Seitenkanalfreie Software für eingebettete Systeme

Mit zunehmender Digitalisierung werden immer mehr eingebettete Systeme Teil des „Internet of Things“ (IoT). Diese umfassende Vernetzung von Maschinen, Anlagen und Geräten bietet durch die Verfügbarkeit von verbundenen Daten erhebliche Vorteile, wie z. B. Komfort- oder Effizienzsteigerungen.

Jedoch wird der breite Einsatz von IoT-Systemen dadurch verhindert, da sie gewisse Sicherheitslücken haben.

Eine wichtige Klasse solcher Sicherheitslücken sind die sogenannten Seitenkanalangriffe, darunter insbesondere die Rechenzeitangriffe (engl. „timing attacks“). Anhand von Unterschieden in der Ausführungsdauer bestimmter Operationen werden dabei Rückschlüsse auf geschützte Informationen gezogen.

Unterschiede in der Ausführungsdauer entstehen beispielsweise durch variierende Ladezyklen bei der Nutzung von sogenannten Caches – schnellen Zwischenspeichern, die die durchschnittlichen Zugriffszeiten auf den Hauptspeicher verkürzen.

Die Laufzeitunterschiede werden also datenabhängig sowohl von der Software als auch der Hardware hervorgerufen. Dadurch sind diese Sicherheitslücken sehr schwer zu erkennen und zu vermeiden.

Da Software im IoT eine immer entscheidendere Rolle spielt, wird es auch immer wichtiger, sie gegen Seitenkanalangriffe abzusichern. Dies stellt jedoch Entwickler vor große Herausforderungen. Es werden nicht nur detaillierte Kenntnisse über die Software selbst abverlangt, sondern auch über die Hardware und die eingesetzten Entwicklungswerkzeuge.

Das vom Bundesministerium für Forschung, Technologie und Raumfahrt geförderte FreeSBee-Projekt erarbeitete in den Jahren 2023 bis 2026 eine werkzeuggestützte Methodik zur (teil-)automatisierten Erkennung und Behebung von Schwachstellen, die auf Timing-Seitenkanälen basieren.

Insgesamt stärkte die Arbeit der Projektpartner die technologische Souveränität Deutschlands als IT-Standort.