Erster stabiler Release von CogniCrypt veröffentlicht

CogniCrypt unterstützt Software-Entwickler*innen bei der Integration von Kryptographie-Komponenten in ihre Software und überprüft den korrekten Einbau und die Konfiguration. Nach rund fünf Jahren intensiver Forschungs- und Entwicklungsarbeit konnte nun die Version 1.0 von „CogniCrypt“ veröffentlicht werden, das als Plugin der Eclipse-Plattform genutzt werden kann.

Für den ersten stabilen Release wurden die Hauptfunktionen von CogniCrypt, der Codegenerator und die statische Code-Analyse, erweitert und gründlich getestet. Der Krypto-Assistent unterstützt jetzt die Codegenerierung für fünf weit verbreitete kryptographische Anwendungsfälle:

• Datenverschlüsselung,
• sichere Kommunikation,
• sicheres Speichern von Passwörtern,
• Langzeitarchivierung sowie
• Multi-Party Computation.

Die statische Codeanalyse von CogniCrypt wurde auf fünf kryptografische APIs erweitert:

• JCA,
• JSSE,
• BouncyCastle,
• BouncyCastle als JCA-Provider und
• Google Tink.

Die Benutzerfreundlichkeit und die Konfigurationsmöglichkeiten wurden – auch mithilfe der Rückmeldung von Nutzer*innen – wesentlich verbessert. Insbesondere wurde in Eclipse eine zusätzliche Ansicht implementiert, die die Ergebnisse der aktuellen Code-Analyse strukturiert und übersichtlich darstellt. CogniCrypt kann – abhängig von der Konfiguration – automatisch erkennen, welche kryptographische Bibliothek das analysierte Projekt verwendet.

Es ist zudem in der neuen Version erstmal möglich, falsche Warnungen der Analyse innerhalb der Entwicklungsumgebung zu unterdrücken, manuell als sicher zu markieren und dem CogniCrypt-Team zu melden, damit diese in Zukunft automatisch unterdrückt werden können. Um die Konfigurationsmöglichkeiten von CogniCrypt zu erweitern, wurde ein Einstellungsmenü implementiert, über das Benutzer*innen verschiedene Funktionen nach ihren Wünschen anpassen können. Außerdem kann die automatische Ausführung der Codeanalyse beim Kompilieren deaktiviert werden. Die Software-Entwickler*innen können die Anzeige sicherer Objekte im Code aktivieren, den Schweregrad für die verschiedenen vom Tool unterstützten Fehlertypen selbst wählen und auch Unterstützung für weitere kryptographische APIs hinzufügen.

• Weitere Informationen zu CogniCrypt und den neuesten Erweiterungen sind auf der Homepage verfügbar: www.cognicrypt.de
• Neuigkeiten zu CogniCrypt werden auch auf Twitter veröffentlicht: @cognicrypt

Weitere Informationen

Entwickelt wurde CogniCrypt im Sonderforschungsbereich CROSSING an der TU Darmstadt in Zusammenarbeit mit der Universität Paderborn und dem Fraunhofer IEM, mit Beiträgen von Forschern der University of Alberta und der Universidade de Brasilia. Das Werkzeug ist mittlerweile bei namhaften Unternehmen im Einsatz, so beispielsweise bei Amazon Web Services. Das Eclipse Open Source-Projekt ist offen für Jedermann und heißt Beiträge herzlich willkommen.

In CROSSING arbeiten mehr als 65 Wissenschaftlerinnen und Wissenschaftler aus Kryptographie, Quantenphysik, Systemsicherheit und Softwaretechnik zusammen und betreiben sowohl Grundlagen- als auch anwendungsorientierte Forschung. Ziel ist es, Sicherheitslösungen zu entwickeln, die auch in der Zukunft sichere und vertrauenswürdige IT-Systeme ermöglichen. CROSSING wird seit 2014 und bis 2022 von der Deutschen Forschungsgemeinschaft gefördert.

www.crossing.tu-darmstadt.de