Schlüssel werden offengelegt, wenn sie in Mobil- und Desktop-Apps fest codiert sind

Der Aufbau vernetzter Apps mit innovativen und reaktionsschnellen Benutzererlebnissen erfordert die Kommunikation und Pflege sensibler Inhalte.

Ob es sich bei diesen Inhalten um ein paar Datenbytes, Funktionsupdates, Spielstände, Kontoinformationen oder Videostreams handelt, sie müssen geschützt werden – egal, wie und wo sie übertragen, gespeichert oder abgelegt werden. Wenn Inhalte und die Kommunikation mit Benutzern nicht geschützt werden, kann dies zu staatlichen Strafen, Betrug und Diebstahl geistigen Eigentums führen – ganz zu schweigen vom Verlust des Kundenvertrauens, Markenschäden und entgangenen Einnahmen. Bedrohungsakteure wird alle möglichen Schwachstellen der App ausnutzen, um sich Ruhm, Bekanntheit oder Staatsgeheimnisse zu verschaffen oder einfach nur zum Spaß.

Die Verschlüsselung von Informationen während ihres gesamten Lebenszyklus – während der Übertragung, im Ruhezustand und „in der App“ – ist ein wichtiger Bestandteil, um zu verhindern, dass sensible Daten in die falschen Hände gelangen. Es wurden erhebliche Anstrengungen unternommen, um Daten während der Übertragung zu sichern, von sicheren Transportschichten bis hin zur Verschlüsselung von Daten aus der Quelle. Das schwache Glied in dieser Kette ist der Endpunkt: die App. Die Anfälligkeit von Apps an Endpunkten, sei es in Mobil- oder Desktop-Apps, hatte zur Zunahme von „Man-at-the-end“- oder MATE-Angriffen geführt.

Apps, die verschlüsselte Inhalte verwenden, verwenden Schlüssel, um eingehenden Datenverkehr zu entschlüsseln und ausgehenden Datenverkehr zu verschlüsseln – Vorgänge, die von Funktionen innerhalb des Codes der Anwendung verwaltet werden. Wenn der Code einer App dekompiliert, die zum Verschlüsseln/Entschlüsseln von Inhalten verwendeten Schlüssel können entdeckt werden und Bedrohungsakteuren das liefern, was sie zum Entschlüsseln verschlüsselter Informationen benötigen. In der App gespeicherte Daten können ebenso kompromittiert werden wie die gesamte Kommunikation zwischen der App und Backoffice-Systemen.

Probleme

  • Wenn eine App zurückentwickelt oder ihr Code entfernt wird, können die zum Ver-/Entschlüsseln von Inhalten verwendeten Schlüssel ermittelt werden
  • Wenn Chiffrierschlüssel aufgedeckt werden, können sie kopiert, weitergegeben und böswillig verwendet werden
  • Sobald die Schlüssel kopiert wurden, können sie zur Beobachtung von Daten und zur Kommunikation mit Back-End-Servern verwendet werden
  • Herkömmliche Datenschutztools sind nicht darauf ausgelegt, Schlüssel vor rückentwickeltem oder anderweitig kompromittiertem App-Code zu schützen

Wenn Chiffrierschlüssel aufgedeckt werden, können sie kopiert, weitergegeben und böswillig verwendet werden. Es ist nahezu unmöglich, den Missbrauch kompromittierter Schlüssel zu erkennen, da diese über scheinbar legitimen Datenverkehr verwendet werden. Nach der Kompromittierung ist die Behebung einer Schlüsselverletzung zeit- und ressourcenintensiv und erfordert die Neuverschlüsselung und Aktualisierung aller Anwendungen und Prozesse, die diese Schlüssel verwenden.

Herkömmliche Datenschutztools sind nicht darauf ausgelegt, Schlüssel davor zu schützen, durch Reverse Engineering, Code-Lifting oder anderweitige Einbindung von App-Code entdeckt zu werden.

White-Box-Kryptografie sorgt dafür, dass Schlüssel und Daten in Mobil- und Desktop-Apps sicher bleiben und schützt so die Kommunikation zwischen Apps und Back-End-Systemen.

Digital.ai Schlüssel- und Datenschutz-Produktbeschreibung

White-Box-Kryptografie sorgt dafür, dass Schlüssel und Daten in Mobil- und Desktop-Apps sicher bleiben und schützt so die Kommunikation zwischen Apps und Back-End-Systemen.

Digital.aiSchlüssel und Datenschutz sichert Daten während der Übertragung, indem es die in Ihren Mobil- und Desktop-Apps gespeicherten Verschlüsselungs-/Entschlüsselungsschlüssel schützt. Mithilfe mathematischer Techniken und Transformationen verwendet Key and Data Protection White-Box-Kryptografie, um App-Code und Schlüssel zu vermischen (oder *zu verschmieren*), um kryptografische Vorgänge zu sichern, sodass fest codierte Schlüssel nicht gefunden oder aus der App extrahiert werden können, um sie an anderer Stelle zu verwenden.

Digital.aiSchlüssel und Datenschutz schützt vertrauliche Schlüssel und Daten mit einer voll ausgestatteten White-Box-Kryptografie-Suite, die mobile, Desktop- und Server-Apps schützt. Key and Data Protection unterstützt alle wichtigen Verschlüsselungen, Modi und Schlüsselgrößen und kann direkt mit anderen kryptografischen Paketen (wie OpenSSL) und Geräten in Ihrer Umgebung zusammenarbeiten, ohne dass serverseitige Änderungen erforderlich sind.

Wir unterstützen symmetrische Verschlüsselung, Diffie-Hellman-Schlüsselaustausch, Hash-basierte Nachrichtenauthentifizierungscodes, asymmetrische Verschlüsselung, Signaturgenerierung, Schlüsselumhüllung und -ableitung, Shamir Secret Sharing und „BigInteger“-Algebra.

Zusätzlich zur Unterstützung aller wichtigen Algorithmen und Modi, Digital.ai Schutz von Schlüsseln und Daten ist eines von nur wenigen Sicherheitsprodukten, die derzeit für die FIPS 140-3-Zertifizierung „im Test“ sind. Digital.ai White-Box-Kryptographie ist auf den Plattformen iOS, Android, Windows, Mac und Linux verfügbar.

White-Box-Kryptographie

Wichtigste Vorteile

Verhindern Sie, dass Verschlüsselungsschlüssel aus Apps extrahiert werden

White-Box-Kryptografie, die Schlüssel verwaltet, schützt und verschlüsselt

  • Kombinieren Sie App-Code und Schlüssel für kryptografische Vorgänge
  • Blenden Sie Schlüssel aus, selbst wenn Apps mithilfe dynamischer Instrumentierungs-Toolkits rückentwickelt werden

Schützen Sie die Kommunikation zwischen Anwendungen und Back-End-Servern

Schützt in einer App gespeicherte Verschlüsselungs-/Entschlüsselungsschlüssel

  • Verhindert das Kopieren und Weiterverteilen von Schlüsseln
  • Verhindert „Man-in-the-middle“- (MITM) und „Man-at-the-end“-Angriffe (MATE).

Unterstützt verschiedene Plattformen und alle wichtigen Verschlüsselungen, Modi und Schlüsselgrößen

Schutz von Mobil-, Desktop- und Server-Apps

  • Voll ausgestattete White-Box-Kryptografie-Suite, die zum Hinzufügen von Schutz für Mobil-, Desktop- und Server-Apps verwendet werden kann
  • Interoperiert direkt mit anderen kryptografischen Paketen (z. B. OpenSSL) und Geräten in Ihrer Umgebung, ohne dass serverseitige Änderungen erforderlich sind
  • Nutzt fortschrittliche Techniken wie Shamir Secret Sharing, Donna Curves, ECC, BigInteger Algebra und Seeded XOR

Schlüsselfähigkeiten

Symmetrische Verschlüsselung

  • AES (128 oder 256 Bit, CBC, ECB, GCM)
  • DES (Einzel, Dreifach)

Schlüsselaustausch

  • ECC/DH (Diffie-Hellman)
  • FCC/DH

Sicheres Hashing + HMAC

  • SHA-1 / 2 / 3
  • HMAC (SHA)
  • CMAC (AES)
  • DES MAC3

Asymmetrische Verschlüsselung

  • ECC/EG (ElGamal)
  • RSA (2048, 3072, 4096 und größere Schlüsselgrößen)

Signaturgenerierung

  • ECC/DSA (Digital Signature Algorithmus)
  • RSA (2048, 3072, 4096 und größere Schlüsselgrößen)

Schlüsselverpackung und -ableitung

  • NIST- und CMLA-Schlüsselverpackung
  • NIST-, CMLA- und OMA-Schlüsselableitung

BigInteger-Algebra

Bietet Mittel zur Durchführung modularer Arithmetik (Addition und Multiplikation) in White-Box-Form

Geheime Weitergabe von Shamir

Unterteilt Geheimnisse, die verschlüsselt werden müssen, in verschiedene eindeutige Teile

Über uns Digital.ai

Digital.ai ist ein branchenführendes Technologieunternehmen, das sich der Unterstützung von Global 5000-Unternehmen beim Erreichen ihrer digitalen Transformationsziele verschrieben hat. Die Firmen AI-powered DevSecOps Plattform vereinheitlicht, sichert und generiert prädiktive Erkenntnisse über den gesamten Softwarelebenszyklus. Digital.ai ermöglicht es Unternehmen, Softwareentwicklungsteams zu skalieren, kontinuierlich Software mit höherer Qualität und Sicherheit bereitzustellen und gleichzeitig neue Marktchancen zu erschließen und den Geschäftswert durch intelligentere Softwareinvestitionen zu steigern.

Weitere Informationen über Digital.ai finden Sie unter digital.ai und Twitter, LinkedIn und Facebook.

Erfahren Sie mehr unter Digital.ai Application Security

Plattform

Möchten Sie weitere Ressourcen erkunden?