Sicheres Computing für die Cloud

Eine neue kryptographische Methode soll es Nutzern ermöglichen, sensible Daten auf nicht von ihnen kontrollierte Server im Internet auszulagern, ohne dass sie dort jemals entschlüsselt werden müssten.

Immer mehr Daten wandern ins Web. Cloud-Computing erlaubt es, rechenintensive Anwendungen auf Server im Internet auszulagern und große Datenmengen extern zu speichern. Das Problem: Nicht immer ist dabei die Datensicherheit optimal gewährleistet. Aus diesem Grund ist es wichtig, Informationen in dieser Server-Wolke möglichst zu verschlüsseln.

Ein neues Verfahren dazu haben nun Forscher an Universitäten in Bristol und Leuven vorgestellt. Es erlaubt Web-Diensten den Umgang mit sensiblen Daten, ohne sie jemals entschlüsseln zu müssen. Die kryptographische Technik basiert auf einem mathematischen Beweis, der erst im vergangenen Jahr vorgestellt wurde.

Der IBM-Forscher Craig Gentry hatte gezeigt, dass es möglich ist, mathematische Standardoperationen wie das Addieren und Multiplizieren an verschlüsselten Daten vorzunehmen, die sich dann im entschlüsselten Ergebnis widerspiegelten, als ob die Operation an den Originaldaten durchgeführt wurde. Das ist ungefähr so, als könne man eine Frage beantworten, ohne die Frage überhaupt zu kennen.

Die sogenannte voll homomorphe Verschlüsselung gilt als Heiliger Gral der Kryptographie. Addition und Multiplikation sind die wichtigsten Bausteine der Computerei – und die Möglichkeit, Berechnungen an Daten vorzunehmen, ohne dass sie entschlüsselt werden müssen, würde zu einem ganz neuen Sicherheitsniveau führen.

So könnte eine Firma beispielsweise eine verschlüsselte Datenbank mit Gesundheitsakten an einen Cloud-Computing-Anbieter senden und diesen mit den Daten arbeiten lassen, ohne dass sie entschlüsselt werden müssten. Will ein Kunde dann eine Suche über seinen persönlichen Datenbestand durchführen, ließe sich das trotz harter Verschlüsselung einrichten: Das Ergebnis würde dann codiert an die berechtigte Person gehen, die diese dann auf ihrem eigenen Rechner entschlüsseln kann. Ähnlich ließen sich auch Inhalte anderer Internet-Anwendungen wie Web-Mail viel besser absichern – der Dienstleister erfährt nichts.

Nigel Smart, Professor für Kryptologie an der Bristol University, hat nun zusammen mit Frederik Vercauteren, einem Kryptoforscher an der Katholieke Universiteit Leuven, die Ursprungsidee von Gentry deutlich verfeinert. Heraus kam dabei eine Version, die sich tatsächlich implementieren und testen lässt. "Wir haben Gentrys Ansatz genommen und ihn vereinfacht", sagt Smart. Während dieser alles in Matrizen und Vektoren codierte, setzten Smart und Vercauteren auf Ganzzahlen und Polynomen. "Das macht den Ansatz sowohl verständlicher als auch einfacher nutzbar", sagt Smart. Nun sei es möglich, echte Berechnungen durchzuführen.

Bei Gentrys Ursprungsversion stieg die Komplexität mit jedem Rechenschritt. Smart und Vercauteren bauten den Ansatz nun so weit um, dass es möglich ist, Gentrys Idee auf einem Desktop-Rechner zu testen. "Wir implementieren das System bereits und können Bits verschlüsseln und auch schon ein wenig addieren und multiplizieren", sagt Smart. Rund 30 sequenzielle Operationen seien so möglich.

Noch gibt es allerdings einige Einschränkungen an der Technik. Werden weitere Operationen durchgeführt, verschlechtern sich die folgenden verschlüsselten Antworten, sie werden "schmutzig", wie Smart es ausdrückt. Das bedeutet, dass die aktuelle Version der Technik nicht wirklich voll homomorph ist, weil nicht jede beliebige Berechnung möglich ist.

Gentry hat bereits eine Methode entwickelt, die die Daten periodisch "reinigt" und so ein sich selbst korrigierendes und damit doch voll homomorphes System schafft. Allerdings wird dazu eine Implementation benötigt, die eine bestimmte Anzahl von Operationen beherrscht – soweit ist Smart aber noch nicht. Gentry und sein IBM-Kollege Shai Helevi experimentieren deshalb derzeit mit ihrer eigenen Variante von Smarts Ansatz und hoffen, noch in diesem Sommer erste Ergebnisse und Verbesserungen vorlegen zu können.

Momentan passt Smart außerdem die Parameter seiner Technik an, um herauszufinden, was wirklich am besten funktioniert. "Beispielsweise ist die Generierung der Schlüssel sehr langsam, das lässt sich optimieren. Es ist ein bisschen wie das Tunen eines Rennautos – man arbeitet am Motor und entdeckt dann plötzlich, dass die Räder das Problem sind."

Noch lässt sich außerdem nicht mit Bestimmtheit sagen, wann all diese Verbesserungen zu einem nutzbaren Produkt führen. "Aber grundsätzlich läuft die Implementation und die Leute können damit spielen", sagt Smart, der es bereits für eine enorme Leistung hält, dass das innerhalb eines Jahres nach der Präsentation eines völlig neuen kryptographischen Verfahrens möglich sei. Als Gegenbeispiel nennt er Elliptische-Kurven-Kryptosysteme, die bereits 1985 vorgestellt wurden, aber erst fünf Jahre später praktisch implementiert werden konnten.

Eleanor Rieffel, leitende Wissenschaftlerin am FX Palo Alto Laboratory des Konzerns Fuji Xerox, sieht das ähnlich: "Der Fortschritt ist beeindruckend, aber es geht hier um einen so neuen Bereich, dass niemand weiß, welchen weiteren Weg man technisch nehmen sollte." Die frühen Implementationen von Smart und Co. erlaubten der Kryptoszene nun aber, zu experimentieren.

Das Interesse in der IT-Welt ist bereits groß. "Es gibt immer mehr das Bestreben, Daten bei externen Dienstleistern unterzubringen. Entsprechend attraktiv ist eine solche Technik." Es sei deshalb vorstellbar, meint Rieffel, dass bereits eingeschränkte Implementationen erste konkrete Anwendungen finden könnten. (bsc)