CogniCrypt unterstützt Entwickler bei der sicheren Benutzung von Kryptographie-Bibliotheken.

Optimierte Open-Source-Software verbessert Entwicklungsprozess

Forschungsprojekt

Motivation und Problemstellung

Kryptographie ist die Kernkomponente vieler Sicherheitsfunktionen in einer Software. Jedoch passieren leicht Fehler bei der Nutzung von Software-Bibliotheken, die kryptographische Funktionen bereitstellen. Eine fehlerhafte Nutzung der Bibliotheken kann sogar die Sicherheit der entwickelten Software gefährden. Zusammen mit dem Softwarehersteller achelos arbeitet das Fraunhofer IEM an einer Lösung zur korrekten Benutzung von Kryptographie-Bibliotheken. Das Werkzeug CogniCrypt soll an verschiedenen Stellen im Softwareentwicklungsprozess integriert werden und so die Sicherheit der Software verbessern, indem die richtige Anwendung von Kryptografie-Bibliotheken sichergestellt wird.

Projektziele und Lösungsansatz

CogniCrypt ist ein Open-Source-Werkzeug zur statischen Codeanalyse. Es gibt Softwareentwicklern Informationen über die Qualität ihres Programmcodes bezüglich der Nutzung von Kryptographie-Bibliotheken. Das Fraunhofer IEM hat CogniCrypt an zwei Stellen in den Softwareentwicklungsprozess bei achelos integriert: Zum einen in die Entwicklungsumgebung, damit die Entwickler frühestmöglich eine Rückmeldung zu einer fehlerhaften Benutzung der Kryptographie-Bibliothek erhalten. Zum anderen in die Continuous Integration, wodurch Entwickler auf eine Übersicht der Fehlerbehebung im zeitlichen Verlauf zugreifen können. Diese Integration wurde von achelos umfassend getestet und hat zur kontinuierlichen Weiterentwicklung von Cogni-Crypt beigetragen. Die Software wurde weiterhin entsprechend der technischen Richtlinie 02102-1 des BSI-Standard um einen Regelsatz erweitert, der Fehlbenutzungen der meistverwendeten Funktionen der Bouncy Castle-Bibliothek – einer Sammlung quelloffener kryptographischer Programmierschnittstellen – erkennt und Sicherheitslücken frühzeitig vermeidet.
Die Projektpartner haben CogniCrypt gemeinsam weiterentwickelt und die Softwareentwicklung sicherer und hochwertiger gemacht. Die aktuelle Version von CogniCrypt ist bei achelos erfolgreich im Einsatz: Die Experten des Softwareentwicklungsunternehmens werden durch das Werkzeug bei Code Reviews zusätzlich unterstützt und profitieren von den Nachweisen korrekt genutzter Anwendungsschnittstellen.

Projektsteckbrief

Projekttitel

Integration von CogniCrypt in den Entwicklungsprozess

Laufzeit

01/2019 – 05/2019

Projektvolumen

45.000 EUR

Förderung

It’s OWL Transferprojekt

Projektleiter Johannes Späth
Ziele
  • Integration von CogniCrypt in Entwicklungsumgebung und Continuous Integration
  • Verbesserung und Anpassung des CogniCrypt Entwicklungsumgebungs-Plugin
  • Erstellen eines Regelsatzes für die BouncyCastle API

Das Projekt wurde im Rahmen der it’s OWL Transfergutscheine gefördert.