Bessere Systeme in der Cybersecurity: effizient und sicher

Chitchanok Chuengsatiansup ist Ende 2024 von der University of Melbourne an die Universität Klagenfurt gewechselt, um hier weiter an optimierten kryptographischen Codes zu arbeiten, die mehrere Ziele gewährleisten: Während die durch das Design gebotene Sicherheit aufrechterhalten wird, sollten die zur Ausführung kryptographischer Codes benötigten Rechenressourcen sowie der Integrationsaufwand in verschiedene Systeme minimal sein.

Mit welchen Methoden möchten Sie bessere Cybersecurity erreichen?

Nehmen wir als Beispiel eine Nachricht, die von der Person A an die Person B gesendet wird. Nutzen Personen A und B dafür eine App, die keine Sicherheitsmaßnahmen getroffen hat, kann es sein, dass den beiden jemand virtuell über die Schulter schaut und den Text mitliest. Ich arbeite an Technologien, die die Nachricht verschlüsseln und am Ende wieder entschlüsseln, damit nur der vorgesehene Empfänger sie lesen kann. Die so genannte Kryptographie ist heute in vielen Bereichen ein fundamentaler Mechanismus, der nicht nur die Privatheit unserer Kommunikation, sondern auch, sensible Bereiche wie das Online-Banking, die elektronische Gesundheitsakte oder die Online-Steuererklärung in sicheren Umgebungen schützen soll. Auch Unternehmen und staatliche Einrichtungen brauchen sichere Systeme.

Der Aufwand für die Verschlüsselung und Entschlüsselung bedeutet aber zusätzliche Rechenleistung. Macht Kryptographie unsere Systeme zwingend langsamer?

Grundsätzlich stimmt das Prinzip, dass stärkere Sicherheit mit mehr Rechenaufwand verknüpft ist. Es gilt, eine Balance zu finden, zwischen den Anforderungen an die Sicherheit und dem Aufwand, der damit einhergeht. Werden die Systeme durch Cybersecurity-Maßnahmen zu langsam, zu umständlich oder zu ressourcenintensiv, werden sie von den Nutzer:innen häufig umgangen. Wir bemühen uns in der Forschung daher darum, dass ein kryptographischer Code drei Ziele erreicht: Er soll korrekt, effizient und wartbar sein.

Was bedeutet das konkret?

Grundsätzlich muss der Code korrekte Resultate liefern: Eins plus eins muss zwei ergeben und nicht drei. Sonst ist die Sicherheit nicht gegeben. Außerdem darf der Code nicht die generelle Leistung eines Systems beeinträchtigen. Darüber hinaus haben wir die Herausforderung der Wartung: Heute wollen wir ganz unterschiedliche Systeme sicher machen – vom großen Server bis hin zu kleinen Geräten wie Schrittzählern. Es soll möglich sein, einen kryptographischen Code mit einfachen Methoden auf mehreren Geräten zu integrieren. Außerdem soll es möglich sein, die Technologie auch in Geräten, die erst in Zukunft entwickeln werden, einzubauen.

Können Sie Ihren Ansatz näher erläutern? Wie verbessern Sie den kryptographischen Code?

Die möglichen Rechenoperationen spezifizieren wir zu Beginn selbst und dann legen wir fest, welche Änderungsmöglichkeiten in dem Code möglich sein sollen. Dem Computer überlassen wir es dann, die verschiedenen Kombinationen auszuprobieren und nach einem optimalen Algorithmus zu suchen. Dazu haben wir in einem gemeinsamen Forschungsprojekt, an dem ich im Rahmen meiner Tätigkeit an der University of Melbourne tätig war, einen kryptographischen Code-Optimierer mit dem Titel CryptOpt entwickelt, der automatisch Codes für verschiedene Geräte generieren kann. Der Code passt sich schrittweise an, misst die Leistung und kommt so schrittweise zu seiner besten Variante, die er erreichen kann. Dieses System liefert wettbewerbsfähige Ergebnisse im Vergleich zu den Ergebnissen, die von Experten bei der manuellen Optimierung des Codes erzielt werden.   Mitgearbeitet haben Forscher:innen an der University of Adelaide, der Monash University, der Ruhr University Bochum, dem Massachusetts Institute of Technology, der Stanford University und dem Georgia Institute of Technology. CryptOpt ist ein Open-Source-Projekt, das es jedem, auch nicht spezialisierten IT-Technikern, ermöglichen soll, optimierten kryptographischen Code für ihre Systeme zu erstellen.

Bei Open-Source-Projekten sind üblicherweise alle Informationen öffentlich und transparent zugänglich. Was, wenn auch Hacker:innen sich dessen bedienen?

Bei diesem Projekt geht es um die Optimierung von kryptographischem Code. Wenn ein Hacker dieses Projekt nutzt, ist er in der Lage, den Code ebenfalls zu optimieren. Ob dies beim Brechen eines Kryptosystems hilfreich ist, steht auf einem anderen Blatt.

Darf ich Sie zum Schluss danach fragen, wie sorgsam Sie selbst mit der Sicherheit Ihrer Daten umgehen?

Ich würde sagen, dass ich mich schon darum bemühe, sensible Informationen so gut wie möglich zu schützen. Es gibt dabei aber natürlich auch Einschränkungen: Ich hätte zwar gerne höchstmögliche Sicherheit, aber habe auch gleichzeitig die Notwendigkeit, online zu kommunizieren und Applikationen zu nutzen. Auch hier versuche ich einen Ausgleich zu finden. In meiner Community ist das zumindest bei den Messengern nicht so schwierig – Forscher:innen in der Cybersecurity haben da ähnliche Bedürfnisse und nutzen eher jene Dienste, die sicherer sind.