FreeSBee
Generierung seitenkanalfreier Software für eingebettete Systeme
Start: 02.2023
Ende: 04.2026
Mit zunehmender Digitalisierung werden immer mehr eingebettete Systeme Teil des Internets der Dinge. Diese umfassende Vernetzung bietet erhebliche wirtschaftliche Vorteile. Die breite Integration wird jedoch nach wie vor häufig durch Sicherheitslücken gefährdet. Eine wichtige Klasse hierbei sind Seitenkanalangriffe, insbesondere Rechenzeitangriffe.
FreeSBee erforscht eine werkzeuggestützte Methodik zur (teil-)automatisierten Erkennung und Behebung von Sicherheitsschwachstellen auf Basis von Rechenzeitangriffen. Bei Rechenzeitangriffen können durch die Beobachtung unterschiedlicher Laufzeiten von Software Rückschlüsse auf vertrauliche Informationen – wie zum Beispiel geheime Schlüssel – gezogen werden.
Das FZI entwickelt basierend auf den Werkzeugen Astrée und CompCert ein Ansatz, der basierend auf der Annotation von vertraulichen Informationen im Quellcode alle davon abhängigen, potentiellen Codestellen, die kontrollflussbasierte Laufzeitvariationen hervorrufen können, automatisiert detektiert.
Die anschließende Kompilierung wurde erweitert, um diese potentiellen kontrollflussbasierten Laufzeitvariationen durch Codetransformationen automatisiert zu beseitigen. Die Korrektheit der durchgeführten Code-Transformationen wurde statisch bewiesen. Dies ermöglicht es dem Benutzer, seine Software durch wenige Annotationen gegen kontrollflussbasierte Rechenzeitangriffen zu schützen.
Des Weiteren werden Ansätze zur Eliminierung von mikroarchitekturbedingten Laufzeitschwankungen untersucht. Hierbei stehen insbesondere Hardwarearchitekturen für den RISC-V-Befehlssatz im Fokus.
Safety, Security and Law
Um die sichere Digitalisierung zu ermöglichen, erforscht und vermittelt das FZI in diesem Forschungsschwerpunkt anwendungsnah innovative Konzepte, Methoden zur Absicherung von IT-Systemen sowie rechtliche Rahmenbedingungen.
