IT-Security millionenfach skaliert
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Sicher und konform – Ihre Produkte bereit für den Go to Market.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet. Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum. Stet clita kasd gubergren, no sea takimata sanctus est Lorem ipsum dolor sit amet.
Wir kombinieren Wissen aus der Halbleitertechnologie, Informatik, Physik und Statistik, um mit unseren hoch spezialisierten Prüfaufbauten den echten Angreifern immer einen Schritt voraus zu sein. Wer bei uns besteht, ist sicher gegen jegliche Art von Hardwareangriffen!
25 Hochleistungsrechner
15 Seitenkanalmessaufbauten
20 Fehlerinjektionssysteme inkl. 12 Infrarotlasern
Seitenkanäle sind keine Entdeckung des Informationszeitalters. Sie existieren seit Anbeginn der Menschheit.
Was genau sind Seitenkanäle?
Seitenkanäle sind ein Phänomen der Kommunikation, und das nicht nur im technischen Kontext. Man unterscheidet sie vom direkten Kommunikationskanal, den ein Sender und Empfänger miteinander führen, um Informationen auszutauschen.
Zur Veranschaulichung stelle man sich vor, dass zwei Personen einen Termin verabreden. Die eine Person schlägt eine Uhrzeit vor und fragt, ob diese der anderen Person passe. Obwohl letztere bejaht, bemerkt erstere, dass das nicht stimmen kann. Die Körpersprache der anderen Person verriet, dass die Uhrzeit eigentlich nicht passt. Die Körpersprache – ein Seitenkanal – gehört, wie das gesprochene Wort, zur menschlichen Kommunikation dazu. Das System Mensch kann nicht anders.
Auf technische Informationssysteme trifft dasselbe zu. In der Regel verbindet ein Datenkanal, der direkte Kommunikationskanal, ein Informationssystem mit einem anderen. Aber auch hier gibt es eine Art Körpersprache, die letzendes auf die Technologie und den Strombedarf zurückzuführen ist. Die Herzstücke dieser Informationssysteme, in der Regel die Prozessoren oder auch CPUs, basieren auf einem wichtigen Halbleiterprozess, der sogenannten CMOS-Technik. Prozessoren in dieser Technik verändern ihren Strombedarf in Abhängigkeit der Bits, die in den Informationen und Daten stecken. Dieser veränderliche Strombedarf – ein Seitenkanal – lässt sich messen und somit auch indirekt die Daten. Das Informationssystem kann nicht anders.
Halbleiter Chips für den IT-Security Bereich bilden hier selbstverständlich keine Ausnahme. Deshalb messen wir in unserem Hardwarelabor, diesen veränderlichen Strombedarf, genau dann, wenn ein Security Chip geheime Daten verarbeitet und prüfen, ob ein Zusammenhang zwischen diesen beiden besteht. An dieser Stelle ist es einfach, besteht ein Zusammenhang ist der Chip durchgefallen, ein erheblicher Mangel sozusagen. Wenn nicht, dann besteht der Chip die „TÜV-Prüfung“. Der Chiphersteller muss nachbessern und den Chip erneut zur Prüfung vorlegen.
In unserem Hardwarelabor werden Fehlerinjektion gezielt eingesetzt, um sicherheitskritische Operationen auf einem Chip zu manipulieren. Dabei werden Methoden wie Glitching (Spannungs- oder Taktstörungen), Laserpulse oder elektromagnetische Pulse genutzt, um Berechnungsfehler zu provozieren. Diese Fehler nutzen wir, um geheime Schlüssel zu extrahieren, indem falsche Signaturen oder unvollständige Berechnungen analysiert werden, oder um eigentlich geschützte Daten zu extrahieren. Durch solche systematischen Tests lassen sich Schwachstellen aufdecken, um Chips widerstandsfähiger gegen physische Angriffe zu machen und ihre Sicherheit zu verbessern.
Wir bleiben am Zahn der Zeit. Unsere interne Forschung beschäftigt sich mit brandaktuellen Themen und trägt somit einen wesentlichen Teil zur Etablierung neuer Sicherheitsstandards bei.
Side-channel analysis and side-channel countermeasures for the NIST standardized key encapsulation mechanism FIPS 203.
Zur Publikation
Side-channel attacks and side-channel countermeasures for the NIST standardized digital signature scheme FIPS 204.
Zur Publikation
This paper demonstrates how to efficiently use RISC-V instruction set extension to build side-channel resistant component relevant for post quantum cryptography.
In depth analysis of code-based fault injection countermeasures and presenting the gap between theoretical and practical security.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua.
Zum Dokument
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua.
Zum Dokument
Die Common Criteria (CC) sind ein internationaler Standard (ISO/IEC 15408) zur Evaluierung und Zertifizierung der Sicherheit von IT-Produkten. Im Gegensatz zu anderen Standards wie ISO 27001 fokussieren CC auf Produktbewertung statt Managementsysteme und bieten anpassbare Sicherheitsanforderungen.
Mehr zum CC-Standard
Der EMVCo-Standard definiert weltweit interoperable Sicherheits- und Zahlungsanforderungen für Chipkarten, kontaktlose Zahlungen und mobile Transaktionen. Im Gegensatz zu proprietären Systemen bietet er globale Akzeptanz, starke Kryptografie und Betrugsschutz, unterscheidet sich von PCI-DSS (Datenfokus) und ISO 8583 (Nachrichtenformat).
Mehr zum EMVCo-STandard
FIPS 140-3 ist der US-Standard für kryptografische Module, basierend auf ISO/IEC 19790:2012. Im Vergleich zu FIPS 140-2 integriert er international anerkannte Sicherheitsanforderungen, bietet flexiblere Zertifizierungsoptionen und verbessert Tests für softwarebasierte kryptografische Implementierungen.
Mehr zum FIPS-Standard
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum.
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna aliquyam erat, sed diam voluptua. At vero eos et accusam et justo duo dolores et ea rebum.
"Ohne Seitenkanalanalysen riskieren wir, dass die IT-Systeme ungeschützt bleiben. Wir müssen jetzt handeln, um Sicherheitslücken zu schließen, bevor sie von Angreifenden ausgenutzt werden."
Dr. Timo Bartkewitz
Leiter Hardware Labor