BSI-Team räumt bei CHES-Challenge alle Preise ab (archiviert)
Ort Bonn
Datum 09.10.2020
Vom 14. bis 18. September 2020 veranstaltete die International Association for Cryptologic Research (IACR) die Conference on Cryptographic Hardware and Embedded Systems (CHES). Die CHES ist die weltweit größte und renommierteste hardwarenahe Kryptographietagung. Sie fand in diesem Jahr aufgrund der Covid-19-Pandemie rein virtuell statt. Ursprünglich war Peking als Austragungsort vorgesehen. Im Vorfeld der CHES findet in jedem Jahr ein internationaler, prestigeträchtiger wissenschaftlicher Wettbewerb statt: Die CHES-Challenge. Das BSI hat mit einem Team aus acht Mitarbeiterinnen und Mitarbeitern auch 2020 wieder am Seitenkanalwettbewerb teilgenommen und dabei alle Preise gewonnen, die schlussendlich vergeben wurden.
„Wir sind sehr stolz auf diesen Erfolg, denn er zeigt, dass wir als BSI einer der Thought Leader für Cyber-Sicherheit in der Digitalisierung sind – in Deutschland und international. Weil sich Algorithmen in Hard- und Software ständig und schnell verändern, braucht Deutschland kompetente Vordenkerinnen und Vordenker, die mit einem großen nationalen und internationalen Netzwerk die Informationssicherheit in der Digitalisierung gestalten, etablieren und vorantreiben. Durch diese Vernetzung sind wir in der Lage, Know-how zu bündeln und unsere Position als Kompetenzstelle der Cyber-Sicherheit auszubauen. Im Rahmen solcher Wettbewerbe und Veranstaltungen teilen wir wichtige Erkenntnisse und die daraus gewonnenen Informationen mit den fachlichen Communities und etablierten Persönlichkeiten in der Branche. Außerdem bereichern wir uns durch den kontinuierlichen Dialog gegenseitig“
, sagte BSI-Präsident Arne Schönbohm zu diesem Erfolg.
Aufgabe des BSI-Teams im Rahmen der CHES-Challenge 2020 war es, mehrere besonders geschützte Implementierungen eines neuen kryptographischen Algorithmus auf Seitenkanalresistenz zu prüfen. Die Teilnahme am Wettbewerb hat dadurch für eine Reihe neuer Erkenntnisse auf dem Gebiet der Seitenkanalanalyse gesorgt, die zukünftig auch in Evaluierungsverfahren einfließen werden. So spielt das Thema „Seitenkanalresistenz“ beispielsweise auch bei der Zertifizierung von IT-Produkten nach Common Criteria (CC) eine große Rolle.
Dabei war die diesjährige Seitenkanal-Challenge anspruchsvoller als die vorherige aus dem Jahr 2018: Statt des etablierten Algorithmus Advanced Encryption Standard (AES) wurde eine bislang relativ unbekannte Chiffre namens Clyde betrachtet. Clyde ist Teil des Spook-Algorithmus, welcher einen der Kandidaten der zweiten Runde des Lightweight-Cryptography-Wettbewerbs des National Institut of Standards und Technology (NIST) darstellt. Lightweight-Algorithmen sind speziell für den Einsatz in Umgebungen mit beschränkten Ressourcen designt und kommen beispielsweise im Umfeld von Internet of Things (IoT) oder Smartphones zum Einsatz.
In Zusammenhang mit Sicherheitsimplementierungen spielen Seitenkanäle eine besondere Rolle: Moderne, technische Messapparaturen erlauben es, hochpräzise Zeit- und Strommessungen oder Messungen elektromagnetischer Abstrahlung durchzuführen, während ein Gerät Verschlüsselungsoperationen ausführt. Derartige Messungen können ausgenutzt werden, um im Rahmen einer Seitenkanalanalyse Rückschlüsse auf sensitive Informationen zu ziehen – wie auf Teile des geheimen Schlüssels (siehe Foto). Sie sind umso leichter möglich, je weniger gut geschützt das Gerät ist. Die Sicherheit von Verschlüsselungsverfahren hängt damit nicht nur von der kryptographischen Sicherheit der verwendeten Algorithmen und Protokolle ab, sondern auch von ihrer praktischen Implementierung, welche möglichst wenig Seitenkanalinformationen preisgeben sollte. Die Implementierung von (Lightweight-)Algorithmen ist daher häufig – wie auch im Wettbewerb – besonders gegen Seitenkanalangriffe geschützt. Um diese dennoch zu brechen, kamen Angriffsverfahren zum Einsatz, die speziell an die vorliegende Implementierung angepasst werden mussten und auf Methoden der Künstlichen Intelligenz beruhen.
Und der Wettbewerb, der aus einem Soft- und einem Hardwareteil bestand, geht noch weiter: Da bislang keines der teilnehmenden Teams die Hardware-Challenges gelöst hat, haben die Organisatoren der CHES-Challenge die Frist noch bis Dezember verlängert.
Weitere Informationen zur CHES und zur CHES-Challenge sind abrufbar über die untenstehenden Links.
Pressekontakt:
Bundesamt für Sicherheit in der Informationstechnik
Pressestelle
Tel.: 0228-999582-5777
E-Mail: presse@bsi.bund.de
Internet: www.bsi.bund.de
- Kurz-URL:
- https://www.bsi.bund.de/dok/14871054