Cloud-Sicherheit (Vortrag am 21.9.2011)

Cloud-Sicherheit ohne vertrauenswürdige Administration

Vortrag auf der Konferenz D•A•CH Security 2011 am 21.09.2011 um 9:00 Uhr in Oldenburg.
Vortragender ist Dennis Löhr, MSc.

Durch datenschutzstechnische Albträume wie beispielsweise dem Sony Hack, bei dem über 100 Millionen Datensätze entwendet wurden, den Datenschutzskandalen bei der Deutschen Telekom oder den britischen Skandalen, bei denen mehrmals CDs mit sensiblen Informationen verloren gegangen sind, wurden wir motiviert, Lösungen für diese Probleme zu finden.

In unserem Vorschlag wollen wir versuchen, das Problem zu lösen, dass große Mengen Daten in die Hände von dritten oder sogar Kriminellen geraten. Hierbei gehen wir aber weiter als es bei vielen anderen Vorschlägen gemacht wird: Wir „misstrauen“ nicht nur den externen Administratoren der Cloud sondern auch den eigenen Mitarbeitern und den eigenen Administratoren. Das Ziel unseres Systems ist es, die Daten niemanden unkontrolliert oder im Rohformat zugänglich zu machen.

In dem Vortrag wird ein möglicher Lösungsansatz vorgestellt, bei dem wir durch eine Kombination von etablierten Techniken ein sicheres System erstellen. Hierbei nutzen wir TPM-Hardware, eine Rechtebeschreibungssprache (XACML) und Verschlüsselungstechnologien (AES und SSL), um das System gegen Manipulation zu sichern.

Posted in DaPriM, Datenschutz (deutsch) | Kommentare deaktiviert für Cloud-Sicherheit (Vortrag am 21.9.2011)

Cloned Trusted Platforms for Privacy

Recent developments related to the legal and social aspects of privacy issues call for technical measures enforcing strict restrictions and requirements on the collection, use and disclosure of personal data. Trusted systems can be used for secure storage of sensitive data.

Once a system state is defined as a trusted state and the system is set up to this state, its security characteristics can be transferred to a system clone that is composed of identical software (boot chain components, operating system, and applications) and matching hardware.

Applications using cloned trusted platforms include

– Database synchronization: database management systems that over a restricted access to its databases. Further, the database can be synchronized and backed up without the need of low-level table access for administrators.

– Parallel computing: clustering synchronous trusted servers increase the output performance and reduce the response time compared to stand-alone servers.

– Enforcing restrictions expressed through rights expression language (RELs) across systems: a REL description might require the system to restrict access and maintain a state (i. e. a maximum of n queries are permitted on a database in order to avoid illegitimate database duplication). This state needs to be distributed across physical systems in a way that one logical system stays consistent (i. e. set up 2 physical systems that allow n=2 requests each until the next synchronization takes place).

The implementation of any of the above projects requires an efficient and reliable remote attestation scheme.

Posted in DaPriM | Kommentare deaktiviert für Cloned Trusted Platforms for Privacy

Enabling System Cloning for TPM based Platforms (paper)

We describe a concept of mutual remote attestation for two identically configured trusted (TPM based) systems. We provide a cryptographic protocol to achieve the goal of deriving a common session key for two systems that have verified each other to be a clone of themselves.

The mutual attestation can be applied to backup procedures without providing data access to administrators, i. e. one trusted systems exports its database to another identical trusted system via a secure channel after mutual attestation is completed.

Another application is dynamically parallelizing trusted systems in order to increase the performance of a trusted server platform. We present details of our proposed architecture and show results from extensive hardware tests. These tests show that there are some unresolved issues with TPM-BIOS settings currently distributed by PC hardware manufacturers since the specification regarding measurement of extended platform BIOS configuration is either not met or the usage of undocumented options is required.

Test Environment

Test Environment

Our results show that the specfied requirement (TCG EFI Platform Speci cation V1.20.) that „platform configuration information being unique or automatically updated must not be measured“ is apparently violated. The full activation of extended security reporting options results in different values on identical systems.

Read full paper here. Get slides from here.

Posted in DaPriM | Kommentare deaktiviert für Enabling System Cloning for TPM based Platforms (paper)

Proposed System Concept

We aim to build a secure system that can fend off both external and internal attackers. Many previous work deal with issues related to external attackers. Our system combines many existing techniques which we explain in the following sections.

Data availability has a very high priority in any company operations. In our system, all data are stored encrypted. The backup of the database is performed regularly by the cloud service, in addition we require a backup of the Encryption Proxies with the corresponding decryption keys for the system integrity.

We automate the backup procedure for Encryption Proxies by establishing system integrity first, then exchanging the decryption keys over a secure channel. All session keys are TPM sealed. By comparing specific PCR values, we are able to attest the integrity between identical hardware. And only if both Encryption Proxies have the same state (same hardware, software, XACML file and known database services), the exchange of their key material can take place.

Using XACML, our system not only can limit the number of queries by an employee, it is also possible to setup a fine grained access control structure. XACML editors should follow the what-need-to-know principle. With respect to confidentiality, employees must only access what they need in their jobs (so system administrators do not need to access the productive database. In particular, we want to avoid the possibilities of employees copying the entire database.

Posted in cloud, DaPriM | Kommentare deaktiviert für Proposed System Concept

Challenge: Sensitive Data Outsourced

While the storage of corporate data on remote servers is not a new development, current expansion of cloud computing justifies a more careful look at its actual consequences involving privacy and confidentiality issues.

We introduce a secure privacy preserving cloud database storage architecture and focus on the Software as a Service kind of utility computing model.

The proposed architecture addresses the important security question: ‘To what extent, an organization has to trust client users, system administrators and service providers?’ Remote access to corporate networks is already an essential aspect of the corporate work environment. Client systems are used by employees both inside the corporate Intranet, and remotely from home. In both scenarios, applications require effective requests and use of Cloud-based computing resources on the fly.

Privacy concerns arise whenever sensitive data is outsourced to the cloud. By using encryption, the cloud server (i.e. its administrator) is prevented from learning content in the outsourced databases. But how can we also prevent a local administrator from learning the database content. And how can we avoid scenarios such as: employees using cloud applications may learn more than it is necessary to perform their respective duties?

We will cover these questions in our ongoing project research activities.

Posted in cloud, DaPriM | Kommentare deaktiviert für Challenge: Sensitive Data Outsourced

A Privacy Preserving System for Cloud Computing (paper)

Cloud computing is changing the way that organizations manage their data, due to its robustness, low cost and ubiquitous nature. Privacy concerns arise whenever sensitive data is outsourced to the cloud.

We introduce a cloud database storage architecture that prevents the local administrator as well as the cloud administrator to learn about the outsourced database content. Moreover, machine readable rights expressions are used in order to limit users of the database to a need-to-know basis. These limitations are not changeable by administrators after the database related application is launched, since a new role of rights editors is defined once an application is launced.

Furthermore, trusted computing is applied to bind cryptographic key information to trusted states. By limiting the necessary trust in both corporate as well as external administrators and service providers, we counteract the often criticized privacy and confidentiality risks of corporate cloud computing.


Role Overview

Read full paper here (PDF).

Posted in cloud, DaPriM | Kommentare deaktiviert für A Privacy Preserving System for Cloud Computing (paper)

27c3 – Lightning Talk

In der jüngeren Vergangenheit sorgen „Datenpannen“ für eine öffentliche Diskussion über die Durchsetzung des Datenschutzes: Prominente Fälle waren T-Mobile, die im Jahr 2006 mehr als 17 Millionen Kundendatensätze verloren hat, und die Universität Göttingen, die im Jahr 2008 einräumen musste, dass die Daten von 26.000 Studenten ungeschützt auf einem Internetserver zugänglich waren.

Diese Datenschutzskandale zeigen den Bedarf an datenschutzfördernden Technologien, die einen wirksamen Schutz der Daten auch bei Fehlverhalten der Benutzer ermöglichen.

Unser Konzept nutzt einen irreversiblen Datenverschluss, so dass sensible Rohdaten innerhalb des Systems verschlüsselt gespeichert werden, niemand aber – auch kein Administrator – einen Zugriff auf diese erhält. Dies wird durch das Einbinden eines TPM-Modules erreicht, das zusammen mit Software-Komponenten sicherstellt, dass sich das System in einem sicheren Zustand befindet und nur dann den internen Zugriff auf die Schlüssel gemäß einer maschinenlesbaren Rechtebeschreibung freigibt. Änderungen am System bleiben möglich, sind aber mit der Löschung des Datenbestandes verbunden.

Hierzu haben wir uns den unter Abb. 1 dargestellten Aufbau einfallen lassen für einen frühen Prototypen. Zur Kommunikation mit dem sicheren System ist zunächst eine einfache Weboberfläche geplant die die unterstützen Funktionen enthält. Die Weboberfläche kommuniziert mit einem XML-RPC Server der die User Authentifizierung vornimmt und Orange gekennzeichnet ist. Nachdem der Login Überprüft wurde, sendet er die Anfrage mit der User UUID an den ODRL-Parser der die Rechte Beschreibung einliest und mit der Datenbank Kommuniziert. Nur dem ODRL-Parser ist es auf dem System gestattet mit dem Datenbank System zu Kommunizieren, dass durch das Schlüsselmaterial des TPM geschützt wird.

Da sich Anforderungen in einer Organisation ändern können, müssen die Regeln, mit denen auf die Daten zugegriffen wird, in Grenzen anpassbar sein. Eine Anpassung wird systemseitig aber nur in soweit zugelassen, dass ein Zugriff auf die Rohdaten bzw. die rechnerische Ermittlung der Rohdaten anhand von Abfrageergebnissen nicht möglich ist.

Es gibt zwei natürliche Angriffswege auf ein solches System: Ein identifizierter Remote-Exploit (beispielsweise beim Zugriff über eine Webschnittstelle) kann das System kompromittieren; das Design sieht daher eine möglichst geringe Angriffsfläche vor, indem angreifbare Komponenten weitestgehend außerhalb des Verschlusses angesiedelt werden und nur ein minimaler Kanal ins Innere existiert. Ein Angriff auf die Hardware (z. B. auf das gespeicherte Schlüsselmaterial) ist ebenfalls denkbar; hierbei müssen Speicherdirektzugriffe (DMA), Seitenkanäle und physikalischer Zugriff auf RAM-Bausteine berücksichtigt werden.

Posted in DaPriM, Datenschutz (deutsch) | Kommentare deaktiviert für 27c3 – Lightning Talk

Welcome to the DaPriM project!

DaPriM project has started in October 2010.

Project advances, publications and software prototypes  will be disseminated on this website.

Posted in DaPriM | Kommentare deaktiviert für Welcome to the DaPriM project!

DaPriM people

Das vom Bundesministerium für Bildung und Forschung im Rahmen des Programms FH-proFunt geförderte Projekt DaPriM (Data Privacy Management) dient der Erforschung von Sicherheitsarchitekturen datenschutzfördernder Technologien auf Basis digitaler Rechteverwaltung.

Prof. Dr.-Ing. Ulrich Greveler
Dr. Benjamin Justus
Dennis Löhr, MSc.

Hinweis: Prof. Greveler hat die Fachhochschule Münster, an der das Projekt initiiert wurde, zum März 2012 verlassen und ist zur Hochschule Rhein-Waal gewechselt.

Prof. Dr.-Ing. Ulrich Greveler
Hochschule Rhein-Waal
Labor für IT-Sicherheit
Friedrich-Heinrich-Allee 25, 47475 Kamp-Lintfort
Tel.: +49 2842 908 25 283, Fax -160

Posted in DaPriM, people | Kommentare deaktiviert für DaPriM people