post

35. Chaos Communication Congress: PHYSEC stellt Details zur Anwendung Ihrer Technologie vor

35. Chaos Communication Congress: PHYSEC stellt Details zur Anwendung Ihrer Technologie vor

Auf der 35. Jahreskonferenz des Chaos Computer Clubs (35C3), dem größten internationalen Hackertreffen Europas, stellten Christian Zenger, David Holin und Lars Steinschulte PHYSEC‘s Enclosure-PUF Technologie vor.

Der dies­jäh­ri­ge Cha­os Com­mu­ni­ca­ti­on Con­gress lock­te an drei Tagen über 16.000 Besu­cher in die Mes­se­hal­len in Leip­zig. Unter dem Mot­to „Refres­hing Memo­ries“ war er Ort für wich­ti­ge Debat­ten, Vor­trä­ge und Work­shops zu tech­ni­schen und gesell­schafts­po­li­ti­schen The­men.

Es war das ers­te Mal, dass wir Insights in die PHY­SEC-Tech­no­lo­gie gege­ben haben. Mit Enclo­sure-PUF prä­sen­tier­ten wir eine inno­va­ti­ve Tech­nik, die es ermög­licht, die Authen­ti­zi­tät, Inte­gri­tät und den phy­si­schen Zustand eines phy­si­ka­li­schen Gegen­stan­des zu über­prü­fen und ent­spre­chen­de State­ments über digi­ta­le Kanä­le zu bewei­sen.

In öffent­li­chen Umge­bun­gen ist eine Daten­ex­trak­ti­on aus oder -mani­pu­la­ti­on von Com­pu­ter­sys­te­men leicht durch­führ­bar, da hier­für ledig­lich ein phy­si­scher Zugang not­wen­dig ist. Ziel des Vor­trags war es daher, anhand eines (äußerst Preis­güns­ti­gen) selbst­ge­bau­ten Test­betts exem­pla­ri­sche Tam­per Resis­tence zu demons­trie­ren, um gehei­me Infor­ma­tio­nen ohne Angriffs­er­ken­nung oder Daten­lösch­kreis zu schüt­zen. Die Nut­zung elek­tro­ma­gne­ti­scher Wel­len (bzw. ihr Aus­brei­tungs­ver­hal­ten) ermög­licht eine Aus­wei­tung des Schut­zes von ein­zel­nen klei­nen Kom­po­nen­ten auf die gesam­te Peri­phe­rie eines Sys­tems. Dies wie­der­um führt zur Erken­nung von Mani­pu­la­tio­nen, sodass recht­zei­tig geeig­ne­te Gegen­maß­nah­men ergrif­fen wer­den kön­nen. Der Schutz ist dabei hin­sicht­lich Grö­ße und Anwen­dung fle­xi­bel nutz­bar.

Für die Ent­wick­lung des Enclo­sure-PUF wur­den wir 2018 mit dem Deut­schen IT-Sicher­heits­preis der Horst Görtz Stif­tung aus­ge­zeich­net.

David Holin, Lars Steinschulte und Christian Zenger (v.l.n.r.) von PHYSEC beim Vortrag auf der 35C3 in Leipzig

Vor­trag ver­passt? Hier geht es zur Auf­zeich­nung. Der auf Eng­lisch gehal­te­ne Vor­trag kann auf der Sei­te des CCCs auch in deut­scher Über­set­zung ange­schaut wer­den.

post

Neuartiges Verfahren zur Atomwaffenkontrolle

Neuartiges Verfahren zur Atomwaffenkontrolle

Mit der Technik könnte zukünftig überprüft werden, ob Staaten sich an Abrüstungsverträge halten.

Ein inter­na­tio­na­les IT-For­scher­team aus Bochum, Prince­ton und Har­vard hat eine Tech­nik ent­wi­ckelt, mit der sich Ver­än­de­run­gen in Atom­waf­fen­la­gern beob­ach­ten las­sen, ohne dass dabei gehei­me Infor­ma­tio­nen über die Waf­fen preis­ge­ge­ben wer­den. Sie könn­te zukünf­tig hel­fen zu kon­trol­lie­ren, ob sich Staa­ten an Abrüs­tungs­ver­trä­ge hal­ten. Die Raum­über­wa­chung erfolgt phy­si­ka­lisch mit­tels Radio­wel­len; ein aus­ge­klü­gel­tes kryp­to­gra­fi­sches Ver­fah­ren macht den Pro­zess fäl­schungs­si­cher.

Aus wis­sen­schaft­li­cher Sicht stellt die Atom­waf­fen­kon­trol­le dabei eine maxi­ma­le Her­aus­for­de­rung dar: Poten­zi­el­le Angrei­fer sind in die­sem Fall nicht klei­ne­re Grup­pen von Hackern oder ande­re Kri­mi­nel­le, son­dern gan­ze Staa­ten. Die­se ver­fü­gen über annä­hernd unbe­grenz­te finan­zi­el­le Res­sour­cen und unein­ge­schränk­ten Zugang zu moderns­ter Angriffs­tech­no­lo­gie.

In dem inter­dis­zi­pli­nä­ren Pro­jekt koope­rie­ren Mit­glie­der des Bochu­mer Horst-Görtz-Insti­tuts für IT-Sicher­heit (HGI) eng mit ame­ri­ka­ni­schen Kol­le­gen von der Prince­ton Uni­ver­si­ty und der Har­vard Uni­ver­si­ty. Das Bochu­mer Wis­sen­schafts­ma­ga­zin Rubin berich­tet.

Radiowellenkarte zeigt Veränderungen

Um Ver­än­de­run­gen in einem Atom­waf­fen­la­ger fest­stel­len zu kön­nen, nut­zen die For­scher elek­tro­ma­gne­ti­sche Wel­len im Radio­be­reich. Die­se wer­den von Wän­den und Gegen­stän­den reflek­tiert, sodass sich eine Art ein­zig­ar­ti­ge Radio­wel­len­kar­te des Raums erzeu­gen lässt. Jede Ver­än­de­rung – etwa wenn ein Atom­spreng­kopf aus dem Lager ent­fernt wür­de – wür­de das Refle­xi­ons­mus­ter ändern und könn­te so detek­tiert wer­den. Staat A könn­te also die Atom­waf­fen­la­ger von Staat B kon­trol­lie­ren, indem er in regel­mä­ßi­gen Abstän­den eine Radio­wel­len­kar­te des Raums anfor­dert.

Aller­dings müs­sen wir ver­hin­dern, dass Staat B eine Radio­wel­len­kar­te von einem voll bestück­ten Atom­waf­fen­la­ger erstellt, spei­chert und dann immer wie­der an Staat A schickt, obwohl längst Spreng­köp­fe aus dem Lager ent­fernt wur­den“, erklärt Dr. Dr. Ulrich Rühr­mair vom HGI. Dafür haben die For­scher eine soge­nann­te Chal­len­ge in das Sys­tem ein­ge­baut, also eine Varia­ti­on in der Anfra­ge für die Radio­wel­len­kar­te zwi­schen den bei­den Staa­ten.

Täuschung vorbeugen

In dem zu kon­trol­lie­ren­den Raum wer­den dazu meh­re­re dreh­ba­re Spie­gel instal­liert, die sich fern­ge­steu­ert aus­rich­ten las­sen. Die Spie­gel reflek­tie­ren die Radio­wel­len und ändern so das Refle­xi­ons­mus­ter des Raums, wobei jede Spie­gel­stel­lung ein indi­vi­du­el­les Mus­ter erzeugt. Vor jeder Abfra­ge der Radio­wel­len­kar­te wür­de Staat A die Spie­gel in eine bestimm­te Anord­nung dre­hen. Als Ant­wort müss­te Staat B die Radio­wel­len­kar­te des Raums mit exakt die­ser Spie­gel­an­ord­nung schi­cken, und das inner­halb weni­ger Sekun­den. Das geht nur, wenn Staat B den Raum jedes Mal live mit Radio­wel­len und der aktu­el­len Spie­gel­stel­lung ver­misst; zuvor auf­ge­zeich­ne­te Radio­wel­len­kar­ten wären nutz­los.

Damit Staat A die Ant­wort auf Rich­tig­keit prü­fen kann, muss er bei Inbe­trieb­nah­me der Tech­nik die Refle­xi­ons­mus­ter des Raums für eine bestimm­te Anzahl ver­schie­de­ner Spie­gel­stel­lun­gen gemes­sen und gespei­chert haben.

Spiegelanordnung darf nicht vorhersagbar sein

Das Sys­tem tes­ten die IT-Sicher­heits­for­scher der­zeit in einem Con­tai­ner an der Ruhr-Uni­ver­si­tät mit Atom­waf­fen­at­trap­pen und 20 Spie­geln. Mit die­sem Set­ting kön­nen sie Mil­li­ar­den Tril­li­ar­den ver­schie­de­ner Spie­gel­stel­lun­gen erzeu­gen. „Eine Her­aus­for­de­rung dabei ist, dass der über­wach­te Staat nicht im Lauf der Zeit ler­nen darf, die nächs­te Spie­gel­stel­lung vor­her­zu­sa­gen“, sagt HGI-For­scher Prof. Dr. Chris­tof Paar. Dann könn­te er die erfor­der­li­che Radio­wel­len­kar­te even­tu­ell selbst erzeu­gen, ohne den Raum neu ver­mes­sen zu haben.

Um das zu ver­hin­dern, nut­zen die Bochu­mer IT-Exper­ten ein nicht vor­her­sag­ba­res kryp­to­gra­fi­sches Pro­to­koll, um die Spie­gel ein­zu­stel­len. „Wich­tig ist unter ande­rem, dass der Zusam­men­hang zwi­schen der Chal­len­ge und der Ant­wort dar­auf nicht durch ein linea­res Glei­chungs­sys­tem ein­deu­tig beschrie­ben wer­den kann, weil man das Sys­tem ansons­ten leicht mathe­ma­tisch über­lis­ten kann“, sagt Dr. Chris­ti­an Zen­ger, Grün­der des Start-ups Phy­sec, das eng in das Pro­jekt invol­viert ist. Glei­ches gilt für die Phy­sik, also für die Spie­gel­ma­te­ria­li­en, deren Refle­xi­ons­ei­gen­schaf­ten nicht line­ar sein soll­ten.

(Foto © Rober­to Schir­de­wahn)