GEHEIME PFADE
Der im September 2023 vorgestellte Demonstrator „Der Tresor – Befreie den Schatz!“ ermöglicht es Grundschüler:innen bis hin zu Erwachsenen, die Prinzipien eines Seitenkanalangriffs in wenigen Minuten zu erlernen und auszuprobieren.
ART
Live Demo
THEMA
Seitenkanalangriffe
JAHR
2023
SOFTWARE
Figma, Adobe Photoshop, Adobe Illustration, Adobe InDesign, Affinity Designer, Autodesk Fusion360, PlatformIO, VS Code, Scrivener
HARDWARE
Holzgehäuse: Team SciEng Eigenbau, Kappsäge, Tellerschleifer, Lackierung
Elektronik: Arduino Leonardo, Sparkfun / Seeed Studio I²C Komponenten, 3D-Gedruckte Befestigungen (Thingiverse, Team SciEng Eigenkonstruktion)
Passive Komponenten
SKILLS
Visual Design, Kommunikation Design, Rapid Prototyping, CAD, Hardware Architektur, Software Engineering, Holzbearbeitung, 3D Druck, Storytelling
„Die NSA wusste nichts von der Schwachstelle, hat sie nicht ausgenutzt.“ Mit diesen Worten kommentiert Rob Joyce die Sicherheitslücken „Meltdown“ und „Spectre“ im Jahr 2018 gegenüber der Zeitung „Washington Post“. Die Worte des ehemaligen Cybersicherheitskoordinators der USA und der NSA gehen um die ganze Welt. Meltdown und Spectre sind Seitenkanalangriffe. Sie offenbaren eine Schwachstelle, die die „Frankfurter Allgmeine“ als die „Größte Sicherheitslücke aller Zeiten“ betitelt.
Als Seitenkanalangriffe bezeichnet man Cyberangriffe, bei denen Daten über einen Umweg, einen sogenannten Seitenkanal, gestohlen werden. Dazu werden Infos ausgenutzt, die der Prozessor unfreiwillig bei der Verarbeitung abgibt, wie etwa das Laufzeitverhalten oder der Energieverbrauch.
Vereinfacht gesagt: Angreifer gelangen über kreative Umwege an geheime Informationen.
©Felix Koltermann
Wolfgang Herget aus der CISPA-Abteilung „Scientific Engineering“ erklärt einem Kind den Seitekanalangriff auf den Tresor während der Veranstaltung „CISPA♥️IGB“ am 16.09.23 in St. Ingbert.
©Felix Koltermann
Während der Veranstaltung „CISPA♥️IGB“ versucht eine Besucherin den Zahlencode zu knacken, der den Tresor öffnet.
Der Safe wird mit Süßigkeiten gefüllt, und die Tür wird geschlossen. Sie öffnet sich nun nur noch, wenn der richtige, vierstellige Zahlencode über das Zahlentastenfeld eingegeben wird.
Kombinationen können beliebig ausprobiert werden. Kinder und Erwachsene sollen den Effekt beobachten, dass an so mancher Stelle auf der Anzeige die Ziffer verarbeitet wird, weil sie langsamer über das Display läuft. Sie sollen erkennen, dass diese Beobachtung ein Hinweis ist, dass die beobachtete Ziffer an dieser Stelle Teil der gesuchten Kombination ist.
Haben die Kinder und Erwachsenen den Effekt erkannt, der die Ziffer an der jeweiligen Position verrät, müssen sie sich eine Strategie überlegen, um möglichst effizient die übrigen Ziffern herauszufinden.
Sobald sie glauben, alle vier Ziffern ausspioniert zu haben, können sie die Kombination eingeben. Ist der Code korrekt, zeigt die Anzeige „OPEN“ an, die Tür kann geöffnet und die Süßigkeiten können entnommen werden.
Um die Tür wieder zu verschließen, so dass sie sich nur nach Eingabe des richtigen Zahlencodes öffnet, muss die Taste mit dem #-Zeichen gedrückt werden.
Damit die Teilnehmenden auch ein Erfolgserlebnis haben, wenn sie den Zahlencode nicht herausfinden, ist auf der Rückseite des Tresors versteckt eine Taste angebracht. Wird diese gedrückt, kann der Tresor mit jeder beliebigen Zahlenkombination geöffnet werden.
Wird die Taste auf der Rückseite beim Einstecken des Netzteils gedrückt gehalten, öffnet sich die Tür ohne Eingabe eines Zahlencodes.
Um den Spaß und den Lernerfolg auch Kindern und Erwachsenen über die Grenzen von St. Ingbert hinaus zu gewähren, wurde der Demonstrator digital nachgebaut und dazu eine interaktive Website entwickelt. Gehostet vom CISPA Cysec Lab, dem Schülerlabor für Cybersicherheit, kann nun dort der digitale Tresor mit der gleichen Strategie und dem gleichen Seitenkanalangriff geknackt werden.
Der Demonstrator vermittelt Menschen jeden Alters spielerisch die Grundlagen eines aktuellen Forschungsfeldes, das auch am CISPA bearbeitet wird. Er hilft auch, Ängste vor Technik und Mathematik zu überwinden, indem nach wenigen Minuten ein (süßes) Erfolgserlebnis garantiert wird.
Seitenkanalangriffe spielen bei der Sicherheit von informationsverarbeitenden Systemen eine große Rolle. Da diese Art Angriffe selten an die Öffentlichkeit gelangt, ist die Forschung auf diesem Gebiet so bedeutend. Wissenschaftler:innen beweisen nicht nur die Existenz von Seitenkanalangriffen und ihre Durchschlagkraft, sondern entwickeln auch präventive Maßnahmen.
Das CISPA hat sich in der Erforschung von Seitenkanalangriffen einen Namen gemacht. CISPA-Gründungsdirektor Michael Backes begann bereits 2008 mit der Erforschung solcher Angriffe.
In jüngerer Zeit wurde der Name von CISPA-Faculty Michael Schwarz weltweit mit spektakulären Seitenkanalangriffen in Verbindung gebracht. Im Jahr 2018 war es der Angriff „Meltdown“, 2020 der Angriff „Platypus“ und 2023 „Collide + Power“.
Mit „Collide + Power“ belegt er eine Lücke, indem er Strommesswerte verwendet, um Daten direkt vom Prozessor des Computers abzuleiten. Diese Form des Angriffs ist schwer zu verhindern, und die Hersteller können bisher nur Hinweise zur Verfügung stellen, um sich davor zu schützen.