Bundesamt für Sicherheit in der Informationstechnik

Valikrypt

Validation und Verifikation von kryptographischen Sicherheitsprotokollen unter Verwendung formaler Analysemethoden

Sichere kryptographische Protokolle sind ein wesentlicher Bestandteil von Diensten, die über offene Kommunikationsnetze operieren. Obwohl diese Protokolle meist einfach strukturiert erscheinen, ist es keineswegs trivial, ein sicheres Protokoll zu entwickeln. Dies gilt für die klassischen Authentifizierungs- und Schlüsselaustauschprotokolle und in noch viel größerem Maße für die weit komplexeren E-Commerce Protokolle. Zahlreiche Beispiele aus der Literatur belegen, dass man in der Regel durch bloßes "Hinsehen" nicht feststellen kann, ob ein Protokoll sicher ist.

Sicherheitslücken in Protokollen können auf vielfältige Weise entstehen, beispielsweise werden veraltete Nachrichten nicht als solche erkannt; Protokollteilnehmer werden als Orakel missbraucht und produzieren so unwissentlich Nachrichten, die für einen Angriff benutzt werden können; Nachrichten werden aus einem Protokolllauf in einem anderen Protokolllauf verwendet; oder für die Sicherheit notwendige Prüfungen werden nicht durchgeführt, wobei derartige Prüfungen in der jeweiligen Protokollspezifikation oftmals nicht oder nur lückenhaft genannt werden.

Die Verifikation und Validation kryptographischer Protokolle spielt deshalb eine entscheidende Rolle. Aus diesem Grund hat das Bundesamt für Sicherheit in der Informationstechnik ein Projekt zur Umsetzung bekannter Formalismen zur Analyse kryptographischer Protokolle durchgeführt. Im Rahmen des Projektes wurden die Verifikation (deduktive Verifikationstechniken), die Validation (werkzeugunterstützte Schwachstellenanalyse) und die kryptographische Analyse in eine einheitliche Gesamtmethodik eingebettet.

Laufzeit: 01. September 2001 bis 30. Juni 2003

Auftragnehmer: DFKI, Deduktions- und Multiagentensysteme
Unterauftragnehmer: Frauenhofer Institut SIT und Siemens CT IC 3

Ergebnis: Die Ergebnisse des Projekts wurden erstmalig auf der Informatik 2003, Teiltagung Sicherheit – Schutz und Zuverlässigkeit, im Rahmen eines Miniworkshops vorgestellt und den Teilnehmern zur Diskussion gestellt.
(Alle Vorträge in PDF)

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK