Informationsflusskontrolle (IFC) untersucht, ob ein Angreifer aus öffentlichen Ausgaben eines Programms Rückschlüsse auf geheime Eingaben ziehen kann.
Manchmal müssen Programme zur Erfüllung ihrer Aufgaben aber geringe Mengen an Information herausgeben, beispielsweise in einer Passwortüberprüfung.
In der quantitativen IFC wird daher untersucht, wie viel Information über die geheimen Eingaben ein Angreifer aus den öffentlichen Ausgaben gewinnen kann. Üblicherweise wird dafür ein Entropie-Maß zugrunde gelegt und der Informationsfluss in Bit angegeben.
Statische Analysen für quantitative IFC beruhen meist auf Verifikationstechniken wie Model Counting oder SMT-Solvern. Diese ermöglichen es zwar, eine hohe Präzision zu erreichen, benötigen dafür aber oft größere Laufzeiten.
Diverse statische Analysen zur qualitativen IFC verwenden einen Programmabhängigkeitsgraphen (Program Dependency Graph, PDG) als Kompromiss zwischen Laufzeit und Präzision. Im Rahmen einer
vorangegangenen Masterarbeit wurde auf Basis von Bitabhängigkeitsverbänden eine Analyse für eine einfach While-Sprache mit Funktionen entwickelt. Dieser Analyse fehlen aber noch wichtige Elemente, um sie auf Java-Programme anzuwenden.
Aufgabe:
Ziel dieser Arbeit ist es, die existierende einfache Analyse für quantitative IFC zu einer Analyse weiterzuentwickeln, die größere Teile der Java-Sematik, wie zum Beispiel Objektorientierung, unterstützt. Diese soll aufbauend auf dem IFC-Tool JOANA implementiert werden.
Schlüsselworte
Statische Analyse, Informationsflusskontrolle
Betreuer
