Softwareschutz und Obfuskation: Wenn die Theorie den Angreifer trifft

Conference Day
14.06.
ab 14:30 Uhr
bis Uhr
security
Raum
Baden

Abstract

Die Kryptologen sind sich einig: Zum Schutz von Information sollten beweisbar sichere Methoden verwendet werden, basierend auf soliden Annahmen. Wichtig dabei ist Kerckhoffs Prinzip: Die Sicherheit basiert nicht auf der Geheimhaltung der Methode, sondern lediglich auf der Geheimhaltung eines geheimen Schlüssels. Softwareschutz stützt sich jedoch oft auf Obfuskation, was gerne als “Security by obscurity” abgetan wird. Aber muss das immer so sein?

Wir beleuchten das Thema Softwareschutz, insbesondere Obfuskation, sowohl aus der Sicht einer Kryptologin als auch aus Angreifer-Sicht, um dabei die beiden Welten in Verbindung zu bringen. Ergebnisse und Grenzen aus der Theorie werden so mit Schutz- und Angriffsmethoden aus der Praxis in einen gemeinsamen Kontext eingeordnet.

Der erste Teil des Vortrags behandelt die theoretische Sicht: Was ist (un)möglich, und ist Obfuskation wirklich immer Security by Obscurity, oder gibt es auch beweisbar sichere Methoden?

Im zweiten Teil geht es um die Praxisseite: Wie geht der Angreifer beim Cracken von Software vor, welche Reverse-Engineering-Techniken nutzt er und welche konkreten Gegenmaßnahmen gibt es, um Software zu schützen.

Dabei werden jeweils Gemeinsamkeiten und Gegensätze der unterschiedlichen Sichtweisen diskutiert. Wir werden Fragen ansprechen wie „Wo liegen theoretische und praktische Grenzen?“ „Ist Security by Obscurity völlig wertlos?“, „Wie viel & welche Sicherheit brauchen wir eigentlich in der Praxis“, „Warum wäre uns auch eine perfekte Obfuskation noch nicht gut genug?“, und “Wie geht der Angreifer eigentlich vor?”.

Zielgruppe: Alle, die gern über den Tellerrand schauen.

Vorkenntnisse in den Bereichen Kryptographie, Komplexitätstheorie oder Reverse Engineering sind sicher hilfreich, aber nicht notwendig.

Speaker

Dr. Carmen Kempka

WIBU-SYSTEMS AG, Deutschland

Carmen Kempka studierte Informatik mit den Schwerpunkten Kryptographie und Quantencomputing an der Universität Karlsruhe (TH), heute KIT. Nach ihrer Promotion am KIT war sie für zwei Jahre als Postdoctoral Researcher in den Secure Platform Laboratories bei NTT in Japan. Ende 2016 begann sie ihre Tätigkeit bei der WIBU-SYSTEMS AG, wo sie nun als Leiterin der Abteilung Corporate Technology mit ihrem Team ihre Kollegen in allen Fragen rund um Kryptographie und Product Security unterstützt.

Maurice Heumann

WIBU-SYSTEMS AG, Deutschland

Maurice Heumann studierte Informatik an der Dualen Hochschule Baden Württemberg. Bereits im Alter von neun Jahren fing er an zu programmieren, und mit 14 begann er, sich mit Reverse Engineering zu beschäftigen. Seit 2019 arbeitet er als Protection Engineer bei der WIBU-SYSTEMS AG und entwickelt und verbessert dort Lösungen zum Softwareschutz. In seiner Freizeit meldet er Softwareschwachstellen renomierten Spieleherstellern.