News

ATHENE researchers publish their work in the journal IEEE Transactions on Technology and Society

14/06/2023

ATHENE researchers at TU Darmstadt are working on a privacy-friendly approach for state actors to compare exploit inventories without disclosing national secrets. This approach can be used to enhance cybersecurity for civilians, as known exploits that are identified by multiple states can be released for remediation. The method provides a practical solution to cyber arms control. The research was published in the IEEE Transactions on Technology and Society journal and was awarded the 2022 CROSSING Collaboration Award.

Further information in German:
Im vernetzten Cyberspace ist unsere fragile digitale Infrastruktur laufend Cyber-Bedrohungen durch verschiedenste Akteure ausgesetzt. Die Ausnutzung von Schwachstellen in der IT-Hardware und -Software ist zu einem Hauptinstrument der Spionage und der Kriegsführung im Cyberspace geworden und stellt die globale Cybersicherheit vor erhebliche Herausforderungen. Die Fortschritte im Bereich der künstlichen Intelligenz verstärken diese Entwicklung noch: KI-gestützte Cyberwaffen, oder eine KI-basierte automatisierte Cyberabwehr tragen zu einer immer komplexeren Lage bei.

Staatliche Akteure werden von langfristigen strategischen Sicherheitsinteressen geleitet. Sie halten oft Kenntnisse über Sicherheitslücken und deren Ausnutzung zurück, um ihre militärischen oder nachrichtendienstlichen Operationen im Cyberspace zu unterstützen. Zwar werden internationale Verträge und Vorschriften diskutiert, um solche Aktivitäten durch die Offenlegung von Schwachstellen einzuschränken. Diese Fortschritte werden jedoch durch Vorbehalte beim Austausch der Wissensbestände untereinander oder gegenüber Dritten gehemmt, da dies zu einem potenziellen taktischen Nachteil führen und staatliche Interessen gefährden könnte.

Politische Herausforderungen mit Technik begegnen

In ihrer Veröffentlichung „ExTRUST: Reducing Exploit Stockpiles with a Privacy-Preserving Depletion System for Inter-State Relationships“ schlagen Forschende der Cryptography and Privacy Engineering Group (ENCRYPTO) von Prof. Thomas Schneider und der von ATHENE-Wissenschaftler Prof. Christian Reuter geleiteten Forschungsgruppe Wissenschaft und Technik für Frieden und Sicherheit (PEASEC) eine datenschutzkonforme Lösung dieses Problems mittels Kryptografie vor. Das ExTRUST-System ermöglicht es zwei oder mehr staatlichen Akteuren, ihre Schwachstellenbestände mithilfe von Mehrparteienberechnungen (MPC) geheim zu vergleichen. Es verwendet eine neuartige Exploit-Beschreibungsmethode, um gemeinsame Elemente zu identifizieren, ohne den gegnerischen Parteien den Inventarbestand preiszugeben. Dieser Ansatz ermöglicht eine sorgfältige Abwägung der Offenlegung bei gleichzeitiger Wahrung der Geheimhaltungsinteressen der beteiligten Parteien.

Die Forschenden weisen darauf hin, dass das MPC-basierte ExTRUST-System derzeit noch nicht alle konzeptionellen Anforderungen erfüllt, sich aber als skalierbar erweist und verschiedenen Angriffsszenarien standhalten kann. Ebenso geht der Nutzen von ExTRUST über den zwischenstaatlichen Rahmen hinaus und ist auch für andere Zero-Trust-Anwendungen wie Bug-Bounty-Programme geeignet. Das vielseitige System ist ein beachtenswerter Beitrag zur Rüstungskontrolle und Abrüstung und gibt neue Impulse dafür, wie Technik zur Bewältigung politischer Herausforderungen eingesetzt werden kann. Die Arbeit wurde mit dem CROSSING Collaboration Award 2022 ausgezeichnet und ist nun auch in der Zeitschrift IEEE Transactions on Technology and Society veröffentlicht worden.

Link to publication

More information

show all news