Seitenkanalfreie Software für eingebettete Systeme

Mit zunehmender Digitalisierung werden immer mehr eingebettete Systeme Teil des „Internet of Things“ (IoT). Diese umfassende Vernetzung von Maschinen, Anlagen und Geräten bietet durch die Verfügbarkeit von verbundenen Daten erhebliche Vorteile, wie z. B. Komfort- oder Effizienzsteigerungen.

Jedoch wird der breite Einsatz von IoT-Systemen noch immer verhindert, vor allem, da sie gewisse Sicherheitslücken haben.

Eine wichtige Klasse solcher Sicherheitslücken sind die sogenannten Seitenkanalangriffe, darunter insbesondere die Rechenzeitangriffe (engl. „timing attacks“). Hierbei werden Rückschlüsse auf geschützte Informationen gezogen mithilfe der Analyse von Unterschieden in der Ausführungsdauer bestimmter Operationen.

Unterschiede in der Ausführungsdauer entstehen beispielsweise durch variierende Ladezyklen bei der Nutzung von sogenannten Caches – schnellen Zwischenspeichern, die die durchschnittlichen Zugriffszeiten auf den Hauptspeicher verkürzen.

Die Laufzeitunterschiede werden also datenabhängig sowohl von der Software als auch der Hardware hervorgerufen. Dadurch sind diese Sicherheitslücken sehr schwer zu erkennen und zu vermeiden.

Da Software im IoT eine immer entscheidendere Rolle spielt, wird es auch immer wichtiger, sie gegen Seitenkanalangriffe abzusichern. Dies stellt jedoch Entwickler vor große Herausforderungen und verlangt ihnen nicht nur detaillierte Kenntnisse über die Software ab, sondern auch über die Hardware und die eingesetzten Entwicklungswerkzeuge.

Das vom Bundesministerium für Bildung und Forschung geförderte FreeSBee-Projekt erforscht eine werkzeuggestützte Methodik, die Schwachstellen basierend auf Timing-Seitenkanälen (teil-)automatisiert erkennt und behebt.

• Die im Rahmen des Projekts erforschten Methoden erlauben eine durchgängige Härtung kritischer Codepfade gegen Rechenzeitangriffe unter Berücksichtigung von Hardwareeigenschaften.

• Insbesondere die Teilautomatisierung der Softwarehärtung ermöglicht, daß in der Entwicklung tätige Personen die neu erarbeitete Lösung einsetzen können, auch wenn sie keine Fachleute für IT-Sicherheit oder Hardware sind. Effektive Werkzeuge zur Eliminierung von Timing-Seitenkanälen werden für eine breite Gruppe von Nutzern verfügbar.

• Zusätzlich zum Sicherheitsgewinn ermöglichen die Werkzeuge auch Effizienzsteigerungen bei der Entwicklung von IoT-Software.

Insgesamt stärkt die Arbeit der Projektpartner die technologische Souveränität Deutschlands als IT-Standort.