender Digitalisierung werden immer mehr eingebettete Systeme Teil des „Internet of Things“ (IoT). Diese umfassende Vernetzung von Maschinen, Anlagen und Ger�ten bietet durch die Verf�gbarkeit von verbundenen Daten erhebliche Vorteile, wie z. B. Komfort- oder Effizienzsteigerungen.

Jedoch wird der breite Einsatz von IoT-Systemen noch immer verhindert, vor allem, da sie gewisse Sicherheitsl�cken haben.

Eine wichtige Klasse solcher Sicherheitsl�cken sind die sogenannten Seitenkanalangriffe, darunter insbesondere die Rechenzeitangriffe (engl. „timing attacks“). Hierbei werden R�ckschl�sse auf gesch�tzte Informationen gezogen mithilfe der Analyse von Unterschieden in der Ausf�hrungsdauer bestimmter Operationen.

Unterschiede in der Ausf�hrungsdauer entstehen beispielsweise durch variierende Ladezyklen bei der Nutzung von sogenannten Caches – schnellen Zwischenspeichern, die die durchschnittlichen Zugriffszeiten auf den Hauptspeicher verk�rzen.

Die Laufzeitunterschiede werden also datenabh�ngig sowohl von der Software als auch der Hardware hervorgerufen. Dadurch sind diese Sicherheitsl�cken sehr schwer zu erkennen und zu vermeiden.

Da Software im IoT eine immer entscheidendere Rolle spielt, wird es auch immer wichtiger, sie gegen Seitenkanalangriffe abzusichern. Dies stellt jedoch Entwickler vor gro�e Herausforderungen und verlangt ihnen nicht nur detaillierte Kenntnisse �ber die Software ab, sondern auch �ber die Hardware und die eingesetzten Entwicklungswerkzeuge.

Das vom Bundesministerium f�r Forschung, Technologie und Raumfahrt gef�rderte FreeSBee-Projekt erforscht eine werkzeuggest�tzte Methodik, die Schwachstellen basierend auf Timing-Seitenkan�len (teil-)automatisiert erkennt und behebt.

• Die im Rahmen des Projekts erforschten Methoden erlauben eine durchg�ngige H�rtung kritischer Codepfade gegen Rechenzeitangriffe unter Ber�cksichtigung von Hardwareeigenschaften.

• Insbesondere die Teilautomatisierung der Softwareh�rtung erm�glicht, da� in der Entwicklung t�tige Personen die neu erarbeitete L�sung einsetzen k�nnen, auch wenn sie keine Fachleute f�r IT-Sicherheit oder Hardware sind. Effektive Werkzeuge zur Eliminierung von Timing-Seitenkan�len werden f�r eine breite Gruppe von Nutzern verf�gbar.

• Zus�tzlich zum Sicherheitsgewinn erm�glichen die Werkzeuge auch Effizienzsteigerungen bei der Entwicklung von IoT-Software.

Insgesamt stärkt die Arbeit der Projektpartner die technologische Souver�nit�t Deutschlands als IT-Standort.