Unsere Online-Kommunikation zu schützen und Datensicherheit garantieren zu können, ist eine immerwährende Herausforderung für Cybersicherheitsforscher:innen auf der ganzen Welt. Die zunehmende Komplexität heutiger Netzwerke, immer neue Angriffsmethoden und nicht zuletzt die Entwicklung von Quantencomputern stellen derzeit die Sicherheit bestehender Verschlüsselungsverfahren in Frage. Wissenschaftler:innen von CISPA und Loria erforschen, wo Sicherheitslücken bestehen oder durch neue Technologien entstehen und wie diese behoben werden können. Am Dienstag trafen sie sich erneut, um ihre Expertise zu bündeln und durch den grenzüberschreitenden Austausch gemeinsam neue Wege zu finden.
Dieser 5. CISPA-Loria-Workshop-Tag wurde mit der CISPA Distinguished Lecture Series kombiniert. So begann der Tag mit einer Einführung von Dr. Cristian-Alexandru Staicu, dem Organisator der Distinguished Lecture, gefolgt von einem Gastvortrag von Prof. Dr. Sebastian Schinzel von der Fachhochschule Münster über die Sicherheit unserer Kommunikation in E-Mails mit dem Titel "Email (in)security: room for improvement or lost cause?". Der Forscher sprach unter anderem über die Sicherheit unserer Kommunikation in E-Mails. Der Forscher zeigte unter anderem eine neue Sicherheitslücke im Verschlüsselungsprotokoll TLS auf und sprach über neuartige Angriffe, mit denen die Verschlüsselung von den häufig eingesetzten TLS- und XML-Protokollen gebrochen werden können. Zudem stellte er eine kürzlich von ihm veröffentlichte Studie vor, die zeigt, dass selbst Expert:innen betrügerische Mails oft nicht als solche erkennen.
Nach diesem ersten Vortrag wurde der eigentliche CISPA-Loria-Workshop von den Organisatoren Prof. Dr. Antoine Joux vom CISPA und Prof. Dr. Marine Minier von Loria eröffnet. In nachfolgenden Vortrag „Efficient Verification of Quantum Computation“ sprach anschließend Dr. Giulio Malavolta vom Max-Planck-Institut für Sicherheit und Privatsphäre in Bochum darüber, wie Quantenberechnungen von einem schwachen klassischen Verifizierer, der nicht in der Lage ist, die Berechnungen selbst zu wiederholen, effizient verifiziert werden können. Der Forscher stellte eine neue Verifizierungsmethode vor, die auf fortschrittlichen kryptografischen Verfahren beruht.
Dieser zweite Vortrag beendete die Vormittagssitzung, und die Workshop-Teilnehmer hatten anschließend eine erste Gelegenheit zum weiteren Gedankenaustausch beim Mittagessen.
Das Nachmittagsprogramm eröffnete CISPA-Forscher Dr. Dominic Steinhöfel mit seinem Vortrag „Input Invariants“. Darin stellte er einen neuen Ansatz vor, mit dem das automatische Testen von Software verbessert werden kann. Um zu testen, dass Software fehlerlos und sicher läuft, kommen sogenannte Fuzzer zum Einsatz. Fuzzer beschicken Computerprogramme immer wieder mit Zufallseingaben und können so Sicherheitslücken und Fehler offenbaren. Um das Fuzzing zu beschleunigen, lohnt es sich, Eingaben zu verwenden, die (meist) einer bestimmten Form entsprechen, die nahe an dem liegt, was das Programm normalerweise erwarten würde. Die von Steinhöfel mitentwickelte Eingabespezifikationssprache ISLa soll in Zukunft die automatisierte Generierung von (weitgehend) gültigen Eingaben für diese Testvorgänge stark vereinfachen.
Loria-Forscher Dr. Xavier Bonnetain sprach anschließend in seinem Vortrag "Quantum Period Finding against Symmetric Primitives" über die Fähigkeiten von Quantencomputern und das Risiko, das sie in Zukunft für die symmetrische Verschlüsselung darstellen. Er zeigte, dass Quantencomputer nicht nur für die bekannten Angriffe auf diskrete Logarithmen und Faktorisierung, sondern überraschenderweise auch für Angriffe auf einige symmetrische Verschlüsselungsverfahren eingesetzt werden können, die effizienter sind als erwartet. So müssen wir nicht nur die Schlüsselgröße verdoppeln, um dem Grover-Angriff Rechnung zu tragen, sondern möglicherweise auch die Periodenfindungstechniken für einige Familien symmetrischer Verfahren berücksichtigen.
Prof. Dr. Rémi Badonnel von Loria beschäftigt sich in seiner Arbeit mit der Sicherheit komplexer Netzwerke. In seinem Vortrag „Automating Security Management for the Cyber-Space“ sprach er über neuartige Überwachungs- und Konfigurationslösungen für komplexe vernetzte Systeme. Die Schwerpunkte seiner Forschungsarbeit liegen auf intelligenten Überwachungsmethoden, die auch mit ressourcenarmen Netzen zurechtkommen sowie auf der Behebung von Schwachstellen, die bei Änderungen der Systemkonfigurationen auftreten können. Außerdem untersucht er, wie die automatische Konfiguration etwa von Cloud-Infrastrukturen Angriffsflächen reduzieren kann.
Den Abschluss des Workshops bildete der Vortrag „Differential analysis of a cipher using Constraint Programming“ von Mit-Organisatorin Prof. Dr. Marine Minier von Loria. Sie zeigte auf, welche Probleme es bei der Modellierung sogenannter differentieller Attacken auf Chiffren gibt. Mit differentiellen Attacken versuchen Angreifer:innen Blockchiffren und kryptologische Hashfunktionen zu brechen, indem sie untersuchen, welchen Effekt bestimmte Differenzen von Klartextpaaren auf die Differenzen der resultierenden Geheimtextpaare haben. Die Modellierung solcher Attacken hilft den Forscher:innen entsprechende Sicherheitsmaßnahmen gegen die Angriffe zu entwickeln.
Die Organisator:innen des Workshops zeigten sich zufrieden.
Prof. Dr. Antoine Joux: „Zum ersten Mal seit seiner Gründung hat der CISPA-Loria-Workshop einen gemeinsamen Vortrag mit der CISPA Distinguished Lecture Series gehalten. Dies war eine sehr schöne Möglichkeit für beide Veranstaltungen, sich gegenseitig zu bereichern, und wir werden sicherlich versuchen, diese Erfahrung in Zukunft zu wiederholen. So konnten wir das ohnehin schon reichhaltige Programm weiter diversifizieren, das schließlich drei Vorträge über Quantenberechnungen und Kryptographie sowie drei Vorträge über Sicherheit umfasste."
Marine Minier ergänzt: „Die Teilnehmer aus dem LORIA sind sehr froh, dass sie den Tag im CISPA verbringen können, denn es ist der fünfte gemeinsame Workshop von CISPA und LORIA. Alle waren an den heutigen Vorträgen über die Sicherheit von TLS, über Quanten- und Post-Quanten-Computing und Kryptographie sowie über die Sicherheit von vernetzten Objekten interessiert", sagt Marine Minier.
Über das Deutsch-Französische Zentrum für Cybersicherheit
Das Zentrum ist ein Zusammenschluss der größten und renommiertesten Forschungszentren für Cybersicherheit in Europa. Das CISPA Helmholtz Center for Information Security und das INRIA/Loria in Nancy gehen seit dem Jahr 2020 gemeinsame Wege in der Cybersicherheitsforschung und widmen sich der Stärkung der Transfer- und Innovationsaktivitäten zwischen Frankreich und Deutschland. Federführend sind auf deutscher Seite Prof. Dr. Dr. h. c. Michael Backes und Prof. Dr. Antoine Joux und auf französischer Seite Prof. Dr. Jean-Yves Marion und Prof. Dr. Marine Minier.
Über Loria
Loria ist die französische Abkürzung für Lorraine Research Laboratory in Computer Science and its Applications (Lothringisches Forschungslabor für Informatik und ihre Anwendungen) und ist eine gemeinsame Forschungseinheit des CNRS, der Universität Lothringen und des INRIA. Diese Einheit wurde 1997 offiziell gegründet. Die Aufgaben von Loria bestehen hauptsächlich in der Grundlagenforschung und der angewandten Forschung in den Computerwissenschaften. Das Labor ist Mitglied der Fédération Charles Hermite, in der die vier wichtigsten Forschungslabors in den Bereichen Mathematik, Informations- und Kommunikationswissenschaften sowie Steuerung und Automatisierung zusammengeschlossen sind. Die wissenschaftliche Arbeit wird von den 400 Mitarbeiter:innen des Labors in 28 Teams geleistet, von denen 15 gemeinsam mit dem INRIA arbeiten. Loria ist heute eines der größten lothringischen Forschungslabors.
