
BMBF Verbundvorhaben
EXSET – Excellence in Security Evaluation Testing
Um flächendeckend eine fundamentale Qualitätssteigerung der physikalischen Sicherheit deutscher Produkte zu erzielen, greift das EXSET Vorhaben an einer neuralgischen Stelle des Lebenszyklusses eines Sicherheitsproduktes ein: Der Sicherheitsevaluierung.
Sicherheitsevaluierungen sind heute ein wichtiger Bestandteil der Produktentwicklung moderner Sicherheitstechnik. Die Evaluierungen ermöglichen es Herstellern die Sicherheit ihrer Produkte unabhängig überprüfen und zertifizieren zu lassen. In ein Zertifizierungsverfahren sind ein Hersteller, eine Zertifizierungsinstanz (in Deutschland: das Bundesamt für Sicherheit in der Informationstechnik) und ein Prüflabor involviert. Das Prüflabor ist in diesem Schema für die Sicherheitsevaluierung des Produkts und insbesondere für die Auswahl und Durchführung von praktischen Penetrationstests verantwortlich.

Anwendungen mit hohem Sicherheitsbedarf – beispielsweise die Gesundheitskarte, die digitale Signaturchipkarte oder der elektronische Personalausweis – werden heute üblicherweise im Rahmen solcher Sicherheitsevaluierungen zertifiziert. In Zukunft werden auch zunehmend Produkte aus den verschiedensten Branchen (z.B. für Funktionsfreischaltungen im Automotive Bereich oder Plagiatschutz in der Konsumerelektronik) Sicherheitsevaluierungen benötigen. Bei eingebetteten Systemen gehört hierzu auch eine praktische Evaluierung der physikalischen Sicherheit durch gezielte Penetrationstests im Rahmen einer Schwachstellenanalyse. Hierbei müssen immer auch die aktuell aus der Forschung bekannt gewordene fortgeschrittene Angriffsmethoden verwendet werden. Somit ist es zwingend erforderlich, die Qualitätsstandards für Penetrationstests an Sicherheitsprodukten regelmäßig dem aktuellen Stand der Forschung bzw. der aktuellen Bedrohungslage anzupassen. Andernfalls könnte dies dazu führen, dass Produkte trotz zertifizierter Seitenkanalresistenz ihre Schutzfunktion nicht mehr gegen versierte Angreifer erfüllen können.
In EXSET werden im Dialog zwischen Hochschulgruppen mit Schwerpunkt physikalischer Sicherheit und den beiden führenden deutschen Prüflaboren für Seitenkanalevaluierungen aktuelle Penetrationsmethoden aus der Forschung für den praktischen Einsatz in Evaluierungsprozessen in den Prüflaboren weiterentwickelt. Hierbei werden zunächst aktive Angriffe weiterentwickelt, mit welchen die Anfälligkeit von sicherheitsrelevanten Bauelementen gegenüber physikalischen Störungen durch Licht, Spannungen und elektromagnetischen Entladungen untersucht werden kann. Parallel werden rein passive Analysemethoden mit Hilfe der massiv-parallelen Rechenarchitektur moderner Grafikprozessoren hochperformant implementiert. Diese passiven Methoden erlauben eine Bewertung der Angreifbarkeit eines Bauelements durch Analyse seines physikalischen Verhaltens (z.B. Stromverbrauch oder elektromagnetische Abstrahlung). Die entwickelten Angriffe werden in echten Evaluierungsszenarien getestet und bewertet und anschließend zu prototypischen Prüfständen bestehend aus den effizientesten Methoden nach dem aktuellen Stand der Technik zusammengefügt.
Konsortium
Hochschule Bonn-Rhein-Sieg, Fachbereich Informatik (Prof. Lemke-Rust)
TÜV Informationstechnik GmbH, Essen
Kontakt:
Projekt EXSET
E-Mail: emsec+EXSET@rub.de
Projektleitung
Prof. Dr.-Ing. Christof Paar
Ruhr-Universität Bochum
Lehrstuhl für Embedded Security
Universitätsstr. 150, ID 2 / 609
44801 Bochum
Telefon +49 (234) 32-22994
Christof.Paar@rub.de
www.informatik.rub.de/emsec/
Markus Kasper
Ruhr-Universität Bochum
Lehrstuhl für Embedded Security
Universitätsstr. 150, ID 2 / 645
44801 Bochum
Telefon +49 (234) 32-26795
Markus.Kasper@rub.de
www.crypto.rub.de