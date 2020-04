Das Werkzeug CogniCrypt hat mit Version 1.0 das erste Major Release erreicht. Damit hat der Kryptografieassistent aus Sicht der Entwickler einen stabilen Stand und ist bereit für den produktiven Einsatz. Einige größere Unternehmen wie Amazon Web Services verwenden das Tool bereits seit geraumer Zeit. Im Vergleich zu den bisherigen Varianten ist die erste Hauptversion auf weitere Anwendungsfälle ausgelegt und bietet Anbindung an zusätzliche Java-APIs.

CogniCrypt soll Softwareentwickler beim korrekten Einsatz kryptografischer Methoden unterstützen. Die Macher haben das Tool Ende 2018 der Öffentlichkeit vorgestellt und seitdem Vorschläge aus der Community für die Weiterentwicklung aufgenommen. Derzeit ist das Tool ausschließlich auf Java ausgelegt, aber eine Variante für C beziehungsweise C++ befindet sich in Arbeit.

Zusätzliche Anwendungsfälle

Das Werkzeug ist als Eclipse-Plug-in verfügbar und lässt sich als Kommandozeilentool in CI/CD-Prozesse (Continuous Integration, Continuous Delivery) einbinden. Es hilft beim korrekten Anwenden von Kryptografie-APIs. Dafür führt es zum einen fortlaufend eine statische Codeanalyse durch, um vor dem fehlerhaften Verwenden von Softwarekomponenten zu warnen. Zum anderen kann es Sourcecode für typische Anwendungsfälle erstellen, die auf Kryptografie setzen.

Mit dem 1.0-Release kennt CogniCrypt fünf zusätzliche Anwendungsszenarien: Datenverschlüsselung, sichere Kommunikation, sicheres Speichern von Passwörtern, Langzeitarchivierung und Multiparty Computation. Das Tool kann zudem neuerdings folgende APIs überprüfen: Java Cryptography Architecture (JCA), Java Secure Socket Extension (JSSE), BouncyCastle und BouncyCastle als JCA-Provider sowie Google Tink.

Die Anwender im Blick

Darüber hinaus sind zahlreiche Rückmeldungen von Anwendern in die Weiterentwicklung eingeflossen, die sich vor allem auf eine bessere Benutzerfreundlichkeit und Konfigurierbarkeit beziehen. Unter anderem bietet CogniCrypt in Eclipse eine zusätzliche Ansicht mit einer strukturierten Darstellung der Ergebnisse aus der aktuellen Codeanalyse. Außerdem erkennt das Tool nun je nach Konfiguration die verwendeten Kryptografie-Librarys und richtet seine Analyse darauf aus.

Neuerdings lassen sich False Positives in der Entwicklungsumgebung unterdrücken. Entwickler können Fehlalarme markieren und an das CogniCrypt-Team melden, das die Analyse für künftige Releases anpasst, um die False Positives zu vermeiden.

Eclipse und Entstehung

CogniCrypt ist ein Open-Source-Projekt bei der Eclipse Foundation. Das Kryptografiewerkzeug entstand in den letzten fünf Jahren im Sonderforschungsbereich CROSSING an der TU Darmstadt in Zusammenarbeit mit der Universität Paderborn und dem Fraunhofer IEM sowie mit Beiträgen von Forschern der University of Alberta und der Universidade de Brasilia. Bei CROSSING arbeiten gut 65 Fachleute aus Kryptografie, Quantenphysik, Systemsicherheit und Softwaretechnik zusammen.

Weitere Details lassen sich der Ankündigung entnehmen. CogniCrypt und zusätzliche Informationen zum Tool sind auf der Homepage verfügbar. Eine Dokumentation findet sich bei der Eclipse Foundation. (rme)