Mehr Sicherheit für Datenwolken

Microsoft-Forscher haben ein neues, praktikables Verfahren entwickelt, mit dem sich in der Cloud gespeicherte Daten in verschlüsselter Form statistisch analysieren lassen.

Ob Versicherungsakten oder private Musiksammlungen, immer mehr Datenbestände wandern in „Wolken“ aus verteilten Rechnern aus, die Dienstleister wie Amazon, Google und inzwischen auch Apple betreiben. Der Siegeszug des Cloud Computing wirft jedoch eine brisante Frage auf: Wie sicher sind die billigen Rechnerparks für jedermann eigentlich? Zwar lagern die Daten in einer Cloud in der Regel verschlüsselt. Doch wollen Dienstleister an ihnen Rechenoperationen wie statistische Analysen vornehmen, müssen sie die Daten zuvor entschlüsseln – und bieten damit Angreifern womöglich ein Schlupfloch.

Mathematiker bei Microsoft Research sind der Lösung dieses Problems nun einen wichtigen Schritt näher gekommen: Sie haben einen Algorithmus entwickelt, der Berechnungen direkt an verschlüsselten Daten erlaubt und dennoch korrekte Ergebnisse liefert – ohne die Cloud drastisch zu verlangsamen. Die Ergebnisse dieser Auswertungen können dann nur vom Besitzer der Daten mit dessen kryptografischem Schlüssel offengelegt werden. Angreifer hingegen können sich nicht in den Rechenprozess einklinken und müssten schon an den Schlüssel kommen, um mit den Daten etwas anfangen zu können.

Zwar handele es sich noch um ein Proof of Concept, doch damit würden zum Beispiel sichere medizinische Frühwarnsysteme möglich, die Messwerte wie Puls oder Blutdruck in einer Cloud verarbeiten, sagt Microsoft-Forscherin Kristin Lauter. „Die Daten eines Patienten bleiben dabei die ganze Zeit verschlüsselt, was ihre Privatsphäre schützt.“

Wissenschaftlich bezeichnet man den Ansatz von Lauter und ihren Kollegen Vinod Vaikuntanathan and Michael Naehrig als „homomorphe Verschlüsselung“: Eine Rechenoperation an den verschlüsselten Daten und die anschließende Entschlüsselung des Resultats liefert dasselbe Ergebnis wie dieselbe Rechenoperation an der unverschlüsselten Daten. „Homomorphe Verschlüsselung gilt seit einiger Zeit als Heiliger Gral für Cloud-Computing- Sicherheit“, sagt Lauter. „Wir wollten zeigen, dass man sie für bestimmte Dienste schon jetzt nutzen kann.“

Ein ganz einfaches Beispiel verdeutlicht das Prinzip: Die Zahlen 5 und 7 werden kodiert, indem man sie verdoppelt. Die neuen Werte lauten 10 und 14. Addiert man beide zu 24 und halbiert dieses Ergebnis, kommt 12 heraus. Zählt man die Ausgangszahlen direkt zusammen, ist die Summe ebenfalls 12. In diesem Fall ist die Verschlüsselung also „additiv homomorph“ – multipliziert man die Zahlen, unterscheiden sich die Ergebnisse auf den beiden Wegen.

Natürlich ist eine simple Verdoppelung keine ernsthafte Verschlüsselung. „Der Trick ist, mathematische Funktionen zu finden, die additiv und multiplikativ homomorph sind und zugleich schwer zu ‚entschlüsseln’ – in dem Sinne, dass eine Umkehrung der Funktion bedeutet, ein äußerst anspruchsvolles mathematisches Problem lösen zu müssen“, erläutert Lauter das Konzept. Zudem sollte ihre Anwendung den Betrieb der Cloud nicht nennenswert verlangsamen.

Bereits 2009 hatte der US-Mathematiker Craig Gentry erstmals einen funktionierden Algorithmus für eine homomorphe Verschlüsselung vorgelegt, der mit „Idealgittern“ genannten mathematischen Objekten arbeitet. Dies erwies sich jedoch noch als zu rechenintensiv. Seitdem arbeiten mehrere Forschungsgruppen daran, eine praktisch nutzbare Variante zu entwickeln.

Lauter und ihre Kollegen haben nun einen anderen mathematischen Ansatz verfolgt, den Vinod Vaikuntanathan gemeinsam mit Zvika Brakerski entwickelt hat. Mit ihrer Funktion, die nicht auf Idealgittern, sondern dem „Learning with Errors“-Theorem aufbaut, lassen sich Additionen und Multiplikationen an den verschlüsselten Daten in einer akzeptablen Geschwindigkeit vornehmen. „Ich gehe da von einer praktischen Perspektiven heran“, sagt Lauter.

Sie und ihre Kollegen haben ihre Verschlüsselungsverfahren „halbwegs homomorph“ getauft, weil es noch nicht die Division oder das Wurzelziehen von verschlüsselten Daten erlaubt. Nur mit Addition und Multiplikation ließen sich aber schon viele Rechendienste realisieren, versichert Lauter. „Sie können etliche statistische Analysen wie Mittelwertbildung, Standardabweichung oder eine logistische Regression anwenden, die zur Berechnung des Herzinfarktrisikos eingesetzt wird.“ Wenn wie bei der Mittelwertbildung durch eine Zahl geteilt werden muss, wird diese in eienr separaten Verschlüsselung hinzugefügt.

Erste Tests erfolgten auf einem gewöhnlichen Laptop mit Intel Core 2 Duo-Prozessor und einem Arbeitsspeicher von einem Gigabyte. Die Erstellung der Schlüssel dauerte 250 Millisekunden, die Verschlüsselung 24 Millisekunden. Um 100 Zahlen von je 128 Bit Länge zu addieren, brauchte die Software 20 Millisekunden. Eine einzelne Multiplikation hingegen erwies sich als anspruchsvoller: Sie dauerte 41 Millisekunden. Die Tests zeigten, dass man nicht auf eine vollständig homomorphe Verschlüsselung warten müsse, um mit dem Einsatz der Technologie in Cloud-Diensten zu beginnen, betont Lauter. Sie hofft, dass einige Dienstleister das Konzept demnächst in ihren Computerwolken implementieren.

Daniele Micciancio, Kryptographie-Experte an der University of California in San Diego, hält den Ansatz der Microsoft-Forscher für einen wichtigen neuen Weg: „Lauter hat gezeigt, dass dass schon eine Teilkomponente einer vollständig homomorphen Verschlüsselung ausreicht, um praktische Anwendungen zu ermöglichen.“ Es sei jetzt klar, dass man auch mit verschiedenen Abstufungen der Technologie arbeiten könne. Berechnungen mit vollständig homomorpher Verschlüsselung würden derzeit an die 30 Minuten dauern, nicht Millisekunden wie bei Lauters Verfahren.

Für Carson Sweet, Gründer des Sicherheitsdienstleisters Cloudpassage, könnte das Verfahren einige Probleme lösen, auch wenn noch viel Entwicklungsarbeit nötig sei. Das erste Anwendungsgebiet könnten Patientendaten sein. „Behörden und Finanzdienstleister wären wohl ebenfalls bereit, eine etwas schwächere Cloud-Performance hinzunehmen, wenn dafür die Sicherheit zunimmt“, sagt Sweet.

Das Paper:

Lauter, Kristin et al.: „Can Homomorphic Encryption be Practical?“, eingereicht für die Conference on Computer and Communications Security 2011, 17. – 21. Oktober 2011, Chicago. (nbo)