Transferprojekte

Kryptographie-Bibliotheken richtig nutzen

Die Integration von 'CogniCrypt'

Kryptographie, die Verschlüsselung von Information, ist die Kernkomponente von vielen Sicherheitsfunktionen in Software. Leider sind Software-Bibliotheken, die kryptographische Funktionen bereitstellen, meist schwierig nutzbar. Dadurch besteht die Gefahr, dass die Sicherheit der entwickelten Software durch fehlerhafte Benutzung der Bibliotheken leidet. Durch die Integration des Werkzeugs 'CogniCrypt' an verschiedenen Stellen im Softwareentwicklungsprozess soll die korrekte Benutzung von Kryptographie-Bibliotheken sichergestellt und damit die Sicherheit der Software ebenfalls gesichert werden.

Sicherheit ist das zentrale Merkmal aller Softwareprodukte der achelos GmbH. Durch die Integration von CogniCrypt in den Entwicklungsprozess bei achelos stellt dieses zentrale Merkmal sicher und ermöglicht achelos somit den Vorsprung bei der Entwicklung sicherer Software weiter zu stärken und auszubauen. Um dies zu erreichen wurden im Projekt zunächst passende Integrationspunkte für CogniCrypt im Entwicklungsprozess identifiziert.

Als Integrationspunkte im Entwicklungsprozess wurden die Entwicklungsumgebung (IDE) sowie die Continuous Integration Pipeline (Jenkins) identifiziert, da dort zum einen eine schnelle und direkte Rückmeldung zu Fehlbenutzungen kryptographischer Bibliotheken an die Entwickler erfolgt als auch Projektverantwortlichen erlaubt die Qualität einer Softwareentwicklung über den gesamten Projektverlauf zu betrachten. Die Integration wurde an diesen zwei Stellen vorgenommen und von Entwicklern bei achelos evaluiert. Verbesserungsvorschläge wurden durch das Fraunhofer IEM umgesetzt. Zuletzt wurde ein Regelsatz für die BouncyCastle-Bibliothek entwickelt und integiert.