Skip to main content
Disciplines
Automotive Business IT + Informatics Construction + Real Estate Electrical Engineering + Electronics Energy + Sustainability Insurance + Risk Finance + Banking Management + Leadership Marketing + Sales Mechanical Engineering + Materials
Events
DE
EN
Books
Journals
Topic Page
Marketing
Start single access now
Access for companies
EXTENDED SEARCH
Log in
Top
Published in:
Herausforderung Datenschutz und Datensicherheit in der Cloud Read chapter Read first chapter

2020 | OriginalPaper | Chapter

2. Grundprinzip der Sealed Cloud

Authors : Hubert A. Jäger, Ralf O. G. Rieken, Edmund Ernst, Arnold Monitzer, Dau Khiem Nguyen, Jaymin Modi, Sibi Antony, Christos Karatzas, Franz Stark, Jaro Fietz, Lamya Abdullah

Published in: Manipulationssichere Cloud-Infrastrukturen

Publisher: Springer Fachmedien Wiesbaden

Log in

Activate our intelligent search to find suitable subject content or patents.

search-config
loading …

Zusammenfassung

In diesem Kapitel wird das Prinzip der Sealed-Cloud-Technologie vorgestellt. Es wird gezeigt, wie eine zentrale Anforderung an sicheres Cloud-Computing, nämlich den Betreiber der Cloud vom Zugriff und jeder Kenntnisnahme von verarbeiteten Daten auszuschließen, mit einem Satz an technischen und organisatorischen Maßnahmen erfüllt werden kann. Das Grundprinzip wird anhand von Beispielimplementierungen anschaulich erklärt. Unter dem Oberbegriff ,,Sealed Computing“ bzw. ,,Confidential Computing“ wird schließlich die Sealed Cloud mit alternativen und ergänzenden technischen Ansätzen verglichen, mit denen ebenfalls der privilegierte Zugriff des Betreibers ausgeschlossen bzw. der Schutz gegen Missbrauch verbessert werden kann.

Dont have a licence yet? Then find out more about our products and how to get one now:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

inform now

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

inform now

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

inform now
previous chapter Herausforderung Datenschutz und Datensicherheit in der Cloud
next chapter Grundsätzliches zu Sicherheit und Datenschutz
Footnotes
1
Dies gilt nicht für Verfahren mit homomorpher Verschlüsselung, ,,zero-trust-proof“, ,,multi-party-computing“, etc., bei denen die Datenverarbeitung durch Operationen mit hierfür speziell verschlüsselten Daten erfolgt. Diese Verfahren sind aufgrund funktionaler Einschränkungen und/oder eines enormen Rechenaufwands für die praktische Anwendung im Allgemeinen bislang ungeeignet.
 
2
Beispielsweise sind bei Einmal-Passwort-Generatoren in Scheckkartenformat, wie etwa jenen der Firma Rempartec [2], bei denen auch das Prinzip des Data Clean-up angewendet wird, keine Wartungszugriffe notwendig. Die dort verwendete hardwarenahe Software benötigt keine Updates, es gibt keine Datenbank, die zu warten wäre, oder Ähnliches. In einem solchen ,,embedded“ System sind keine Wartungszugriffe notwendig und möglich.
 
3
Hier sei abgesehen vom Start-Lesespeicher (engl. ,,Boot-Read-Only-Memory“, Boot-ROM), von dem nur gelesen werden kann.
 
4
Die Stromversorgung ist zu diesem Zweck um ein spezifisches Gerät erweitert, das diese Steuersignale empfangen und auswerten kann.
 
5
Wären in einer DCUA auch persistente Schreib- und Lesespeicher verbaut, müssten diese bei einem ,,data clean-up“ erst zuverlässig gelöscht werden, was i. d. R. nur durch langwierige mehrfache Überschreibungen möglich ist. Auf Grund der erheblichen Löschzeiten, die im Minuten- oder Stundenbereich liegen, wird daher auf persistente Speicher in der DCUA verzichtet.
 
6
Für dieses Verhalten müssen gewöhnliche steuerbare Stromversorgungen ,,umgepolt“ werden (von ,,normally closed“ (NC) auf ,,normally open“ (NO)), da für gewöhnlich der ausfallsichere Zustand eine eingeschaltete Stromversorgung ist.
 
7
Zur Messung der informationstheoretischem Entropie der automatisch erzeugten Schlüssel kann das Werkzeug ,,ent“ eingesetzt werden.
 
8
Bei gängigen Transportverschlüsselungen werden die zu übertragenden Daten mit symmetrischen Schlüsseln verschlüsselt, die zu Beginn der Übertragung ausgetauscht werden. Für diesen Austausch werden die symmetrischen Schlüssel nach dem Diffie-Hellman-Verfahren [7] jeweils mit den öffentlichen Schlüsseln eines asymmetrischen Schlüsselpaares der Gegenstelle verschlüsselt und an die Gegenstelle gesendet.
 
9
Vor dem Start des TPM wird der ,,elektronische Fingerabdruck“ errechnet und mit einem gespeicherten Wert verglichen. Bei hoch standardisierten Cloud-Infrastrukturen, wie sie auch hier bei der Sealed Cloud vorliegt, wird von einigen Sicherheitstechnikern eingewendet, dass das ,,Spoofing“, d. h. das Fälschen des elektronischen Fingerabdrucks zu einfach sei, als dass das TPM als sicherer Speicher angesehen werden dürfe [9].
 
10
Mit Hash-Wert ist die Abbildung einer kryptographischen Hashfunktion oder Streuwertfunktion gemeint. Das hier wichtigste Merkmal einer Hashfunktion ist, dass sie nur in einer Richtung ausführbar ist. Das heißt, aus den Eingabewerten kann einfach das Ergebnis, der Hash-Wert, errechnet, jedoch umgekehrt können aus dem Hash-Wert die Eingabewerte praktisch nicht ermittelt werden. In gängigen Implementierungen wird die Hash-Funktion tausend Mal nacheinander angewendet.
 
11
Mit einer Speicherung auf Vorrat ist gemeint, dass Daten unabhängig davon gespeichert werden, ob sie für eine bestimmte Analyse tatsächlich benötigt werden oder nicht, da diese Entscheidung zum Zeitpunkt der Datenerhebung mangels eines Anlasses noch nicht getroffen werden kann. Die Speicherung erfolgt vorsorglich für den Fall, dass die Überwachungsaufgabe ggf. nur mit diesen Daten wahrgenommen werden kann.
 
12
Mit ,,Shamir Part“ wird ein durch das Verfahren ,,Shamir Secret Sharing“ [11] erzeugter Teil eines nur gemeinschaftlich zusammensetzbaren Geheimnisses bezeichnet. Der folgende Vergleich zeigt, dass diese Art ein Geheimnis zu teilen besonders sicher und gut operationalisierbar ist: Wenn ein geheimes Wort einfach an mehreren Stellen aufgetrennt und so zerteilt wird, so ergibt sich das Problem, dass zur Rekombination alle Teile wieder zusammen kommen müssen. Wenn nur ein Teil fehlt, ist die Rekombination unmöglich. Außerdem kann das Geheimnis leichter erraten werden, je mehr Teile davon bekannt sind. Anders beim ,,Shamir Secret Sharing“, das diese Probleme nicht hat. Dort kann ein Geheimnis auf n > m Versiegelungsstellen aufgeteilt und aus m Teilen von m Stellen wieder rekombiniert werden. Dabei kann aus m − 1 Teilen kryptografisch genauso wenig auf das Geheimnis geschlossen werden wie, wenn gar keine Shamir-Teile vorlägen.
 
13
Hierfür sind vor allem Kenntnisse und Erfahrungen im Bereich der Elektrotechnik, Informatik und der IT-Sicherheit notwendig. Spezielle Aus- und Fortbildungsprogramme für Versiegelungsstellen werden von der Uniscon GmbH und der TÜV SÜD Akademie GmbH angeboten.
 
14
Ein streng sequenzielles Vorgehen mehrerer Versiegelungsstellen ist nicht möglich, da die DCUA unmittelbar nach der Prüfung geschlossen wird. Die Versiegelungsstellen müssen abschnittsweise sequenziell nebeneinander arbeiten.
 
15
Praktisch wird das Teilgeheimnis mit dem öffentlichen Schlüssel eines Personenzertifikats des ,,Trustees“ verschlüsselt und per E-Mail an diesen übermittelt. Mit seinem privaten Schlüssel kann nur der ,,Trustee“ den Shamir-Teil entschlüsseln.
 
16
Die notwendige Anzahl an ,,Sealing Trustees“ kann entsprechend dem erforderlichen Niveau der Vertrauenswürdigkeit (engl. ,,assurance level“) eingestellt werden. Sogar eine Einteilung der ,,Sealing Trustees“ in Gruppen, etwa entsprechend der Zugehörigkeit zu einer Prüfungs- oder Betreiberorganisation, ist möglich.
 
17
Mit ,,Identität“ ist die Zuordnung einer Software zu einer bestimmten Bezeichnung, e.g. Name, Version, etc. gemeint, wohingegen mit ,,Integrität“ bezeichnet ist, ob der konkrete Softwarecode keinen unbekannten und/oder unerwünschten Zusatzcode enthält.
 
18
Wenn Teile des Codes verändert wären, würde sich bei einer solchen mathematischen ,,Hash“-Wertbildung (deutsch ,,Streufunktion“) ein anderer als der erwartete Wert ergeben. Die für solche Anwendungen verwandten Streufunktionen bilden unterschiedliche und unterschiedlich lange Eingabewerte (der verschiedenen Software-Codes) auf gleich lange, jedoch jeweils unterschiedliche Ausgangswerte ab.
 
19
Bei Penetrationstests versuchen die Ingenieure, die auch als ,,White Hat Hacker“, also als gutartige ,,Hacker“, bezeichnet werden, gleichsam ,,in“ die Server ,,einzudringen“.
 
Literature
1.
Hubert A. Jäger, Arnold Monitzer, Ralf O. Rieken, Edmund Ernst, Dau-Khiem Nguyen. (2014). Sealed Cloud – A Novel Approach to Safeguard against Insider Attacks, in: H. Kremar, R. Reussner and B. Rumpe, Trusted Cloud Computing, pp. 15–34. Springer, Heidelberg.
2.
3.
Keferstein C.P., Marxer M., Bach C. (2018) Berührungslose Messverfahren. In: Fertigungsmesstechnik. Springer Vieweg, WiesbadenCrossRef
4.
Hering E. (2014) Sensoren. In: Elektronik für Ingenieure und Naturwissenschaftler. Springer-Lehrbuch. Springer Vieweg, Berlin, Heidelberg
5.
6.
7.
Whitfield Diffie und Martin E. Hellman. (1976). New Directions in Cryptography. In IEEE Transactions on Information Theory 22, Nr. 6, S. 644–654.MATH
8.
9.
Uniscon-interne Kommunikation. September 2018.
10.
11.
Adi Shamir (1979). How to Share a Secret. Programming Techniques. Editor R. Rivest. Communications of the ACM. Vol. 22 Nr. 11. November 1979.
12.
13.
14.
Alistair Cockburn and Laurie Williams. (2001). The Costs and Benefits of Pair Programming. In: University of Utah Computer Science (Hrsg.): Extreme programming examined. Addison-Wesley, pp. 223–243.
15.
16.
Anati, I. et al., (2013). Innovative Technology for CPU Based Attestation and Sealing. In Workshop on Hardware and Architectural Support for Security and Privacy (HASP’13). pp. 1–7.
17.
18.
Baumann, A., Peinado, M., Hunt, G. (2014) Shielding applications from an untrusted cloud with haven. In: 11th USENIX Symposium on Operating Systems Design and Implementation. OSDI 2014, Broomfield, CO, USA. October 6–8. pp. 267–283.
19.
Schuster, F., et al. (2015) VC3: trustworthy data analytics in the cloud using SGX. In: Symposium on Security and Privacy. SP 2015, San Jose, CA, USA. 17–21 May 2015. pp. 38–54.
20.
21.
22.
L. Abdullah, F. Freiling, J. Quintero, and Z. Benenson. (2018). Sealed Computation: Abstract Requirements for Mechanisms to Support Trustworthy Cloud Computing. 2nd International Workshop on SECurity and Privacy Requirements Engineering-SECPRE 2018 in conjunction with ESORICS2018.
Metadata
Title
Grundprinzip der Sealed Cloud
Authors
Hubert A. Jäger
Ralf O. G. Rieken
Edmund Ernst
Arnold Monitzer
Dau Khiem Nguyen
Jaymin Modi
Sibi Antony
Christos Karatzas
Franz Stark
Jaro Fietz
Lamya Abdullah
Copyright Year
2020
Book
Manipulationssichere Cloud-Infrastrukturen

Print ISBN: 978-3-658-31848-2

Electronic ISBN: 978-3-658-31849-9

Copyright Year: 2020

DOI
https://doi.org/10.1007/978-3-658-31849-9_2

Premium Partner

    Image Credits